ՊԱՏԱՍԽԱՆԱՏՎՈՒԹՅՈՒՆ



 

 

 
 

Մենք լրջորեն ենք վերաբերվում մեր համակարգերի անվտանգությանը, և մեր մշտական ջանքերն են մեր վեբկայքը դարձնել անվտանգ վայր մեր հաճախորդների համար: Այնուամենայնիվ, այն հազվադեպ դեպքերում, երբ անվտանգության որոշ հետազոտող կամ լայն հասարակության անդամ հայտնաբերում է մեր համակարգերի խոցելիությունը և պատասխանատու կերպով կիսվում մեզ հետ դրա մանրամասներով, մենք գնահատում ենք նրանց ներդրումը, սերտորեն համագործակցում ենք նրանց հետ՝ հրատապորեն լուծելու նման խոցելիությունը և եթե նրանք ցանկանում են, հրապարակայնորեն ընդունեք իրենց ներդրումը: FOXIZZ-ը իրեն վերապահում է բոլոր իրավունքները ստուգելու հաշվետվությունների վավերական լինելը, թե ոչ՝ խոցելիության ազդեցության հիման վրա:

Ճանաչման համար իրավասու լինելու համար դուք պետք է

  • Եղեք առաջին մարդը, ով պատասխանատու կերպով կբացահայտի սխալը:
  • Հաղորդեք վրիպակի մասին, որը կարող է վտանգի ենթարկել մեր օգտատերերի անձնական տվյալները, շրջանցել համակարգի պաշտպանությունը կամ թույլ տալ մուտք գործել համակարգ մեր ենթակառուցվածքում:

Ճանաչման տեսակները

  • Փառքի սրահ

Նշանադրության կանոններ

Դուք մեզ ողջամիտ ժամանակ եք տալիս՝ հետաքննելու և մեղմելու խոցելիությունը, որի մասին հայտնում եք:

Խնդրում ենք ձեռնպահ մնալ զգայուն տեղեկատվություն մուտք գործելուց (օգտագործելով փորձնական հաշիվ և/կամ համակարգ), կատարել գործողություններ, որոնք կարող են բացասաբար ազդել FOXIZZ-ի այլ օգտատերերի վրա (ծառայության մերժում) կամ ավտոմատացված գործիքներից հաշվետվություններ ուղարկելուց:

Դուք չեք օգտագործում անվտանգության խոցելիությունը, որը հայտնաբերում եք որևէ պատճառով: (Սա ներառում է լրացուցիչ ռիսկի ցուցադրում, ինչպիսին է ընկերության զգայուն տվյալների խախտման փորձը կամ լրացուցիչ խնդիրների հետաքննությունը):

Ցանկացած օրենք խախտելը կամ որևէ պայմանավորվածություն խախտելը խոցելի տեղերը հայտնաբերելու նպատակով:

Դուք հրապարակայնորեն չեք բացահայտում անվտանգության խոցելիության մանրամասները, որոնք հայտնել եք առանց FOXIZZ-ի թույլտվության:

Ծրագրի պայմանները

Մենք ճանաչում ենք անվտանգության հետազոտողներին, ովքեր օգնում են մեզ պաշտպանել օգտատերերին՝ հաղորդելով մեր ծառայությունների խոցելիության մասին: Նման հաշվետվությունների ճանաչումն ամբողջությամբ FOXIZZ-ի հայեցողությամբ է՝ հիմնված ռիսկի, ազդեցության և այլ գործոնների վրա: FOXIZZ-ի Փառքի սրահում ճանաչվելու համար նախ պետք է բավարարեք հետևյալ պահանջները.

