Мы серьезно относимся к безопасности наших систем и постоянно стремимся сделать наш веб-сайт безопасным местом для просмотра нашими клиентами. Однако в тех редких случаях, когда какой-либо исследователь безопасности или представитель широкой общественности выявляет уязвимость в наших системах и ответственно делится с нами подробностями о ней, мы ценим их вклад, тесно сотрудничаем с ними для срочного устранения таких уязвимостей и если они хотят, публично признайте их вклад. FOXIZZ оставляет за собой все права проверять достоверность отчетов на основании воздействия уязвимости.
Чтобы иметь право на признание, вы должны
- Будьте первым, кто ответственно раскроет ошибку.
- Сообщите об ошибке, которая может поставить под угрозу личные данные наших пользователей, обойти защиту системы или обеспечить доступ к системе в нашей инфраструктуре.
Виды признания
Правила участия
Вы даете нам разумное время для расследования и устранения уязвимости, о которой вы сообщаете.
Пожалуйста, воздержитесь от доступа к конфиденциальной информации (с использованием тестовой учетной записи и/или системы), выполнения действий, которые могут негативно повлиять на других пользователей FOXIZZ (отказ в обслуживании), или отправки отчетов с помощью автоматизированных инструментов.
Вы не используете уязвимости безопасности, обнаруженные вами по какой-либо причине. (Это включает в себя демонстрацию дополнительных рисков, таких как попытка взлома конфиденциальных данных компании или проверка дополнительных проблем.)
Нарушение каких-либо законов или каких-либо соглашений с целью обнаружения уязвимостей.
Вы не раскрываете публично подробности уязвимости безопасности, о которой вы сообщили, без разрешения FOXIZZ.
Условия программы
Мы признаем исследователей безопасности, которые помогают нам обеспечивать безопасность пользователей, сообщая об уязвимостях в наших сервисах. Признание таких отчетов осуществляется исключительно по усмотрению FOXIZZ с учетом риска, воздействия и других факторов. Для признания в Зале славы FOXIZZ вам сначала необходимо соответствовать следующим требованиям:
- Соблюдайте нашу Политику ответственного раскрытия информации
- Сообщите об ошибке безопасности: определите уязвимость в наших службах или инфраструктуре, которая создает угрозу безопасности или конфиденциальности. (Обратите внимание, что FOXIZZ в конечном итоге определяет риск уязвимости и что многие ошибки программного обеспечения не являются уязвимостями безопасности.)
- В вашем отчете должна быть описана проблема, связанная с одним из продуктов или услуг, перечисленных в разделе «Объем».
- Мы специально исключаем определенные типы потенциальных уязвимостей безопасности; они перечислены в разделе «Исключения».
Если вы случайно нарушаете или нарушаете конфиденциальность (например, получаете доступ к данным учетной записи, конфигурациям службы или другой конфиденциальной информации) при исследовании уязвимости, обязательно сообщите об этом в своем отчете.
В свою очередь, мы будем следовать этим рекомендациям при оценке отчетов в рамках нашей программы ответственного раскрытия информации:
- Мы расследуем все достоверные сообщения и реагируем на них. Однако из-за большого количества получаемых нами отчетов мы уделяем приоритетное внимание оценкам, основанным на риске и других факторах, и прежде чем вы получите ответ, может пройти некоторое время.
- Мы определяем признание в Зале славы на основе множества факторов, включая (но не ограничиваясь) влияние, простоту использования и качество отчета. Обратите внимание, что уязвимости с крайне низким уровнем риска могут вообще не претендовать на включение в Зал славы.
- В случае дублирования отчетов мы признаем первого человека, сообщившего об уязвимости. (FOXIZZ определяет дубликаты и не может раскрывать подробности в других отчетах.)
Обратите внимание, что использование вами услуг FOXIZZ, в том числе для целей этой программы, регулируется Условиями и политиками FOXIZZ. Мы можем хранить любые сообщения об уязвимостях безопасности, о которых вы сообщаете, до тех пор, пока мы сочтем это необходимым для целей программы, и мы можем отменить или изменить эту программу в любое время.
Объем
- Андроид ФОКСИЗЗ
- iOS ФОКСИЗЗ
- Партнер по доставке Android FOXIZZ
- iOS для бизнеса FOXIZZ
- https://foxizz.com
- https://foxizz.ru
- https://foxizz.am
Как сообщить об уязвимости?
Если вы обнаружили уязвимость в каком-либо из наших веб-ресурсов или мобильных приложений, мы просим вас выполнить действия, описанные ниже:
- Отправьте форму отчета об уязвимости с необходимой информацией, чтобы воссоздать сценарий уязвимости. Это могут быть скриншоты, видео или простые текстовые инструкции.
- Если возможно, сообщите нам свои контактные данные (номер телефона), чтобы наша служба безопасности могла связаться с вами, если для выявления или решения проблемы потребуются дополнительные данные.
