Мы очень серьезно относимся к безопасности нашей системы, и поэтому мы постоянно работаем над тем, чтобы она была максимально безопасной для наших клиентов.
Однако бывают случаи, когда исследователи в области безопасности или другие члены общества обнаруживают уязвимости в наших системах. Они ответственно делятся с нами своими находками, и мы высоко ценим такие вклады.
Мы активно сотрудничаем с этими людьми, чтобы оперативно устранить выявленные уязвимости. Если они желают, мы также публично признаем их вклад и благодарим за помощь в улучшении нашей безопасности.
Ваше доверие для нас очень важно, и мы продолжаем прикладывать все усилия, чтобы обеспечить защиту вашей информации. Мы уверены, что совместная работа делает нашу систему еще более надежной!
FOXIZZ оставляет за собой все права проверять достоверность отчетов на основании воздействия уязвимости.
Чтобы иметь право на признание, вы должны
- Будьте первым, кто раскроет ошибку.
- Сообщите об ошибке, которая может поставить под угрозу личные данные наших пользователей, обойти защиту системы или обеспечить доступ к системе в нашей инфраструктуре.
Виды признания
Правила участия
Вы даете нам разумное время для расследования и устранения уязвимости, о которой вы сообщаете.
Пожалуйста, воздержитесь от доступа к конфиденциальной информации (с использованием тестовой учетной записи и/или системы), выполнения действий, которые могут негативно повлиять на других пользователей FOXIZZ (отказ в обслуживании), или отправки отчетов с помощью автоматизированных инструментов.
Вы не используете уязвимости безопасности, обнаруженные вами по какой-либо причине. (Это включает в себя демонстрацию дополнительных рисков, таких как попытка взлома конфиденциальных данных компании или проверка дополнительных проблем.)
Нарушение каких-либо законов или каких-либо соглашений с целью обнаружения уязвимостей.
Вы не раскрываете публично подробности уязвимости безопасности, о которой вы сообщили, без разрешения FOXIZZ.
Условия программы
Мы признаем исследователей безопасности, которые помогают нам обеспечивать безопасность пользователей, сообщая об уязвимостях в наших сервисах. Признание таких отчетов осуществляется исключительно по усмотрению FOXIZZ с учетом риска, воздействия и других факторов. Для признания в Зале славы FOXIZZ вам сначала необходимо соответствовать следующим требованиям:
- Соблюдайте нашу Политику ответственного раскрытия информации
- Сообщите об ошибке безопасности: определите уязвимость в наших службах или инфраструктуре, которая создает угрозу безопасности или конфиденциальности. (Обратите внимание, что FOXIZZ в конечном итоге определяет риск уязвимости и что многие ошибки программного обеспечения не являются уязвимостями безопасности.)
- В вашем отчете должна быть описана проблема, связанная с одним из продуктов или услуг, перечисленных в разделе «Объем».
- Мы специально исключаем определенные типы потенциальных уязвимостей безопасности; они перечислены в разделе «Исключения».
Если вы случайно нарушаете или нарушаете конфиденциальность (например, получаете доступ к данным учетной записи, конфигурациям службы или другой конфиденциальной информации) при исследовании уязвимости, обязательно сообщите об этом в своем отчете.
В свою очередь, мы будем следовать этим рекомендациям при оценке отчетов в рамках нашей программы ответственного раскрытия информации:
- Мы расследуем все достоверные сообщения и реагируем на них. Однако из-за большого количества получаемых нами отчетов мы уделяем приоритетное внимание оценкам, основанным на риске и других факторах, и прежде чем вы получите ответ, может пройти некоторое время.
- Мы определяем признание в Зале славы на основе множества факторов, включая (но не ограничиваясь) влияние, простоту использования и качество отчета. Обратите внимание, что уязвимости с крайне низким уровнем риска могут вообще не претендовать на включение в Зал славы.
- В случае дублирования отчетов мы признаем первого человека, сообщившего об уязвимости. (FOXIZZ определяет дубликаты и не может раскрывать подробности в других отчетах.)
Обратите внимание, что использование вами услуг FOXIZZ, в том числе для целей этой программы, регулируется Условиями и положениями FOXIZZ. Мы можем хранить любые сообщения об уязвимостях безопасности, о которых вы сообщаете, до тех пор, пока мы сочтем это необходимым для целей программы, и мы можем отменить или изменить эту программу в любое время.
Объем
- Андроид ФОКСИЗЗ
- iOS ФОКСИЗЗ
- Партнер по доставке Android FOXIZZ
- iOS для бизнеса FOXIZZ
- https://foxizz.com
- https://foxizz.ru
- https://foxizz.am
Как сообщить об уязвимости?
Если вы обнаружили уязвимость в каком-либо из наших веб-ресурсов или мобильных приложений, мы просим вас выполнить действия, описанные ниже:
- Отправьте форму отчета об уязвимости с необходимой информацией, чтобы воссоздать сценарий уязвимости. Это могут быть скриншоты, видео или простые текстовые инструкции.
- Если возможно, сообщите нам свои контактные данные (номер телефона), чтобы наша служба безопасности могла связаться с вами, если для выявления или решения проблемы потребуются дополнительные данные.
- Если выявленная уязвимость может быть использована для потенциального извлечения информации о наших клиентах или системах или нарушения способности нашей системы нормально функционировать, воздержитесь от фактического использования такой уязвимости. Это абсолютно необходимо для того, чтобы мы считали ваше раскрытие ответственным.
- Хотя мы ценим вклад хакеров Whitehat, мы можем обратиться в суд, если выявленные уязвимости используются для незаконной выгоды или получения доступа к ограниченной информации о клиентах или системе или наносят ущерб нашим системам.
Сообщить об уязвимости
Отправьте электронное письмо на адрес support@foxizz.com
Квалификация уязвимости
Любая проблема проектирования или реализации, которая воспроизводима и существенно влияет на безопасность пользователей FOXIZZ, скорее всего, будет подпадать под действие программы. Общие примеры включают в себя:
- Инъекции
- Межсайтовый скриптинг (XSS)
- Подделка межсайтовых запросов (CSRF)
- Удаленное выполнение кода (RCE)
- Недостатки аутентификации/авторизации
- Уязвимости захвата домена
- Возможность взять на себя управление другими учетными записями пользователей FOXIZZ (во время тестирования используйте другую тестовую учетную запись для проверки)
- Любая уязвимость, которая может повлиять на бренд FOXIZZ, пользовательские данные и финансовые транзакции.
Исключения
Следующие ошибки вряд ли будут подходить:
- Уязвимости, обнаруженные в ходе автоматического тестирования
- «Выводы сканера» или отчеты, созданные сканером
- Публично выпущенное программное обеспечение CVE или программное обеспечение нулевого дня в Интернете в течение 90 дней с момента их раскрытия.
- «Консультационные» или «информационные» отчеты, не включающие тестирование или контекст FOXIZZ.
- Уязвимости, требующие MITM или физического доступа к разблокированному устройству жертвы.
- Атаки типа «отказ в обслуживании»
- Проблемы с SPF и DKIM.
- Внедрение контента
- Вставка гиперссылок в электронные письма
- Атаки на омографы IDN
- Неоднозначность RTL
- Подмена контента
- Уязвимости, связанные с политикой паролей
- Полное раскрытие информации о любом объекте недвижимости
- Раскрытие информации о номере версии
- Сторонние приложения в каталоге приложений FOXIZZ (определяются наличием ссылки «Пожаловаться на это приложение» на странице приложения). Пожалуйста, сообщите об уязвимостях этих служб создателю конкретного приложения.
- Кликджекинг на страницах, прошедших предварительную аутентификацию, или отсутствие X-Frame-Options, или другие неиспользуемые уязвимости кликджекинга.
- Действия с поддержкой CSRF, для использования которых не требуется аутентификация (или сеанс).
- Отчеты, относящиеся к следующим заголовкам, связанным с безопасностью.
- Строгая транспортная безопасность (HSTS)
- Заголовки предотвращения XSS (X-Content-Type и X-XSS-Protection)
- Параметры типа X-контента
- Настройки политики безопасности контента (CSP) (за исключением nosniff в сценарии, пригодном для эксплойтов)
- Ошибки, которые не представляют никакой угрозы безопасности.
- Ошибки безопасности в сторонних приложениях или службах, созданных на основе FOXIZZ API. Сообщайте о них третьей стороне, создавшей приложение или службу.
- Ошибки безопасности в программном обеспечении, связанные с приобретением, в течение 90 дней после любого публичного объявления.
- Включены методы HTTP TRACE или OPTIONS.
- Неконфиденциальные (т. е. несессионные) файлы cookie, у которых отсутствуют флаги Secure или HttpOnly.
- Поддомкрачивание крана
- Для проблем с мобильным клиентом требуется рутированное устройство и/или устаревшая версия ОС или проблемы с закреплением SSL.
- Поглощение поддоменов без подтверждающих доказательств
- Отсутствуют рекомендации по настройке SSL/TLS.
- Уязвимости, которые нельзя использовать для эксплуатации других пользователей или FOXIZZ — например, самостоятельный XSS или принуждение пользователя вставить JavaScript в консоль браузера.
- Открытые порты без сопровождающего доказательства концепции, демонстрирующего уязвимость.
- Уязвимости в форме отчета whitehat
- Подача жалоб на услуги
- Подача сообщений о мошенничестве и/или сообщений о подозрениях в мошенничестве на основе фальшивых или фишинговых электронных писем.
- Сообщение о вирусах.
- Подача жалоб или вопросов по поводу доступности сайта.
Благодарности
У нас нет программы вознаграждений/денежных вознаграждений за такое раскрытие информации, но мы выражаем нашу благодарность за ваш вклад разными способами. В случае раскрытия подлинной этической информации мы будем рады публично признать ваш вклад в этом разделе нашего веб-сайта. Конечно, это будет сделано, если вы хотите публичного признания.
Зал славы
FOXIZZ благодарит следующих людей за обнаружение и ответственное раскрытие уязвимостей безопасности в приложениях, продуктах или услугах, принадлежащих FOXIZZ. Мы благодарны за их вклад и усилия по обеспечению безопасности FOXIZZ.