ОТВЕТСТВЕННОСТЬ



 

 

 
 

Мы серьезно относимся к безопасности наших систем и постоянно стремимся сделать наш веб-сайт безопасным местом для просмотра нашими клиентами. Однако в тех редких случаях, когда какой-либо исследователь безопасности или представитель широкой общественности выявляет уязвимость в наших системах и ответственно делится с нами подробностями о ней, мы ценим их вклад, тесно сотрудничаем с ними для срочного устранения таких уязвимостей и если они хотят, публично признайте их вклад. FOXIZZ оставляет за собой все права проверять достоверность отчетов на основании воздействия уязвимости.

Чтобы иметь право на признание, вы должны

  • Будьте первым, кто ответственно раскроет ошибку.
  • Сообщите об ошибке, которая может поставить под угрозу личные данные наших пользователей, обойти защиту системы или обеспечить доступ к системе в нашей инфраструктуре.

Виды признания

  • Зал славы

Правила участия

Вы даете нам разумное время для расследования и устранения уязвимости, о которой вы сообщаете.

Пожалуйста, воздержитесь от доступа к конфиденциальной информации (с использованием тестовой учетной записи и/или системы), выполнения действий, которые могут негативно повлиять на других пользователей FOXIZZ (отказ в обслуживании), или отправки отчетов с помощью автоматизированных инструментов.

Вы не используете уязвимости безопасности, обнаруженные вами по какой-либо причине. (Это включает в себя демонстрацию дополнительных рисков, таких как попытка взлома конфиденциальных данных компании или проверка дополнительных проблем.)

Нарушение каких-либо законов или каких-либо соглашений с целью обнаружения уязвимостей.

Вы не раскрываете публично подробности уязвимости безопасности, о которой вы сообщили, без разрешения FOXIZZ.

Условия программы

Мы признаем исследователей безопасности, которые помогают нам обеспечивать безопасность пользователей, сообщая об уязвимостях в наших сервисах. Признание таких отчетов осуществляется исключительно по усмотрению FOXIZZ с учетом риска, воздействия и других факторов. Для признания в Зале славы FOXIZZ вам сначала необходимо соответствовать следующим требованиям:

  • Соблюдайте нашу Политику ответственного раскрытия информации
  • Сообщите об ошибке безопасности: определите уязвимость в наших службах или инфраструктуре, которая создает угрозу безопасности или конфиденциальности. (Обратите внимание, что FOXIZZ в конечном итоге определяет риск уязвимости и что многие ошибки программного обеспечения не являются уязвимостями безопасности.)
  • В вашем отчете должна быть описана проблема, связанная с одним из продуктов или услуг, перечисленных в разделе «Объем».
  • Мы специально исключаем определенные типы потенциальных уязвимостей безопасности; они перечислены в разделе «Исключения».

Если вы случайно нарушаете или нарушаете конфиденциальность (например, получаете доступ к данным учетной записи, конфигурациям службы или другой конфиденциальной информации) при исследовании уязвимости, обязательно сообщите об этом в своем отчете.

В свою очередь, мы будем следовать этим рекомендациям при оценке отчетов в рамках нашей программы ответственного раскрытия информации:

  • Мы расследуем все достоверные сообщения и реагируем на них. Однако из-за большого количества получаемых нами отчетов мы уделяем приоритетное внимание оценкам, основанным на риске и других факторах, и прежде чем вы получите ответ, может пройти некоторое время.
  • Мы определяем признание в Зале славы на основе множества факторов, включая (но не ограничиваясь) влияние, простоту использования и качество отчета. Обратите внимание, что уязвимости с крайне низким уровнем риска могут вообще не претендовать на включение в Зал славы.
  • В случае дублирования отчетов мы признаем первого человека, сообщившего об уязвимости. (FOXIZZ определяет дубликаты и не может раскрывать подробности в других отчетах.)

Обратите внимание, что использование вами услуг FOXIZZ, в том числе для целей этой программы, регулируется Условиями и политиками FOXIZZ. Мы можем хранить любые сообщения об уязвимостях безопасности, о которых вы сообщаете, до тех пор, пока мы сочтем это необходимым для целей программы, и мы можем отменить или изменить эту программу в любое время.

Объем

  • Андроид ФОКСИЗЗ
  • iOS ФОКСИЗЗ
  • Партнер по доставке Android FOXIZZ
  • iOS для бизнеса FOXIZZ
  • https://foxizz.com
  • https://foxizz.ru
  • https://foxizz.am

Как сообщить об уязвимости?

Если вы обнаружили уязвимость в каком-либо из наших веб-ресурсов или мобильных приложений, мы просим вас выполнить действия, описанные ниже:

  • Отправьте форму отчета об уязвимости с необходимой информацией, чтобы воссоздать сценарий уязвимости. Это могут быть скриншоты, видео или простые текстовые инструкции.
  • Если возможно, сообщите нам свои контактные данные (номер телефона), чтобы наша служба безопасности могла связаться с вами, если для выявления или решения проблемы потребуются дополнительные данные.
  • Если выявленная уязвимость может быть использована для потенциального извлечения информации о наших клиентах или системах или нарушения способности нашей системы нормально функционировать, воздержитесь от фактического использования такой уязвимости. Это абсолютно необходимо для того, чтобы мы считали ваше раскрытие ответственным.
  • Хотя мы ценим вклад хакеров Whitehat, мы можем обратиться в суд, если выявленные уязвимости используются для незаконной выгоды или получения доступа к ограниченной информации о клиентах или системе или наносят ущерб нашим системам.

