Doistin Haavoittuvuuspalkinto-ohjelma


Lue käytäntömme huolellisesti, sillä se selventää, minkä tyyppisistä tietoturvaongelmista voimme palkita. Vain yhteydenottolomakkeellamme lähetetyt raportit (pääset tämän sivun alareunassa olevasta painikkeesta) otetaan huomioon palkkion saamiseksi.

Doistissa Haavoittuvuuspalkinto-ohjelmamme on kriittinen osa turvallisuustoimiamme. Jos olet löytänyt tietoturvaongelman, josta meidän pitäisi mielestämme tietää, haluaisimme tehdä yhteistyötä kanssasi. Ponnistelusi voivat johtaa rahalliseen palkkioon.

Kelpoisuus

  • Sinun on ilmoitettava ongelmasta ensimmäisenä, jotta voit saada palkkion.
  • Sinun on oltava käytettävissä toimittamaan lisätietoja, joita tiimimme tarvitsee ongelman toistamiseksi ja ratkaisemiseksi.

Ohjelman säännöt

  • Noudata HackerOnen julkistamisohjeita.
  • Poista kaikki tutkimuksen yhteydessä luomasi testitiedot tai tilit.
  • Älä hyökkää tai ole vuorovaikutuksessa loppukäyttäjien kanssa.
  • Älä käsittele varastettuja käyttäjätietoja, mukaan lukien kirjautumistiedot.
  • Älä käytä automaattisia tarkistuksia tai testauksia, mukaan lukien DoS-hyökkäyksiä.
  • Älä käytä sosiaalisen suunnittelun hyökkäyksiä, kuten tietojenkalastelua.
  • Älä testaa Doist-työntekijöitä tai heidän laitteitaan fyysisesti.
Näiden sääntöjen noudattamatta jättäminen johtaa välittömään hylkäämiseen.

Sallitut kohteet

Raportin läheittäminen

  • Anna yksityiskohtainen raportti, joka sisältää selkeästi toistettavat vaiheet, vaikutuksen tuotteisiimme ja/tai käyttäjiimme sekä kaikki mahdollisesti käyttämäsi testitilit sekä testitiedot.
  • Muista ilmoittaa itsenäisistä haavoittuvuuksista erikseen.
  • Varmista, että annat raportille selkeän otsikon, joka kuvaa haavoittuvuutta.
  • Raportissasi on oltava kirjalliset ohjeet haavoittuvuuden toistamiseen. Kaikki raportit, joissa ei ole selkeitä vaiheita tai jotka sisältävät vain videon konseptitestinä, voidaan evätä.

Palkinnot

Saatat olla oikeutettu saamaan rahapalkkion, jos:
    • Olet ensimmäinen henkilö, joka ilmoittaa tuotteen haavoittuvuuden
    • Tiimimme pitää haavoittuvuutta kelvollisena tietoturvaongelmana
    • Olet noudattanut kaikkia ohjelmasääntöjä

Kaikkien palkkiosummien osalta tiimimme arvioi jokaisen raportin ja antaa vakavuusasteen, joka määrittää rahallisen palkkion määrän. Alla on esimerkkejä kustakin vakavuusasteesta:

