Fluix责任披露政策
如果您认为您发现了影响Fluix软件、服务或web服务器的安全或隐私漏洞,请向我们报告。
在提交报告之前,请查看以下我们负责任的披露政策。
预期
安全是我们价值观的核心,我们重视安全专业人员的投入,真诚地帮助我们为用户的安全和隐私保持高标准。这包括鼓励负责任的漏洞研究和披露。本政策规定了我们在发现和报告漏洞时对诚信的定义,以及您可以从我们这里获得的回报。根据本政策与我们合作时,您可以期望我们:
- 为与此策略相关的漏洞研究扩展“安全港”。
- 与您一起理解和验证您的报告,包括对提交的及时初步回复;
- 及时修复发现的漏洞;而且
- 如果您是第一个报告独特漏洞的人,并且您的报告触发了代码或配置更改,请确认您对改善我们的安全做出的贡献。
基本规则
为了鼓励漏洞研究,并避免合法研究和恶意攻击之间的任何混淆,我们要求您善意地尝试:
- 遵守游戏规则。这包括遵循本政策的任何其他相关协议;
- 及时报告你发现的任何漏洞;
- 避免侵犯他人隐私、破坏我们的系统、破坏数据和/或损害用户体验;
- 仅使用官方渠道与我们讨论漏洞信息;
- 根据我们的披露政策处理任何已发现漏洞的保密细节;
- 只对范围内的系统进行测试,尊重范围外的系统和活动;
- 如果漏洞提供了对数据的非预期访问:将您访问的数据量限制为有效演示概念证明所需的最低限度;如果您在测试期间遇到任何用户数据,如个人身份信息(PII)、个人医疗保健信息(PHI)、信用卡数据或专有信息,则立即停止测试并提交报告;
- 您应该只与您拥有的或得到帐户持有人明确许可的测试帐户进行交互;而且
- 不可进行敲诈勒索。
- 不要执行任何“拒绝服务”类型的攻击。
安全港
在根据本政策进行漏洞研究时,我们认为根据本政策进行的研究为:
- 鉴于任何适用的反黑客法律,我们不会因您意外、善意违反本政策而发起或支持对您采取法律行动;
- 授权鉴于相关的反规避法律,我们不会就规避技术管制向您提出索赔;
- 不受我们的可接受使用政策中可能干扰安全研究的限制,我们在有限的基础上放弃这些限制;而且
- 合法,有利于互联网的整体安全,并本着诚信原则进行。
我们希望您一如既往地遵守所有适用的法律。如果第三方对您提起法律诉讼,而您遵守了本政策,我们将采取措施让您知道您的行为符合本政策。
如果您在任何时候有任何担忧或不确定您的安全研究是否符合本政策,请在进一步研究之前通过我们的官方渠道之一提交报告。
范围
以下服务和应用程序在范围内:
- fluix。io网站、服务和api,以及基础设施。
- 任何由Fluix Limited拥有和运营的公共(面向互联网的)基础设施
- 任何由flux运营和管理的公共云(例如Amazon AWS)资源或基础设施。
- 公有云存储帐户。(例如AWS S3桶)
- 公有云计算服务器。(例如AWS EC2实例)
- 任何对我们整个安全态势或基础设施有重大影响的东西
超出范围
- 需要使用过时的操作系统、浏览器和/或flux软件的攻击
- 旨在或可能降低、拒绝或对服务或用户体验产生不利影响的攻击(例如,拒绝服务、分布式拒绝服务、暴力破解、密码喷涂、垃圾邮件……)
- 旨在或可能破坏、损坏、使不属于您的数据或信息不可读(或试图这样做)的攻击。
- 设计或可能验证被盗凭证、凭证重用、帐户接管(ATO)、劫持或其他基于凭证的技术的攻击。
- 故意访问不属于您的数据或信息,超出演示漏洞所需的最低可行访问权限。
- 对Fluix人员、办公室、无线网络或财产执行物理、社会工程或电子攻击。
