Zásady společnosti Doist ohledně programu Bug Bounty
Důkladně si přečtěte naše zásady, protože objasňují, za které typy bezpečnostních problémů máte nárok na odměnu. Na odměnu budou mít nárok pouze hlášení odeslaná prostřednictvím našeho kontaktního formuláře (dostupného přes tlačítko v dolní části této stránky).
Program Bug Bounty představuje ve společnosti Doist kritickou součást zabezpečení našich aplikací. Pokud najdete bezpečnostní chybu, o které se domníváte, že bychom o ní měli vědět, jsme jedno velké ucho. Za své zjištění a za snahu vám může vzniknout nárok na odměnu.
Nárok
Abyste na odměnu měli nárok, musíte být prvním, kdo tuto chybu nahlásí.
Musíte být plně k dispozici a musíte dodat další informace podle potřeb našeho týmu, aby se chyba dala zopakovat a vyřešit.
Poskytněte podrobný popis včetně jasných kroků k navození chyby, dopadů na naše produkty a/nebo uživatele a testovacích účtů a dat, které jste případně použili.
Ujistěte se, že na sobě nezávislé chyby zabezpečení nahlásíte odděleně.
Nezapomeňte dát hlášení jasný název, který chybu zabezpečení popisuje.
Vaše hlášení musí obsahovat písemné pokyny k zopakování chyby zabezpečení. Na hlášení, které neobsahuje jasné kroky k zopakování chyby nebo obsahuje pouze video, nemusí být brán zřetel a takové hlášení nemusí mít nárok na odměnu.
Odměny
Na finanční odměnu vám může vzniknout nárok, pokud:
Jste první osobou, která nahlásí chybu zabezpečení produktu
Náš tým chybu zabezpečení vyhodnotí jako platnou bezpečnostní chybu
Jednáte v souladu s veškerými pravidly programu
Výši všech odměn určí náš tým, který vyhodnotí každé hlášení a přiřadí mu úroveň závažnosti, podle níž se určí výše obdržené peněžní odměny. Úrovně závažnosti určujeme interně na základě typu chyby zabezpečení a potenciálního dopadu. Níže najdete příklady jednotlivých úrovní závažnosti:
Chyby nesouvisející se zabezpečením, jako například kódy odpovědí, které nejsou typu 200 HTTP, chyby aplikace nebo serveru atd.
Chyby bez jasného bezpečnostního dopadu, jako například odhlášené CSRF, chybějící bezpečnostní záhlaví HTTP, chyby v SSL, chyby v zásadách hesel nebo tzv. clickjacking na stránkách bez citlivých akcí.
Chyby ovlivňující zastaralé aplikace nebo komponenty, které se už nepoužívají nebo neudržují
Chyby ovlivňující třetí strany, jako například aplikace nebo služby třetích stran, které používáme (např. Firebase, ZenDesk)
Problémy týkající se spamu nebo technik sociálního inženýrství, jako jsou SPF a DKIM, a absence DNSSEC.
Problémy týkající se prozrazení údajů o serveru, konkrétně hlaviček „X-Powered-by“ a „Server“. Výjimky mohou existovat vždy, když zveřejněné informace obsahují verzi serveru s přidruženým odhalením CVE.
Chyby týkající se falšování požadavků na straně serveru (SSRF) u služeb, které ve skutečnosti mají provádět aktivní požadavky, pokud není prokázáno, že skutečně může dojít k úniku citlivých údajů.
Chyby vyžadující mimořádně nepravděpodobnou uživatelskou interakci (např. převzetí účtu prostřednictvím přihlášení SSO).
Hlášení, které vyžadují privilegovaný přístup k cílovým zařízením nebo které jsou jinak mimo naši kontrolu. Patří mezi ně mimo jiné: přístup k souborům cookie prohlížeče nebo jiným tokenům používaným k vydávání se za uživatele, přístup k e-mailové adrese uživatele atd.
Problémy s clickjackingem, které se vyskytují na předem ověřených stránkách, nebo absence X-Frame-Options či jiné problémy s clickjackingem, které není možné nijak zneužít.
Problémy s Cross-OriginResourceSharing (CORS), kdy server NEodpovídá pomocí hlavičky „Access-Control-Allow-Credentials: true“.
Chybějící limity rychlosti, pokud ovšem nevedou ke zneužitelné chybě v zabezpečení.
Výčet e-mailů uživatelů na stránkách pro registraci, přihlášení a zapomenuté heslo.
Soubory dostupné v URI s cestou začínající „/.well-known“ (také známo jako well-known URI).
Obcházení dvoufaktorového ověřování přes obnovení hesla
Chyby specifické pro klientské aplikace
Uživatelská data uchovávána nezašifrovaná
Chybějící obfuskace
Runtime hackování, které zahrnuje manipulaci běžícího kódu nebo jeho prostředí
Úroveň závažnosti: Nízká
Otevřená přesměrování
Špatná konfigurace serveru nebo chyby zřizování
Úniky nebo vyzrazení informací bez citlivých uživatelských údajů
Problémy s Cross-OriginResourceSharing (CORS), kdy server odpovídá hlavičkou „Access-Control-Allow-Credentials: true“ na požadavek s hlavičkou „Origin“ třetí strany (tj. ne „*.todoist.com“, „*.twist.com“).
Odražené XSS
Problémy smíšeného obsahu, pokud cílový odkaz URL neodpovídá pomocí záhlaví „Strict-Transport-Security“ (čili HSTS). Riziko sice stále existuje, ale je omezeno na jedinou interakci na jednu doménu/subdoménu (v závislosti na hodnotě HSTS). V roce 2021 prohlížeče přecházely na výchozí HTTPS, což tento problém ještě více zmírňovalo.
Další chyby nízké závažnosti
Úroveň závažnosti: Střední
CSRF / XSRF
SSRF na interní službě
Uložené XSS
Další chyby střední závažnosti
Úroveň závažnosti: Vysoká
Úniky nebo vyzrazení informací včetně citlivých uživatelských údajů
Další chyby vysoké závažnosti
Úroveň závažnosti: Kritická
Injektáž SQL
Spuštění vzdáleného kódu
Elevace oprávnění
Nefunkční ověření
SSRF na interním zařízení, které má za následek kritickou bezpečnostní chybu