Chính sách thông báo lỗ hổng

Chào mừng đến với Chính sách thông báo lỗ hổng của tập đoàn Funding Societies. Chính sách này được thiết kế nhằm khuyến khích các nhà nghiên cứu bảo mật và công chúng hành động thiện chí và tham gia một cách có trách nhiệm vào công tác thông báo lỗ hổng bảo mật xuất hiện trên Trang web/Đám mây/Tài sản di động của chúng tôi. Những nỗ lực của bạn giúp chúng tôi duy trì một môi trường an toàn và bảo mật cho người dùng.

• Funding Societies cam kết cung cấp sản phẩm và dịch vụ an toàn, đảm bảo dữ liệu của khách hàng được bảo mật. 

• Chính sách thông báo lỗ hổng mô tả cách tiếp cận của Funding Societies trong việc yêu cầu và nhận báo cáo liên quan đến các lỗ hổng và lỗi tiềm ẩn trong các sản phẩm và dịch vụ của mình.

Khách hàng, người dùng, nhà nghiên cứu, đối tác và bất kỳ người nào tương tác với các sản phẩm và dịch vụ của Funding Societies đều được khuyến khích báo cáo chi tiết các lỗ hổng và lỗi theo hướng dẫn được cung cấp trên trang này.

• Funding Societies trân trọng mọi nỗ lực xác định lỗ hổng hoặc lỗi của các bên báo cáo giúp cải thiện tính bảo mật và độ tin cậy của các sản phẩm và dịch vụ của chúng tôi.

Quy định tham gia:

1. Thông báo có trách nhiệm: Khi báo cáo các lỗ hổng và lỗi tiềm ẩn trong các sản phẩm và dịch vụ của Funding Societies, hãy tuân thủ các nguyên tắc nhất định. Quy tắc đầu tiên là bạn không được khai thác hoặc sử dụng bất kỳ lỗ hổng hoặc lỗi nào được phát hiện cho bất kỳ mục đích nào khác ngoài việc báo cáo cho chúng tôi.

2. Thử nghiệm có đạo đức: Nhằm đảm bảo một môi trường an toàn, không thực hiện thử nghiệm hoặc nghiên cứu với mục đích gây tổn hại cho Funding Societies, các bên liên quan hoặc đối tác của Funding Societies.

3. Đảm bảo tính toàn vẹn dữ liệu: Để duy trì tính toàn vẹn của cuộc điều tra, không giả mạo, xóa, thay đổi hoặc hủy dữ liệu đã truy cập liên quan đến lỗ hổng. 

4. Các hoạt động bị cấm: Các hoạt động bị cấm bao gồm tấn công phi kỹ thuật, gửi thư rác, lừa đảo, tấn công từ chối dịch vụ, tấn công cạn kiệt tài nguyên, chạy các công cụ kiểm tra tự động. Những hành động này hoàn toàn nằm ngoài giới hạn của việc thử nghiệm.

5. Tuân thủ pháp luật: Bắt buộc phải tuân thủ tất cả các luật hiện hành. Các hành động báo cáo không được vi phạm bất kỳ điều luật hoặc quy định có liên quan.

6. Bảo mật: Không tiết lộ thông tin về báo cáo, các lỗ hổng bảo mật hoặc thông tin bạn đã báo cáo cho Funding Societies. Không tiết lộ lỗ hổng hoặc thông tin chi tiết một cách công khai.

7. Khai thác có giới hạn: Chỉ khai thác lỗ hổng ở mức độ cần thiết để chứng minh sự tồn tại của nó; không khai thác quá mức cần thiết.

8. Đảm bảo tính toàn vẹn của dịch vụ: Không cố ý làm tổn hại hoặc làm suy giảm tính toàn vẹn các dịch vụ của Funding Societies.

9. Không tấn công từ chối dịch vụ (DOS): Không tham gia vào bất kỳ hình thức tấn công từ chối dịch vụ (DOS) nào chống lại các dịch vụ của Funding Societies.

10. Tôn trọng quyền riêng tư: Không vi phạm quyền riêng tư của người dùng, phá hủy dữ liệu, làm gián đoạn dịch vụ hoặc tham gia vào bất kỳ hoạt động có hại nào.

Quy trình thông báo:

Nếu bạn phát hiện ra lỗ hổng bảo mật, vui lòng gửi báo cáo qua email: mailto:[email protected] kèm theo thông tin sau: mô tả chi tiết về lỗ hổng bảo mật, bao gồm các bước để tái tạo lỗ hổng đó, mọi ảnh chụp màn hình, video hoặc bằng chứng khái niệm mã (POC) và thông tin liên hệ của bạn. Sau đó, nhóm bảo mật của Funding Societies sẽ điều tra báo cáo và cập nhật cho bạn thông tin về tiến trình của chúng tôi. Báo cáo vấn đề bảo mật cho Funding Societies đồng nghĩa với việc bạn chấp nhận các điều khoản và điều kiện được nêu trong Chính sách tiết lộ lỗ hổng bảo mật và Quy định tham gia.

