Informavimas apie saugumo spragas
Informavimas apie saugumo spragas
Programos sąlygos
Dalyvavimas Saugumo spragų pranešimo programoje yra savanoriškas ir reikalauja laikytis šiame puslapyje nurodytų sąlygų. Pateikdami informaciją apie Paysera pažeidžiamumą, jūs pripažįstate, kad perskaitėte ir sutinkate su šios programos sąlygomis.Šios programos sąlygos papildo bet kurią kitą sutartį, kurią jūs esate sudarę su Paysera. Jei tarp Paysera sutarčių sąlygų ir šios programos sąlygų atsirastų nenuoseklumų, šios programos sąlygos vyraus, bet tik Saugumo spragų pranešimo programos atžvilgiu.
Pranešimo apie saugumo spragas nurodymai
Jei manote, kad radote Paysera saugumo spragą, prašome apie tai pranešti mums el. paštu security@paysera.com. Nurodykite išsamius veiksmus, kaip galima atkurti klaidą ir trumpai apibūdinkite klaidos poveikį. Mes skatiname atsakingą atskleidimą (kaip aprašyta toliau) ir pažadame laiku išnagrinėti visus teisėtus pranešimus, bei kaip įmanoma greičiau išspręsti bet kokias problemas.
Taikymo sritis
Saugumo spragų tyrimo objektu gali būti bet kuri Paysera paslauga, kuri saugo slaptus vartotojų duomenis. Tai apima beveik visą informaciją pateiktą *.paysera.com
Atsakingo atskleidimo politika
Paysera rūpinasi vartotojų lėšų, duomenų ir ryšių saugumu, tad siekiant paskatinti atsakingą saugumo spragų atskleidimą, mes nesiimame teisinių veiksmų prieš asmenis, kurie atskleidžia spragas pagal šiame puslapyje pateiktas sąlygas bei žemiau pateiktus principus:
- Prieiti, atskleisti ar keisti tik savo paties kliento duomenis.
- Draudžiama vykdyti bet kokias atakas, galinčias pakenkti mūsų paslaugų ar duomenų patikimumui ar vientisumui.
- Vengti nuskaitymo būdų, kurie gali pabloginti kitų klientų aptarnavimą (DoS atakos, brukalo siuntimas).
- Visais atvėjais laikykite paslaptyje informaciją apie sistemos pažeidžiamumą, kol apie tai nebus pranešta Paysera ir problema nebus išspręsta.
- Nebandykite gauti prieigos prie kito vartotojo paskyros ar duomenų.
Tiriant Paysera puslapių pažeidžiamumą, jūs negalite bandyti daryti to, kas galėtų:
- Sukelti Paysera sistemų trikdžius.
- Leisti jums, ar bet kuriam kitam trečiajam asmeniui pasiekti, saugoti, dalintis ar sunaikinti Paysera ar jos klientų duomenis.
- Turėti įtakos Paysera klientams, pavyzdžiui, sutrikdant teikiamų paslaugų teikimą, pasitelkiant socialinę inžineriją arba siųsti brukalą.
Jeigu nesilaikysite šių principų, Paysera gali apriboti jūsų sąskaitą, blokuoti IP adresą ir imtis kitų teisinių procesų.
Kviečiame dirbti kartu su Paysera inžinieriais atkuriant, nustatant ir pašalinant spragas. Norėdami pretenduoti į atlygį, jūsų pranešimas turi būti pripažintas pagrįstu. Nustatant pagrįstumą ir atlygį vadovaujamės žemiau pateiktomis gairėmis.
Tinkamumas
- pažeidęs jokių valstybės arba vietos įstatymų;
- Paysera, jos dukterinėse įmonėse ar filialuose dirbančio asmens artimu šeimos nariu;
- jaunesnis(-ė), nei 14 metų. Jeigu esate ne jaunesnis(-ė), nei 14 metų, bet savo gyvenamojoje vietovėje esate nepilnametis asmuo, prieš pradėdami dalyvauti programoje, turite gauti tėvų arba globėjų leidimą.
