负责披露
通过其基于SAAS的平台,Pagerduty赋予了开发人员,DevOps,IT运营和业务领导者,以防止和解决对业务影响的事件,以获得卓越的客户体验。Pagerduty凭借数百种本地集成,通话时间安万博pc版下载排和升级,机器学习,整个业务范围的响应编排,分析等等,每次都将正确的数据掌握在合适的人手中。您可以了解有关我们的产品和业务的更多信息这里。
Pagerduty认真对待安全漏洞和关注点。我们鼓励我们的用户和安全界成员私下,负责任地向我们报告可能的漏洞和事件,以便我们可以快速解决这些问题。
我们为有效报告提供赃物。我们目前不提供任何替代或现金奖励。
为了对我们的产品进行更多研究,良好的起点包括我们的开发人员和API文档, 这Pagerduty知识库,以及社区支持论坛。
披露政策
- 由于这是一个私人计划,因此请勿在未经组织明确同意的情况下讨论该计划之外的任何漏洞(甚至解决)。
- 关注Hackerone's披露准则。
程序规则
- 请提供可再现步骤的详细报告。如果报告不够详细以复制该问题,则该问题可能不会被标记为三角。
- 每个报告提交一个漏洞,除非您需要链接漏洞来提供影响。
- 当重复发生重复时,我们只对收到的第一份报告进行分类(前提是可以完全复制)。
- 一个基本问题引起的多个漏洞将被视为一份有效报告。
- 禁止社会工程(例如网络钓鱼,钓鱼,smishing)。
- 诚信努力避免侵犯隐私,破坏数据以及我们服务的中断或退化。仅与您拥有的帐户或帐户持有人的明确许可进行互动。
出现范围漏洞
报告漏洞时,请考虑(1)攻击方案 /可利用性,以及(2)错误的安全影响。以下问题被认为是不范围的:
- 在没有敏感动作的页面上点击劫机
- 未经身份验证的形式或形式没有敏感动作的跨站点请求伪造(CSRF)
- 需要MITM或物理访问用户设备的攻击。
- 以前已知的弱势库,没有工作的概念证明。
- 逗号分隔值(CSV)注入而没有证明脆弱性。
- 缺少SSL/TLS配置中的最佳实践。
- 任何可能导致服务中断的活动(DOS)。
- 内容欺骗和文本注入问题,没有显示攻击向量/无法修改HTML/CSS
- 在非授权端点上的限制或蛮力问题
- 缺少内容安全策略中的最佳实践。
- 缺少httponly或在cookie上固定标志
- 缺少电子邮件最佳实践(无效,不完整或缺少SPF/DKIM/DMARC记录等)
- 漏洞仅影响过时或未拨打的浏览器的用户[少于最新发布的稳定版本的2个稳定版本]
- 登录页面上的费率限制。我们对其他终点的限制确实存在,请在我们的开发人员文档网站以确保您没有报告预期的行为。
- 软件版本披露 /横幅标识问题 /描述性错误消息或标题(例如堆栈跟踪,应用程序或服务器错误)。
- tabnabbing
- 开放重定向 - 除非可以证明额外的安全影响
- 需要不太可能用户互动的问题
请注意,这不是详尽的列表,只是最常见的列表。仅仅因为此列表中没有出现某些内容,它并不能自动使其成为有效的提交。
避风港
以与本政策一致的方式进行的任何活动都将被视为授权行为,我们将不会对您提起法律诉讼。如果第三方针对根据本政策进行的活动提起了法律诉讼,我们将采取步骤知道您的行动是按照本政策进行的。
感谢您与我们合作!
我们尊重有才华的人,他们找到了安全问题,并感谢所有努力负责任地披露的努力。