Cam kết của chúng tôi:

Để thể hiện lòng biết ơn, chúng tôi sẽ đưa ra lời xác nhận qua email.

Ngoài ra, những cá nhân có đóng góp đáng kể vào việc bảo mật các dịch vụ của Funding Societies, sẽ được nêu tên tại Bảng vinh danh với sự đồng ý của người dùng.

Liên hệ

Nếu có bất kỳ câu hỏi nào liên quan đến phạm vi chương trình và các lỗ hổng bảo mật, vui lòng liên hệ với Funding Societies theo địa chỉ [email protected].

Bảng vinh danh

Năm 2023

Năm 2024

Lỗ hổng bảo mật ngoài phạm vi

• Tiếp quản tên miền phụ mà không có bằng chứng thực tế.

• Thu thập tài khoản (ví dụ: liệt kê tên người dùng WordPress).

• Truy cập vào khóa và thông tin xác thực mà không có bằng chứng cho thấy chúng hợp lệ.

• Thiếu giới hạn tỷ lệ trên các điểm cuối API, trừ khi đó là để ép buộc mã thông báo vượt qua có entropy không đủ (ví dụ: mật mã 4 chữ số không bị vô hiệu và giới hạn tỷ lệ).

• Lỗ hổng được tìm thấy trong các thiết bị di động đã root.

• Bảng liệt kê UUID dưới bất kỳ hình thức nào.

• Ghim SSL.

• Bảng liệt kê mã mời/khuyến mãi.

• Mở chuyển hướng. 99% chuyển hướng mở có tác động bảo mật thấp. Ngoại trừ đối với những trường hợp hiếm hoi có tác động cao hơn, ví dụ: đánh cắp mã thông báo oauth.

• Các báo cáo nêu rõ rằng phần mềm đã lỗi thời/dễ bị tổn thương mà không có bằng chứng về khái niệm.

• Các báo cáo chỉ ảnh hưởng đến tác nhân người dùng hoặc phiên bản ứng dụng đã lỗi thời - chúng tôi chỉ xem xét các hoạt động khai thác trong các phiên bản trình duyệt mới nhất dành cho Safari, FireFox, Chrome, Edge, IE và các phiên bản ứng dụng hiện có trong cửa hàng ứng dụng.

• Dấu vết ngăn xếp, tiết lộ đường dẫn và danh sách thư mục.

• Chèn CSV.

• Mối quan tâm thực hành tốt nhất.

• Các báo cáo có tính suy đoán cao về thiệt hại về mặt lý thuyết - vui lòng luôn cung cấp bằng chứng về khái niệm.

• Các lỗ hổng không thể được sử dụng để khai thác những người dùng khác hoặc Funding Societies - ví dụ: self-xss (yêu cầu người dùng dán JavaScript vào bảng điều khiển trình duyệt).

• Hầu hết các lỗ hổng trong môi trường sandbox hoặc staging của chúng tôi.

• Các lỗ hổng được báo cáo bởi các công cụ tự động mà không cần phân tích bổ sung về nguyên nhân gây ra sự cố.

• Báo cáo từ máy quét lỗ hổng web tự động (Acunetix, Vega, v.v.) chưa được xác thực.

• Các cuộc tấn công từ chối dịch vụ phân tán (DDOS) hoặc bất kỳ hoạt động nào sẽ gây ra sự gián đoạn dịch vụ..

• Vấn đề chèn nội dung.

• Giả mạo yêu cầu chéo trang (CSRF) với hàm ý bảo mật tối thiểu (Đăng xuất CSRF, v.v.)

• Thiếu cờ cookie trên cookie không xác thực.

• Giả mạo email.

• Thiếu tiêu đề bảo mật HTTP.

• Thiếu cờ cookie HTTPOnly và Secure.

• Các vấn đề yêu cầu quyền truy cập vật lý vào máy tính/thiết bị của nạn nhân.

• Báo cáo quét SSL/TLS (điều này có nghĩa là kết quả đầu ra từ các trang web như SSL Labs).

• Các vấn đề về lấy biểu ngữ (tìm hiểu xem chúng tôi sử dụng máy chủ web nào, v.v.).

• Mở các cổng mà không có bằng chứng khái niệm kèm theo thể hiện lỗ hổng.

• Tấn công liên kết bị hỏng.

• Tấn công phi kỹ thuật.