Atlygis ir jo dydis
Spragos, už kurias išmokamas mažesnis atlygis, yra tos, kurios nesukelia vienos ar kelių iš šių pasekmių:
- dalinis / visiškas lėšų praradimas;
- naudotojo informacijos nutekėjimas;
- keitimosi duomenimis tikslumo praradimas.
Norint gauti atlygį, saugumo spraga turi būti:
- pirmutinė ir anksčiau nepranešta;
- saugumo spraga turi būti nuotolinis pažeidžiamumas, būdas padidinti ar įgauti naujas privilegijas ar sąlygoti privačios informacijos nutekėjimą.
Jeigu du ar daugiau žmonių praneša apie spragą kartu vienu metu, atlygis bus padalintas tarp jų.
Keli pavyzdžiai, kaip gauti didesnį atlygį:
- tyrinėtojas gali pademonstruoti naujų klasių atakas arba saugumo apėjimo technikas. Arba, jeigu esamos spragos išnaudojimo būdas gali būti parodytas tyrinėtojo papildomame tyrime, už tą pačią klaidą gali būti suteikiama papildoma išmoka.
- tyrimas taip pat gali atskleisti labai rimtų, sudėtingų, arba įdomių probleminių sričių, apie kurias anksčiau nieko nebuvo žinoma arba nebuvo pranešama.
Jeigu pranešimas atitiks visas programos sąlygas, išmokos dydį Paysera nustatys savo nuožiūra. Kitais atvejais Paysera neprivalo mokėti jokio atlygio už bet kokį pranešimą, nesusijusį su saugumo spragų programa. Išmokėjimas atliekamas tik eurais ir tik į identifikuotą Paysera paskyrą. Taip pat, atlygis tyrėjo pageidavimu gali būti paskirtas paremti Greenpeace, Red Cross ar Caritas organizacijas.
Atlygio pervedimai kriptovaliutomis ar į kitas mokėjimų sistemas, nepaminėtas šiame puslapyje, nėra galimi.
Nustatant išmokų dydį, Paysera remsis spragos rizikos ir poveikio sunkumu.
Pažeidžiamumų pavyzdžiai
Paysera pasilieka teisę spręsti, ar minimali rimtumo kvalifikacinė riba peržengta, taip pat ar apie spragą jau buvo pranešta anksčiau.
- Autentifikacijos apėjimas arba privilėgijų eskalacija.
- „Clickjacking“ (kai vartotojas priverčiamas spragtelėti ant užmaskuotų tinklalapio elementų).
- „Cross-site scripting (XSS)“ (pažeidžiamumas, kuris leidžia įterpti papildomą programinį kodą į vartotojų peržiūrimą puslapį).
- Kryžminių tinklalapių užklausų klastojimas (CSRF / XSRF).
- Mišraus turinio skriptai.
- Kodo vykdymas serveryje.
- Vartotojo duomenų pažeidimas.
- Nuotolinio kodo vykdymas.
Pranešimai apie šios pažeidžiamumus bus įvertinti Paysera, bet už juos nebus reguliariai atlyginama:
- Atsisakymo aptarnauti pažeidžiamumas (DoS) arba problemos, susijusios su normos apribojimu.
- Galimybė siųsti kenkėjiškas nuorodas žmonėms, kuriuos pažįstate.
- Trečiųjų šalių saugumo spragos svetainėse, kurios integruojasi su Paysera API.
- Pažeidimai, susiję su trečiosios šalies programine įranga (pvz., Java, įskiepiai, plėtiniai) ar svetainėmis, išskyrus atvejus, kai jie sukelia pažeidžiamumą Paysera svetainėje.
- Brukalas (įskaitant atvejus, susijusius su SPF/DKIM/DMARC).
- Naudojimo problemos, automatiškai užpildomos formos.
- Nesaugūs slapukų nustatymai.
- Naršyklės talpyklos pažeidžiamumas.
- Pažeidžiamumai (įskaitant XSS), kurie reikalauja, kad potenciali auka įsidiegtų nestandartinę programinę įrangą arba imtųsi kitų labai mažai tikėtinų aktyvių veiksmų, kad pati būtų paveikta.
