負責信息披露
報告
我們非常重視安全問題。如果您發現安全漏洞,我們要求您負責任地向我們披露詳細信息。
- 聯係security@ehsinsight.com或使用上麵的表格使用此漏洞報告頁麵,如果您在我們的產品中發現任何潛在的漏洞,符合以下所有提到的標準。您可以期待我們的安全團隊在提交後約48個工作小時內進行確認。
- 請避免在現有客戶的生產賬戶上進行安全測試。
- 在進行安全測試時,請確保不違反我們的隱私政策,不修改/刪除用戶數據,不破壞生產服務器,不降低用戶體驗。
- 您隻能將發現的漏洞披露給security@ehsinsight.com或者使用這漏洞報告頁麵使用上麵的表格.對公眾記錄任何潛在的範圍內/範圍外漏洞都違反了我們負責任的披露政策。
- 如果你的發現是有效和獨特的,你可能有資格獲得獎勵。
範圍外漏洞
- 點擊劫持/ UI矯正攻擊
- 隻影響過時瀏覽器的Self-XSS和XSS
- 使用已知漏洞的組件,而沒有相關的攻擊POC
- 主機標題和橫幅抓取問題
- 拒絕服務攻擊和分布式拒絕服務攻擊
- 自動工具掃描報告。例如:Web, SSL/TLS掃描,Nmap掃描結果等,
- 不敏感的cookie上缺少HTTP安全標頭和cookie標誌
- 限速,蠻力攻擊
- 登錄/注銷/低業務影響CSRF
- 無限製文件上傳
- 開放重定向-除非它們可以用於主動竊取令牌
- 公式/ CSV注入
- 需要對受害機器進行物理訪問的漏洞。
- 用戶枚舉,例如用戶電子郵件,用戶ID等,
- 釣魚/垃圾郵件(包括與SPF/DKIM/DMARC相關的問題)
- 缺少安全最佳實踐
- 第三方服務中發現的漏洞
- 會話固定和會話超時