  • Հետևեք մեր Պատասխանատու բացահայտման քաղաքականությանը
  • Հաղորդել անվտանգության վրիպակի մասին. բացահայտել մեր ծառայությունների կամ ենթակառուցվածքի խոցելիությունը, որը ստեղծում է անվտանգության կամ գաղտնիության վտանգ: (Նկատի ունեցեք, որ FOXIZZ-ը, ի վերջո, որոշում է խոցելիության ռիսկը, և որ շատ ծրագրային սխալներ անվտանգության խոցելիություն չեն:)
  • Ձեր զեկույցը պետք է նկարագրի խնդիր, որը վերաբերում է «Շրջանակ» բաժնում նշված ապրանքներից կամ ծառայություններից մեկին:
  • Մենք հատուկ բացառում ենք անվտանգության հնարավոր խոցելիության որոշակի տեսակներ. դրանք նշված են «Բացառումներ» բաժնում:

Եթե խոցելիությունը հետաքննելիս անզգուշաբար գաղտնիության խախտում կամ խափանում եք առաջացրել (օրինակ՝ մուտք գործել հաշվի տվյալներ, ծառայության կազմաձևեր կամ այլ գաղտնի տեղեկատվություն), համոզվեք, որ դա բացահայտեք ձեր զեկույցում:

Իր հերթին, մենք հետևելու ենք այս ուղեցույցներին մեր պատասխանատու բացահայտման ծրագրի շրջանակներում հաշվետվությունները գնահատելիս.

  • Մենք ուսումնասիրում և արձագանքում ենք բոլոր վավերական զեկույցներին: Հաշվի առնելով մեր ստացած հաշվետվությունների ծավալը, այնուամենայնիվ, մենք առաջնահերթություն ենք տալիս գնահատումներին՝ հիմնված ռիսկի և այլ գործոնների վրա, և կարող է որոշ ժամանակ տևել, մինչև պատասխան ստանաք:
  • Փառքի սրահում ճանաչումը մենք որոշում ենք մի շարք գործոնների հիման վրա, ներառյալ (բայց չսահմանափակվելով) ազդեցությունը, օգտագործման հեշտությունը և զեկույցի որակը: Նկատի ունեցեք, որ ծայրահեղ ցածր ռիսկային խոցելիությունները կարող են ընդհանրապես չարժանանալ փառքի սրահին:
  • Կրկնվող հաշվետվությունների դեպքում մենք ճանաչում ենք առաջին անձին, ով ներկայացնում է խոցելիությունը: (FOXIZZ-ը որոշում է կրկնօրինակները և չի կարող կիսվել այլ հաշվետվությունների վերաբերյալ մանրամասներով):

Նկատի ունեցեք, որ ձեր կողմից FOXIZZ-ի ծառայությունների օգտագործումը, ներառյալ այս ծրագրի նպատակների համար, ենթակա է FOXIZZ-ի Պայմաններին և Քաղաքականությանը: Մենք կարող ենք պահպանել անվտանգության խոցելիության մասին ցանկացած հաղորդագրություն, որը դուք հայտնում եք այնքան ժամանակ, քանի դեռ մենք անհրաժեշտ ենք համարում ծրագրի նպատակների համար, և մենք կարող ենք ցանկացած պահի չեղարկել կամ փոփոխել այս ծրագիրը:

Շրջանակ

  • Android FOXIZZ
  • iOS FOXIZZ
  • Android առաքման գործընկեր FOXIZZ
  • iOS Բիզնես FOXIZZ
  • https://foxizz.com
  • https://foxizz.ru
  • https://foxizz.am

Ինչպե՞ս հաղորդել խոցելիության մասին:

Եթե դուք հայտնաբերել եք խոցելիություն մեր վեբ կամ բջջային հավելվածներից որևէ մեկում, խնդրում ենք հետևել ստորև նշված քայլերին.