- 与flux产品或基础设施集成的第三方应用程序、服务或依赖项中的安全问题,这些应用程序、服务或依赖项没有可证明的漏洞概念证明(例如,库、SAAS服务)。
- 由报告者创建或引入的安全问题或漏洞(例如,修改我们所依赖的库,以包括仅为了获得奖励的漏洞)。
- 对任何未明确提及为授权和范围内的系统进行的攻击。
- 缺少“最佳实践”或其他准则的报告,而这些准则并不表明存在安全漏洞。
- 报告与帐户所有者故意设置弱安全控制有关的安全问题(例如,放宽密码策略)
- 越狱iOS设备上成功的Keychain数据提取报告
- 应用程序二进制文件或嵌入解释代码中缺少源代码混淆的报告
- 需要物理访问受害者已解锁设备的漏洞
- 报告版本信息的存在
- 报告旧版本的软件,但没有显示flux中的漏洞
- 自动漏洞评估工具生成的报告。
- 报告中缺少“最佳实践”或其他不表明安全问题的指导方针。
- 非敏感cookie上缺少cookie标志。
- 不安全SSL/TLS密码的报告(除非附有概念的工作证明)。
- 简单IP或端口扫描报告。
- 缺少HTTP报头(例如缺少HSTS)。
- 域名系统安全扩展(DNSSEC)缺失报告
- 电子邮件安全最佳实践或控制(例如SPF, DKIM, DMARC)。
- 软件或基础设施的横幅,指纹识别,或侦察,没有证明的漏洞。
- 点击劫持或自xss报告。
- 任何需要受害者进行重大且不太可能的交互的漏洞,例如禁用浏览器控件
- 内部主机或基础设施的可公开解析或可访问DNS记录的报告。
- 在沙盒环境中用户提供的远程代码执行报告(例如,产品特性).
- 基于域名的网络钓鱼、排版、小码、位翻转或其他技术。
- 在安全连接(HTTPS)上将敏感令牌、密码短语和密钥泄露给受信任的第三方。
- 基于完全控制授权用户会话的报告(例如,受害者在注销前正在使用受损系统或从公共计算机分心)
- 注销端点的CSRF
- EXIF地理定位元数据没有从服务图像(例如自定义公司标志)或用户的非公开文档中剥离金宝搏188入口
- 有关使用别名地址(例如somebody+alias@gmail.com)以规避任何服务限制的报告
- 报告特权升级尝试更改应用程序用户界面,但实际上不公开或修改服务器上的任何数据。
- 通过使用IP地址池绕过基于IP的速率限制的报告
- 报告涉及第三方SaaS服务(如Hubspot)的安全问题,但没有概念证明违反Fluix产品安全
- 使用Fluix服务在电子邮件的文本内容中发送域名的相关报告(即在服务的某个地方指定“test.com”并在电子邮件正文中看到它)
奖励
我们相信要认可他人的工作。
flux可自行决定为漏洞报告者提供奖励。您可以使用以下指示性值作为一般指导:
- 严重(9.0-10.0)- $3000+
- 高(7.0-8.9)- 1000美元
- 中等(4.0-6.9)- 500美元
- 低(0.1-3.9)-高达100美元
奖励金额取决于CVSS v3.0确定的严重程度。
当出现重复的报告时,我们授予我们可以完全复制的第一份报告。由一个潜在问题引起的多个漏洞将获得一次奖励。
目前,我们不为没有安全影响的软件问题提供奖励。
报告
要报告安全或隐私漏洞,请发送电子邮件至security@readdle.com在你的信息中包括相关的重现步骤、日志和/或视频。
请通过发送不同的电子邮件报告不同的发现,每个邮件都有一个相关的主题。
你可以使用我们的PGP的关键加密您通过电子邮件发送的敏感信息。
政策文本
我们负责任的披露政策是基于https://disclose.io/漏洞披露框架。