漏洞报告指南
感谢您使用站得住脚的,以确保我们可以提供一个及时的应对安全问题与我们的产品。站得住脚的支持负责任的安全漏洞的披露,我们致力于与研究人员完全理解并解决他们。
正确地帮助确保我们有足够的信息来评估一个潜在的问题,站得住脚的问你你的报告包括以下信息:
- 问题的描述解释了脆弱性,包括对用户的影响(s)或系统。这应该清楚地描述如何跨越特权边界问题。
- 受影响的产品或资源(例如,站得住脚的。io, Nessus SecurityCenter形变特性,pv,站得住脚的网站),软件版本,您所使用的平台(如Windows 10, Debian Linux)。
- 概念或功能的利用,以演示这个问题。如果一个概念验证不可用,请从您的测试生成包括任何相关日志。
- 任何警告或利用问题所需的条件。表明如果有任何非默认系统设置,自定义配置,需要用户交互,或其他限制攻击。
- 你有要求任何漏洞数据库标识符。如果你没有要求CVE标识符,表明如果你希望我们请求。
请注意,自己潜在的漏洞,不公开服务或应用程序攻击,不能作为有效的问题。例如,注射或缺乏一个HTML标签并不一定意味着应用程序易受跨站点脚本,并注入一个撇号(')并不一定意味着它是容易受到SQL注入。
一旦我们收到你的报告,站得住脚的将与你保持联系,提供更新我们的调查和身份验证的解决问题。在此期间我们也请求更多信息。如果您决定报道的问题是有效的,影响我们的一个产品,一个顾问将发表在一个解决方案为我们的客户。
请注明如果和你想被认为在咨询(名称、公司或归属等)。站得住脚的不参与公共错误赏金计划或提供金融奖发现问题。