  • Խնդրում ենք ներկայացնել խոցելիության հաշվետվության ձևը` անհրաժեշտ մանրամասներով` խոցելիության սցենարը վերստեղծելու համար: Սա կարող է ներառել սքրինշոթներ, տեսանյութեր կամ պարզ տեքստային հրահանգներ:
  • Եթե հնարավոր է, կիսվեք մեզ հետ ձեր կոնտակտային տվյալները (հեռախոսահամարը), որպեսզի մեր անվտանգության թիմը կարողանա կապ հաստատել ձեզ հետ, եթե խնդիրը բացահայտելու կամ փակելու համար անհրաժեշտ են լրացուցիչ տեղեկություններ:
  • Եթե հայտնաբերված խոցելիությունը կարող է օգտագործվել մեր հաճախորդների կամ համակարգերի պոտենցիալ տեղեկատվությունը հանելու համար, կամ խաթարում է մեր համակարգի նորմալ գործելու ունակությունը, ապա խնդրում ենք ձեռնպահ մնալ նման խոցելիությունը իրականում շահագործելուց: Սա բացարձակապես անհրաժեշտ է, որպեսզի ձեր բացահայտումը համարենք պատասխանատու:
  • Թեև մենք գնահատում ենք Whitehat հաքերների մուտքերը, մենք կարող ենք դիմել իրավական միջոցների, եթե հայտնաբերված խոցելիությունները շահագործվեն անօրինական շահույթի կամ հաճախորդների կամ համակարգի սահմանափակ տեղեկատվության հասանելիություն ստանալու կամ մեր համակարգերը խաթարելու համար:

Հաղորդել խոցելիության մասին

Նամակ ուղարկեք support@foxizz.com հասցեին

Որակավորման խոցելիություններ

Ցանկացած նախագծման կամ իրականացման խնդիր, որը վերարտադրելի է և էականորեն ազդում է FOXIZZ-ի օգտատերերի անվտանգության վրա, ամենայն հավանականությամբ, կլինի ծրագրի շրջանակում: Ընդհանուր օրինակները ներառում են.

  • Ներարկումներ
  • Կայքի խաչաձև սցենարավորում (XSS)
  • Խաչաձեւ կայքի հարցումների կեղծում (CSRF)
  • Հեռակա կոդի կատարում (RCE)
  • Նույնականացման/Լիազորման թերություններ
  • Դոմենի գրավման խոցելիություններ
  • Կարող է տիրանալ FOXIZZ-ի այլ օգտատերերի հաշիվներին (փորձարկելիս օգտագործեք ձեր սեփական մեկ այլ թեստային հաշիվ՝ վավերացնելու համար)
  • Ցանկացած խոցելիություն, որը կարող է ազդել FOXIZZ ապրանքանիշի, օգտատերերի տվյալների և ֆինանսական գործարքների վրա

Բացառումներ

Հետևյալ սխալները դժվար թե իրավասու լինեն.

  • Ավտոմատացված թեստավորման միջոցով հայտնաբերված խոցելիություններ
  • «Սկաների ելք» կամ սկաների կողմից ստեղծված հաշվետվություններ
  • Հրապարակային թողարկված CVE-ները կամ 0-օրյա ինտերնետ ծրագրային ապահովումը դրանց բացահայտումից հետո 90 օրվա ընթացքում
  • «Խորհրդատվական» կամ «Տեղեկատվական» հաշվետվություններ, որոնք չեն ներառում որևէ FOXIZZ թեստավորում կամ համատեքստ
  • Խոցելիություններ, որոնք պահանջում են MITM կամ ֆիզիկական մուտք դեպի տուժողի ապակողպված սարքը:
  • Ծառայության մերժման հարձակումներ

- SPF-ի և DKIM-ի հետ կապված խնդիրներ

- Բովանդակության ներարկում

- Հղումների ներարկում նամակներում

- IDN հոմոգրաֆի հարձակումներ

- RTL երկիմաստություն

  • Բովանդակության կեղծում
  • Գաղտնաբառերի քաղաքականության հետ կապված խոցելիություններ
  • Ամբողջական բացահայտում ցանկացած գույքի վերաբերյալ
  • Տարբերակի համարի տեղեկատվության բացահայտում
  • Երրորդ կողմի հավելվածներ FOXIZZ հավելվածների գրացուցակում (նշվում է հավելվածի էջում «Հաղորդել այս հավելվածի մասին» հղման առկայությամբ): Խնդրում ենք հայտնել այս ծառայությունների խոցելիության մասին տվյալ հավելվածի ստեղծողին:
  • Clickjacking նախապես վավերացված էջերի վրա, կամ X-Frame-Options-ի բացակայությունը կամ այլ ոչ շահագործվող clickjacking խոցելիությունը
  • CSRF-ի հնարավորություն ունեցող գործողություններ, որոնք չեն պահանջում նույնականացում (կամ նիստ) շահագործման համար
  • Զեկույցներ՝ կապված անվտանգության հետ կապված հետևյալ վերնագրերի հետ

