Politiche di divulgazione delle vulnerabilità (VDP)
1 Minuto
01/29/2023
Se avete trovato una vulnerabilità, inviate le vostre scoperte a [email protected]
In base alla vulnerabilità vi ricompenseremo con un bug bounty. Si prega di leggere i seguenti punti: quali vulnerabilità sono accettate e quali sono fuori dal campo di applicazione.
Vulnerabilità accettate
Le vulnerabilità accettate e in-scope includono, ma non sono limitate a:
- Autenticazione e gestione delle sessioni non funzionanti
- Vulnerabilità di iniezione
- Cross Site Scripting (XSS) - Nota: qualsiasi segnalazione basata sull'inserimento di JavaScript in una landing page non sarà corretta né premiata.
- Esecuzione di codice remoto
- Riferimento diretto all'oggetto non sicuro
- Esposizione di dati sensibili
- Misconfigurazione della sicurezza
- Mancanza di controllo dell'accesso a livello di funzione
- Utilizzo di componenti con vulnerabilità note
- Trasversale di directory/percorso
- Credenziali esposte
- Vulnerabilità fuori ambito
Fuori campo
Alcune vulnerabilità sono considerate fuori dal campo di applicazione del Programma di divulgazione responsabile. Tali vulnerabilità fuori campo includono, ma non solo:
- Attacchi di ingegneria sociale
- Enumerazione di account tramite attacchi brute-forza
- Politiche di password deboli e requisiti di complessità delle password
- Intestazioni di sicurezza http mancanti che non portano a una vulnerabilità
- Segnalazioni da strumenti o scansioni automatizzate
- Vulnerabilità delle intestazioni CSP
- Presenza dell'attributo di completamento automatico nei moduli web
- Mancati flag dei cookie su cookie non sensibili
- Segnalazioni di problemi SSL/TLS, best practice o cifrari non sicuri
- Versioni di prova delle applicazioni
- Problemi di configurazione della posta elettronica, comprese le impostazioni SPF, DKIM, DMARC
- Clickjacking su pagine senza azioni sensibili
- Cross-Site Request Forgery (CSRF) su moduli non autenticati o senza azioni sensibili
- Attacchi che richiedono MITM o accesso fisico al dispositivo di un utente.
- Librerie vulnerabili note in precedenza senza una prova di concetto funzionante.
- Iniezione di valori separati da virgola (CSV) senza dimostrare una vulnerabilità.
- Qualsiasi attività che possa portare all'interruzione del nostro servizio (DoS).
- Problemi di spoofing dei contenuti e di iniezione di testo senza mostrare un vettore di attacco/senza essere in grado di modificare HTML/CSS
- Problemi di limitazione del tasso o di forza bruta su endpoint non di autenticazione
- Mancanza di best practice nella Content Security Policy.
- Mancanza dei flag HttpOnly o Secure sui cookie
- Vulnerabilità che interessano solo gli utenti di browser obsoleti o privi di patch
- Problemi di divulgazione della versione del software/identificazione del banner
- Tab nabbing
- Reindirizzamenti aperti
- Problemi che richiedono un'improbabile interazione da parte dell'utente
- Soluzioni interessate da CVE noti pubblicati meno di 30 giorni fa