負責信息披露

報告

我們非常重視安全問題。如果您發現安全漏洞，我們要求您負責任地向我們披露詳細信息。

• 聯係security@ehsinsight.com或使用上麵的表格使用此漏洞報告頁麵，如果您在我們的產品中發現任何潛在的漏洞，符合以下所有提到的標準。您可以期待我們的安全團隊在提交後約48個工作小時內進行確認。
• 請避免在現有客戶的生產賬戶上進行安全測試。
• 在進行安全測試時，請確保不違反我們的隱私政策，不修改/刪除用戶數據，不破壞生產服務器，不降低用戶體驗。
• 您隻能將發現的漏洞披露給security@ehsinsight.com或者使用這漏洞報告頁麵使用上麵的表格．對公眾記錄任何潛在的範圍內/範圍外漏洞都違反了我們負責任的披露政策。
• 如果你的發現是有效和獨特的，你可能有資格獲得獎勵。

範圍外漏洞

• 點擊劫持/ UI矯正攻擊
• 隻影響過時瀏覽器的Self-XSS和XSS
• 使用已知漏洞的組件，而沒有相關的攻擊POC
• 主機標題和橫幅抓取問題
• 拒絕服務攻擊和分布式拒絕服務攻擊
• 自動工具掃描報告。例如:Web, SSL/TLS掃描，Nmap掃描結果等，
• 不敏感的cookie上缺少HTTP安全標頭和cookie標誌
• 限速，蠻力攻擊
• 登錄/注銷/低業務影響CSRF
• 無限製文件上傳
• 開放重定向-除非它們可以用於主動竊取令牌
• 公式/ CSV注入
• 需要對受害機器進行物理訪問的漏洞。
• 用戶枚舉，例如用戶電子郵件，用戶ID等，
• 釣魚/垃圾郵件(包括與SPF/DKIM/DMARC相關的問題)
• 缺少安全最佳實踐
• 第三方服務中發現的漏洞
• 會話固定和會話超時