  • Turvallisuuteen liittymättömät ongelmat, kuten muut kuin 200 HTTP-vastauskoodit, sovellus- tai palvelinvirheet jne.
  • Ongelmat, joilla ei ole selkeää turvallisuusvaikutusta, kuten uloskirjautumisesta johtuva CSRF, puuttuvat HTTP-suojausotsikot, SSL-ongelmat, salasanakäytäntöongelmat tai clickjacking-hyökkäykset sivuille, joissa ei ole arkaluontoisia toimintoja
  • Vanhentuneita sovelluksia tai komponentteja koskevat ongelmat, joita ei enää käytetä tai ylläpidetä
  • Kolmansiin osapuoliin, kuten kolmansien osapuolien sovelluksiin tai käyttämiimme palveluihin (esim. Firebase, ZenDesk) vaikuttavat ongelmat
  • Roskaposti- tai Sosiaalisen suunnittelun -tekniikoihin liittyvät ongelmat, kuten SPF ja DKIM, sekä DNSSEC:n puute.
  • Palvelimen paljastamistietoihin liittyvät ongelmat, erityisesti `X-Powered-by` - ja `Server` -vastausotsikot. Poikkeuksia voi esiintyä aina, kun julkistetut tiedot sisältävät palvelinversion, johon liittyy CVE-paljastus.
  • Ongelmat, jotka liittyvät palvelinpuolen pyyntöjen väärentämiseen (SSRF) palveluissa, jotka suorittavat aktiivisia pyyntöjä suunnitellusti, ellei ole todistettu, että arkaluonteisia tietoja voi vuotaa.
  • Virheet, jotka edellyttävät erittäin epätodennäköistä käyttäjän vuorovaikutusta. (esim. tilin haltuunotto kirjautumisen kautta)
  • Raportit, jotka edellyttävät etuoikeutettua pääsyä kohteen laitteisiin tai jotka ovat muuten meidän hallinnassamme. Näitä ovat muun muassa pääsy selaimen evästeisiin ja/tai muihin tunnuksiin, joita käytetään käyttäjän matkimiseen, pääsy käyttäjän sähköpostiosoitteeseen jne.
  • Clickjacking-ongelmat, jotka esiintyvät esitodennetuilla sivuilla, `X-Frame-Options`-vaihtoehtojen puuttuminen tai muut clickjacking-ongelmat, joita ei voida hyödyntää.
  • Cross-OriginResourceSharing (CORS) -ongelmat, joissa palvelin EI vastaa "Access-Control-Allow-Credentials: true" -otsikolla.
  • Puuttuvat nopeusrajoitukset, ellei se voi johtaa hyödynnettävissä olevaan haavoittuvuuteen.
  • Käyttäjän sähköpostiosoitteiden luettelo rekisteröinti-, kirjautumis- ja unohtunut salasana -sivuilla.
  • Tiedostot ovat saatavilla URI-osoitteissa, joiden polku alkaa "/.well-known" (tunnetaan myös nimellä well-known URIs).
  • 2FA:n ohitus salasanan palautuksen kautta
  • Asiakassovelluskohtaiset ongelmat
    • Käyttäjätiedot on tallennettu salaamattomina
    • Hämärtymisen puute
    • Suorituksen aikaisen hakkeroinnin väärinkäyttö, joihin liittyy käynnissä olevan koodin tai sen ympäristön manipulointi
  • Avoimet uudelleenohjaukset
  • Palvelimen virheelliset määritys- tai valmisteluvirheet
  • Muiden kuin käyttäjän luottamuksellisten tietojen vuoto tai paljastaminen
  • Cross-OriginResourceSharing (CORS) -ongelmat, joissa palvelin vastaa "Access-Control-Allow-Credentials: true" -otsikolla pyyntöön, jossa on kolmannen osapuolen "Origin"-otsikko (eli ei "*.todoist.com", "*.twist". com`).
  • Heijastettu XSS
    • Sekalaista sisältöä koskevat ongelmat, jos kohde-URL-osoite ei vastaa 'Strict-Transport-Security' (eli HSTS) -otsikolla. Riski on edelleen olemassa, mutta rajoittuu yhteen vuorovaikutukseen verkkotunnusta/aliverkkotunnusta kohden (riippuen HSTS-arvosta). Vuonna 2021 selaimet ovat siirtyneet HTTPS-oletusasetuksiin, mikä lieventää tätä ongelmaa entisestään.
  • Muut matalat turvallisuusriskin ongelmat
  • CSRF / XSRF
  • SSRF sisäiseen palveluun
  • Tallennettu XSS
  • Muut keskitason turvallisuusriskin ongelmat
  • Tietovuodot tai paljastaminen, mukaan lukien arkaluonteiset käyttäjätiedot
  • Muut vakavat turvallisuusriskin ongelmat
  • SQL-injektio
  • Koodin etäsuoritus
  • Etuoikeuksien lisääntyminen
  • Rikkinäinen todennus
  • SSRF sisäiseen palveluun, mikä aiheuttaa kriittisen turvallisuusriskin
  • Muut kriittisen turvallisuusriskin ongelmat
SovellusMitätönMatalaKeskisuuriKorkeaKriittinen
Todoist0 $100 $200 $500 $1000 $
Twist0 $50 $100 $250 $500 $

Android-mobiilisovelluksemme haavoittuvuudet voivat saada ylimääräisen palkkion Google Play Security Rewards -ohjelman kautta.

Kaikki palkkiot maksetaan PayPalin kautta.

Doist's-tiimillä on oikeus päättää, onko toimitettu haavoittuvuus kelvollinen.

Kaikki Doist Haavoittuvuuspalkinto-tiimin päätökset korvauksen suuruudesta ovat lopullisia.

Ota yhteyttä

Ilmoita haavoittuvuus