- Խիստ տրանսպորտային անվտանգություն (HSTS)

- XSS մեղմացման վերնագրեր (X-Content-Type և X-XSS-Protection)

- X-Content-Type-Ընտրանքներ

- Բովանդակության անվտանգության քաղաքականության (CSP) կարգավորումներ (բացառությամբ շահագործվող սցենարի դեպքում)

  • Սխալներ, որոնք անվտանգության որևէ վտանգ չեն ներկայացնում
  • Անվտանգության վրիպակներ երրորդ կողմի հավելվածներում կամ ծառայություններում, որոնք կառուցված են FOXIZZ API-ի վրա. խնդրում ենք հայտնել դրանք երրորդ կողմին, որը ստեղծել է հավելվածը կամ ծառայությունը:
  • Անվտանգության սխալներ ծրագրային ապահովման մեջ՝ կապված ցանկացած հրապարակային հայտարարությունից հետո ձեռքբերման հետ 90 օրվա ընթացքում
  • HTTP TRACE կամ OPTIONS մեթոդները միացված են
  • Ոչ զգայուն (այսինքն, ոչ նստաշրջանի) քուքիները բացակայում են Secure կամ HttpOnly դրոշները
  • Հպեք jacking
  • Բջջային հաճախորդի հետ կապված խնդիրները պահանջում են արմատավորված սարք և/կամ հնացած OS տարբերակ կամ SSL ամրացման խնդիրներ:
  • Ենթադոմեյնների գրավում առանց ապացույցների
  • SSL/TLS կազմաձևման լավագույն փորձը բացակայում է:
  • Խոցելի կետեր, որոնք չեն կարող օգտագործվել այլ օգտվողների կամ FOXIZZ-ի շահագործման համար, օրինակ՝ ինքնա-XSS կամ օգտագործողի կողմից JavaScript-ը զննարկիչի վահանակում տեղադրելու համար:
  • Բացեք նավահանգիստները՝ առանց ուղեկցող հայեցակարգի ապացույցի, որը ցույց է տալիս խոցելիությունը
  • Whitehat հաշվետվության ձևի խոցելիությունը
  • Ծառայությունների վերաբերյալ բողոքներ ներկայացնելը
  • Կեղծ փոստից կամ ֆիշինգի էլեկտրոնային նամակներից խարդախության մասին հաղորդումներ պատրաստելը և/կամ
  • Հաղորդել վիրուսների մասին:
  • Կայքի առկայության վերաբերյալ բողոքներ կամ հարցեր ներկայացնելը:


Երախտագիտություն

Մենք չունենք պարգևատրման/կանխիկ պարգևատրման ծրագիր նման բացահայտումների համար, բայց մենք մեր երախտագիտությունն ենք հայտնում ձեր ներդրման համար տարբեր ձևերով: Իրական էթիկական բացահայտումների համար մենք ուրախ կլինենք հրապարակայնորեն ճանաչել ձեր ներդրումը մեր կայքի այս բաժնում: Իհարկե, դա կարվի, եթե դուք ցանկանում եք հրապարակային ճանաչում:

Փառքի սրահ

FOXIZZ-ը շնորհակալություն է հայտնում հետևյալ մարդկանց՝ FOXIZZ-ին պատկանող հավելվածներում, արտադրանքներում կամ ծառայություններում անվտանգության խոցելիությունը գտնելու և պատասխանատու կերպով բացահայտելու համար: Մենք երախտապարտ ենք FOXIZZ-ի անվտանգությանն ուղղված նրանց ներդրման և ջանքերի համար: