負責任的披露政策
預測索引致力於客戶信息的安全。我們重視安全研究人員在維護係統安全方麵的協助。如果您是一名安全研究人員,我們感謝您以負責任的方式幫助披露您發現的任何漏洞。在測試和報告漏洞之前,請檢查此策略。
我們將您納入我們的安全研究員名人堂.我們不為提交bug提供金錢獎勵。
被禁止的活動
預測指數不允許進行下列活動:
- 中斷或降低預測索引服務功能的操作,包括拒絕服務和暴力強製。
- 任何試圖訪問用戶帳戶或數據的行為。
- 任何修改或破壞數據的企圖。
- 預測指數雇員、承包商、合作夥伴或客戶的社會工程。
- 濫用我們的服務資源,包括但不限於發送未經請求或未經授權的電子郵件。
- 未經許可公開分享問題細節。
- 想要挾我們或者想把你的安全報告賣給我們。
- 違反任何法律或違反任何協議。
如對您的活動是否被允許有疑問,請與我們聯係security@predictiveindex.com.
合格的漏洞
Web應用程序漏洞,如XSS、XXE、CSRF、SQLi、本地或遠程文件包含、身份驗證問題、遠程代碼執行、授權問題、特權升級和點擊劫持。
盡管每一份提交的文件都將根據具體情況進行評估,但以下一些問題並不屬於安全漏洞:
- UI和UX bug和拚寫錯誤。
- TLS / SSL相關問題。
- SPF、DMARC、DKIM配置。
- 過時的瀏覽器或插件導致的漏洞。
- 內容安全的政策(CSP)。
- 生命終結產品中的漏洞。
- cookie上缺乏安全標誌。
- 用戶名枚舉。
- 依賴於Flash等插件存在的漏洞。
- 影響過期瀏覽器和插件用戶的缺陷。
- 安全標頭缺失,例如,但不限於" content-type-options ", " X-XSS-Protection "
- 出於安全原因可以刪除的頭文件,例如“X-Powered-By”
- 驗證碼作為安全保護機製缺失。
- 涉及設備上安裝的惡意應用程序的問題。
- 需要越獄設備的漏洞。
- 需要物理訪問移動設備的漏洞。
- 在沒有可用性證明的情況下使用已知易受攻擊的庫。
- 點擊劫持和UI修正攻擊,包括誘騙用戶點擊一個UI元素。
提交需求
請將調查結果提交至security@predictiveindex.com並包括以下內容:
- 漏洞的位置。
- 報告的漏洞的完整描述,包括可利用性和影響。
- 複製漏洞的步驟。
- 支持證據,如截圖、流量日誌、請求和響應。
在我們審查並解決該問題之前,請對該漏洞的信息保密。解決的時間框架取決於諸如漏洞的嚴重性、可利用性和影響以及解決方案的複雜性等因素。在漏洞披露後,我們將與您確認解決問題的預期時間框架。
你能從我們這裏期待什麼
- 我們會在提交報告後5個工作日內回複你security@predictiveindex.com.
- 我們將與你一起努力理解和解決這個問題。
- 當您遵循本政策中列出的指導方針時,我們不會因為您的研究而對您提起訴訟或進行執法調查。
- 如果您是第一個根據本政策報告合格漏洞的人,並且我們根據您的報告對代碼或配置進行了更改,我們將認可您在我們的安全研究員名人堂.
安全研究員名人堂
預測指數感謝以下安全研究人員負責任地披露漏洞並與我們合作修補它們。我們對你的傑出貢獻深表感謝。
- Riya金達爾,https://twitter.com/riyajindal01
- Kokalagi Rushikesh,https://www.linkedin.com/in/3raasrk,https://twitter.com/3RaasRK