Сообщить об уязвимости

Отправьте электронное письмо на адрес support@foxizz.com

Квалификационные уязвимости

Любая проблема проектирования или реализации, которая воспроизводима и существенно влияет на безопасность пользователей FOXIZZ, скорее всего, будет подпадать под действие программы. Общие примеры включают в себя:

  • Инъекции
  • Межсайтовый скриптинг (XSS)
  • Подделка межсайтовых запросов (CSRF)
  • Удаленное выполнение кода (RCE)
  • Недостатки аутентификации/авторизации
  • Уязвимости захвата домена
  • Возможность взять на себя управление другими учетными записями пользователей FOXIZZ (во время тестирования используйте другую тестовую учетную запись для проверки)
  • Любая уязвимость, которая может повлиять на бренд FOXIZZ, пользовательские данные и финансовые транзакции.

Исключения

Следующие ошибки вряд ли будут подходить:

  • Уязвимости, обнаруженные в ходе автоматического тестирования
  • «Выводы сканера» или отчеты, созданные сканером
  • Публично выпущенное программное обеспечение CVE или программное обеспечение нулевого дня в Интернете в течение 90 дней с момента их раскрытия.
  • «Консультационные» или «информационные» отчеты, не включающие тестирование или контекст FOXIZZ.
  • Уязвимости, требующие MITM или физического доступа к разблокированному устройству жертвы.
  • Атаки типа «отказ в обслуживании»

- Проблемы с SPF и DKIM.

- Внедрение контента

- Вставка гиперссылок в электронные письма

- Атаки на омографы IDN

- Неоднозначность RTL

  • Подмена контента
  • Уязвимости, связанные с политикой паролей
  • Полное раскрытие информации о любом объекте недвижимости
  • Раскрытие информации о номере версии
  • Сторонние приложения в каталоге приложений FOXIZZ (определяются наличием ссылки «Пожаловаться на это приложение» на странице приложения). Пожалуйста, сообщите об уязвимостях этих служб создателю конкретного приложения.
  • Кликджекинг на страницах, прошедших предварительную аутентификацию, или отсутствие X-Frame-Options, или другие неиспользуемые уязвимости кликджекинга.
  • Действия с поддержкой CSRF, для использования которых не требуется аутентификация (или сеанс).
  • Отчеты, относящиеся к следующим заголовкам, связанным с безопасностью.

- Строгая транспортная безопасность (HSTS)

- Заголовки предотвращения XSS (X-Content-Type и X-XSS-Protection)

- Параметры типа X-контента

- Настройки политики безопасности контента (CSP) (за исключением nosniff в сценарии, пригодном для эксплойтов)

  • Ошибки, которые не представляют никакой угрозы безопасности.
  • Ошибки безопасности в сторонних приложениях или службах, созданных на основе FOXIZZ API. Сообщайте о них третьей стороне, создавшей приложение или службу.
  • Ошибки безопасности в программном обеспечении, связанные с приобретением, в течение 90 дней после любого публичного объявления.
  • Включены методы HTTP TRACE или OPTIONS.
  • Неконфиденциальные (т. е. несессионные) файлы cookie, у которых отсутствуют флаги Secure или HttpOnly.
  • Поддомкрачивание крана
  • Для проблем с мобильным клиентом требуется рутированное устройство и/или устаревшая версия ОС или проблемы с закреплением SSL.
  • Поглощение поддоменов без подтверждающих доказательств
  • Отсутствуют рекомендации по настройке SSL/TLS.
  • Уязвимости, которые нельзя использовать для эксплуатации других пользователей или FOXIZZ — например, самостоятельный XSS или принуждение пользователя вставить JavaScript в консоль браузера.
  • Открытые порты без сопровождающего доказательства концепции, демонстрирующего уязвимость.
  • Уязвимости в форме отчета whitehat
  • Подача жалоб на услуги
  • Подача сообщений о мошенничестве и/или сообщений о подозрениях в мошенничестве на основе фальшивых или фишинговых электронных писем.
  • Сообщение о вирусах.
  • Подача жалоб или вопросов по поводу доступности сайта.


Благодарности

У нас нет программы вознаграждений/денежных вознаграждений за такое раскрытие информации, но мы выражаем нашу благодарность за ваш вклад разными способами. В случае раскрытия подлинной этической информации мы будем рады публично признать ваш вклад в этом разделе нашего веб-сайта. Конечно, это будет сделано, если вы хотите публичного признания.

Зал славы

FOXIZZ благодарит следующих людей за обнаружение и ответственное раскрытие уязвимостей безопасности в приложениях, продуктах или услугах, принадлежащих FOXIZZ. Мы благодарны за их вклад и усилия по обеспечению безопасности FOXIZZ.