- Netechniniai išpuoliai, tokie kaip socialinė inžinerija, sukčiavimas ar fiziniai išpuoliai prieš mūsų darbuotojus, naudotojus arba infrastruktūrą.
- Pažeidimai (įskaitant XSS), kurie turi įtakos tik pasenusioms naršyklėms / įskiepiams.
- „Self-XSS“ (kai vartotojas atsitiktinai įsidiegia kenkėjišką kodą į savo svetainę).
- CSRF dėl nereikšmingų veiksmų (atsijungimas ir t.t.).
- „Clickjacking“ atakos be užregistruotų paspaudimų serijų, kurios sukelia pažeidžiamumą.
- Turinio įkėlimas, pavyzdžiui, atspindėtas tekstas arba HTML žymės.
- Nėra HTTP antraščių, išskyrus tuos atvejus, kai dėl jų nebuvimo nepavyksta atremti atakos.
- Autentifikavimo apėjimai, kurie reikalauja prieigos prie programinės ar techninės įrangos.
- Pažeidžiamumai, kuriems reikalinga prieiga prie slaptažodžių, žymių ar vietinės sistemos (pvz., sesijos fiksavimas).
- Numanomi pažeidžiamumai, grindžiami tik versijų numeriais.
- Spragos, reikalaujančios labai mažai tikėtinų vartotojo veiksmų.
- Viešos informacijos ir informacijos, kuri nėra labai reikšminga, atskleidimas.
- Numatytam funkcionalumui skirti programos įrašymo ar kiti priverstiniai veksmai.
- Užklausos, pažeidžiančios tos pačios kilmės politiką (same-origin policy) be konkrečių atakos scenarijų (pvz. kai naudojama CORS ir autentifikacija neatliekama slapukų pagalba, ar jie nesiunčiami kartu su užklausomis).
Pranešime nurodoma informacija
- Išsamų spragos aprašymą, įskaitant išnaudojimo galimybes ir poveikį.
- Kiekvieną žingsnį, reikalingą spragos išnaudojimo galimybei atkurti.
- Paveiktus URL adresus, programėles (net jeigu jūs taip pat pateikėte mums kodo fragmentą, vaizdo įrašą).
- IP adresus, kurie buvo naudojami atliekant tyrimą.
- Visada nurodykite naudotojo ID, kuris naudojamas POC.
- Visada pridėkite visus failus, kuriuos bandėte įkelti.
- Pateikite pilną PoC.
- Prašome išsaugoti visus atakų žurnalus ir pridėti juos prie pranešimo.
Nepridėjus kurio nors iš minėtų elementų, atlygio išmokėjimas gali būti nepaskirtas arba uždelstas.
Praneškite mums apie spragas elektroniniu paštu security@paysera.com.
Tai nėra konkursas, o eksperimentinė ir diskrecinė atlygio programa. Prašome turėti omenyje, kad mes galime nutraukti programą bet kuriuo metu.
Dažniausiai užduodami klausimai
Mes manome, kad spragos tikrinimas yra labai svarbus žingsnis atliekant pažeidžiamumo tyrimą, ir tikimės, kad mums atsiųsti spragų pranešimai turės pagrįstą atakos scenarijų, ir jūs galėsite pretenduoti į atlygį. Atlygio dydis nustatomas remiantis didžiausiu spragos poveikiu. Komisija pasirengusi persvarstyti atlygio sumą, gavus naują informaciją apie galimą poveikio sunkumą (pvz., klaidų grandinę arba peržiūrėtą atakos scenarijų).
Jeigu pastebėjote potencialią grėsmę saugumui, prašome kuo skubiau mums apie tai pranešti. Komisija įvertins didžiausią galimą poveikį ir nustatys atitinkamą atlygio sumą. Mes reguliariai mokame didesnį atlygį už gerai parašytus ir naudingus pranešimus, kai tyrinėtojas nepastebėjo arba nepakankamai įvertino tam tikros spragos poveikį.