This website uses necessary cookies to ensure that our website is ideally usable. We do not use cookies that process personal data without your prior consent. Read our Cookie Policy

QR Planet
Assistenza e servizi

Politiche di divulgazione delle vulnerabilità (VDP)

book reader icon
1 Minuto
01/29/2023
facebook logo gray
linkedin logo gray
mail logo gray

Se avete trovato una vulnerabilità, inviate le vostre scoperte a [email protected]

In base alla vulnerabilità vi ricompenseremo con un bug bounty. Si prega di leggere i seguenti punti: quali vulnerabilità sono accettate e quali sono fuori dal campo di applicazione.

Vulnerabilità accettate

Le vulnerabilità accettate e in-scope includono, ma non sono limitate a:

  • Autenticazione e gestione delle sessioni non funzionanti
  • Vulnerabilità di iniezione
  • Cross Site Scripting (XSS) - Nota: qualsiasi segnalazione basata sull'inserimento di JavaScript in una landing page non sarà corretta né premiata.
  • Esecuzione di codice remoto
  • Riferimento diretto all'oggetto non sicuro
  • Esposizione di dati sensibili
  • Misconfigurazione della sicurezza
  • Mancanza di controllo dell'accesso a livello di funzione
  • Utilizzo di componenti con vulnerabilità note
  • Trasversale di directory/percorso
  • Credenziali esposte
  • Vulnerabilità fuori ambito

Fuori campo

Alcune vulnerabilità sono considerate fuori dal campo di applicazione del Programma di divulgazione responsabile. Tali vulnerabilità fuori campo includono, ma non solo:

  • Attacchi di ingegneria sociale
  • Enumerazione di account tramite attacchi brute-forza
  • Politiche di password deboli e requisiti di complessità delle password
  • Intestazioni di sicurezza http mancanti che non portano a una vulnerabilità
  • Segnalazioni da strumenti o scansioni automatizzate
  • Vulnerabilità delle intestazioni CSP
  • Presenza dell'attributo di completamento automatico nei moduli web
  • Mancati flag dei cookie su cookie non sensibili
  • Segnalazioni di problemi SSL/TLS, best practice o cifrari non sicuri
  • Versioni di prova delle applicazioni
  • Problemi di configurazione della posta elettronica, comprese le impostazioni SPF, DKIM, DMARC
  • Clickjacking su pagine senza azioni sensibili
  • Cross-Site Request Forgery (CSRF) su moduli non autenticati o senza azioni sensibili
  • Attacchi che richiedono MITM o accesso fisico al dispositivo di un utente.
  • Librerie vulnerabili note in precedenza senza una prova di concetto funzionante.
  • Iniezione di valori separati da virgola (CSV) senza dimostrare una vulnerabilità.
  • Qualsiasi attività che possa portare all'interruzione del nostro servizio (DoS).
  • Problemi di spoofing dei contenuti e di iniezione di testo senza mostrare un vettore di attacco/senza essere in grado di modificare HTML/CSS
  • Problemi di limitazione del tasso o di forza bruta su endpoint non di autenticazione
  • Mancanza di best practice nella Content Security Policy.
  • Mancanza dei flag HttpOnly o Secure sui cookie
  • Vulnerabilità che interessano solo gli utenti di browser obsoleti o privi di patch
  • Problemi di divulgazione della versione del software/identificazione del banner
  • Tab nabbing
  • Reindirizzamenti aperti
  • Problemi che richiedono un'improbabile interazione da parte dell'utente
  • Soluzioni interessate da CVE noti pubblicati meno di 30 giorni fa
Last update 8 months ago