- Если выявленная уязвимость может быть использована для потенциального извлечения информации о наших клиентах или системах или нарушения способности нашей системы нормально функционировать, воздержитесь от фактического использования такой уязвимости. Это абсолютно необходимо для того, чтобы мы считали ваше раскрытие ответственным.
- Хотя мы ценим вклад хакеров Whitehat, мы можем обратиться в суд, если выявленные уязвимости используются для незаконной выгоды или получения доступа к ограниченной информации о клиентах или системе или наносят ущерб нашим системам.
Сообщить об уязвимости
Отправьте электронное письмо на адрес support@foxizz.com
Квалификационные уязвимости
Любая проблема проектирования или реализации, которая воспроизводима и существенно влияет на безопасность пользователей FOXIZZ, скорее всего, будет подпадать под действие программы. Общие примеры включают в себя:
- Инъекции
- Межсайтовый скриптинг (XSS)
- Подделка межсайтовых запросов (CSRF)
- Удаленное выполнение кода (RCE)
- Недостатки аутентификации/авторизации
- Уязвимости захвата домена
- Возможность взять на себя управление другими учетными записями пользователей FOXIZZ (во время тестирования используйте другую тестовую учетную запись для проверки)
- Любая уязвимость, которая может повлиять на бренд FOXIZZ, пользовательские данные и финансовые транзакции.
Исключения
Следующие ошибки вряд ли будут подходить:
- Уязвимости, обнаруженные в ходе автоматического тестирования
- «Выводы сканера» или отчеты, созданные сканером
- Публично выпущенное программное обеспечение CVE или программное обеспечение нулевого дня в Интернете в течение 90 дней с момента их раскрытия.
- «Консультационные» или «информационные» отчеты, не включающие тестирование или контекст FOXIZZ.
- Уязвимости, требующие MITM или физического доступа к разблокированному устройству жертвы.
- Атаки типа «отказ в обслуживании»
- Проблемы с SPF и DKIM.
- Внедрение контента
- Вставка гиперссылок в электронные письма
- Атаки на омографы IDN
- Неоднозначность RTL
- Подмена контента
- Уязвимости, связанные с политикой паролей
- Полное раскрытие информации о любом объекте недвижимости
- Раскрытие информации о номере версии
- Сторонние приложения в каталоге приложений FOXIZZ (определяются наличием ссылки «Пожаловаться на это приложение» на странице приложения). Пожалуйста, сообщите об уязвимостях этих служб создателю конкретного приложения.
- Кликджекинг на страницах, прошедших предварительную аутентификацию, или отсутствие X-Frame-Options, или другие неиспользуемые уязвимости кликджекинга.
- Действия с поддержкой CSRF, для использования которых не требуется аутентификация (или сеанс).
- Отчеты, относящиеся к следующим заголовкам, связанным с безопасностью.
- Строгая транспортная безопасность (HSTS)
- Заголовки предотвращения XSS (X-Content-Type и X-XSS-Protection)
- Параметры типа X-контента
- Настройки политики безопасности контента (CSP) (за исключением nosniff в сценарии, пригодном для эксплойтов)
- Ошибки, которые не представляют никакой угрозы безопасности.
- Ошибки безопасности в сторонних приложениях или службах, созданных на основе FOXIZZ API. Сообщайте о них третьей стороне, создавшей приложение или службу.
- Ошибки безопасности в программном обеспечении, связанные с приобретением, в течение 90 дней после любого публичного объявления.
- Включены методы HTTP TRACE или OPTIONS.
- Неконфиденциальные (т. е. несессионные) файлы cookie, у которых отсутствуют флаги Secure или HttpOnly.
- Поддомкрачивание крана
- Для проблем с мобильным клиентом требуется рутированное устройство и/или устаревшая версия ОС или проблемы с закреплением SSL.
- Поглощение поддоменов без подтверждающих доказательств
- Отсутствуют рекомендации по настройке SSL/TLS.
- Уязвимости, которые нельзя использовать для эксплуатации других пользователей или FOXIZZ — например, самостоятельный XSS или принуждение пользователя вставить JavaScript в консоль браузера.
- Открытые порты без сопровождающего доказательства концепции, демонстрирующего уязвимость.
- Уязвимости в форме отчета whitehat
- Подача жалоб на услуги
- Подача сообщений о мошенничестве и/или сообщений о подозрениях в мошенничестве на основе фальшивых или фишинговых электронных писем.
- Сообщение о вирусах.
- Подача жалоб или вопросов по поводу доступности сайта.
Благодарности
У нас нет программы вознаграждений/денежных вознаграждений за такое раскрытие информации, но мы выражаем нашу благодарность за ваш вклад разными способами. В случае раскрытия подлинной этической информации мы будем рады публично признать ваш вклад в этом разделе нашего веб-сайта. Конечно, это будет сделано, если вы хотите публичного признания.
Зал славы
FOXIZZ благодарит следующих людей за обнаружение и ответственное раскрытие уязвимостей безопасности в приложениях, продуктах или услугах, принадлежащих FOXIZZ. Мы благодарны за их вклад и усилия по обеспечению безопасности FOXIZZ.