Program razkrivanja ranljivosti

LiveAgent si prizadeva, da bi bila storitev varna za vse, varnost podatkov pa je izjemnega pomena. Naš program za razkritje ranljivosti je namenjen čim manjšemu vplivu kakršnih koli varnostnih napak na naša orodja ali njihove uporabnike. Program za razkritje ranljivosti LiveAgent zajema programsko opremo, ki je delno ali v glavnem napisana s strani enote za kakovost.

Če ste raziskovalec varnosti in ste v storitvi odkrili varnostno ranljivost, cenimo vašo pomoč pri zasebnem razkritju in nam omogočite, da jo popravimo pred objavo tehničnih podrobnosti.

LiveAgent se bo povezal z raziskovalci varnosti, ko nam bodo sporočili ranljivosti, kot je opisano. V podporo naši zavezanosti varnosti in zasebnosti bomo potrdili, se odzvali in odpravili ranljivosti. Za tistie, ki odgovorno odkrijejo in poročajo o varnostnih ranljivostih, ne bomo sprožili pravnih ukrepov, začasno ustavili ali prekinili dostopa. LiveAgent si pridržuje vse svoje zakonske pravice v primeru neskladnosti.

Poročanje

Podrobnosti o morebitnih sumljivih ranljivostih delite z ekipo za razvijanje LiveAgent na support@liveagent.com. Prosimo, ne razkrivajte teh podrobnosti zunaj tega postopka brez izrecnega dovoljenja. Pri poročanju o morebitnih sumih ranljivostih vključite čim več informacij. Če želite predložiti več poročil hkrati, oddajte samo eno poročilo (najpomembnejše, če je mogoče) in počakajte na odgovor.

Kompenzacija

Z veseljem vam ponujamo nagrado za informacije o ranljivosti, ki nam pomagajo zaščititi naše stranke, kot zahvalo raziskovalcem varnosti, ki se odločijo za sodelovanje v našem programu nagrajevanja za odkrite napake. Redna nagrada znaša 50 USD na ranljivost, ki jo predložite in jo preveri naša razvojna skupina.

Nagradili bomo samo prvega poročevalca o ranljivosti. Podvojena poročila ne bodo nagrajena.

Pregled

Preskusite lahko samo z računom LiveAgent, za katerega ste lastnik računa ali agent, ki ga lastnik računa pooblasti za izvajanje takega testiranja. Na primer:

  • *yourdomain*.ladesk.com

Nagradili vas bomo za odkritje naslednje vrste ranljivosti:

  • Remote Command Execution (RCE)
  • SQL Injection
  • Zlomljena avtentikacija
  • Zlomljeno upravljanje sej
  • Obvod za nadzor dostopa
  • Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • Open URL preusmeritev
  • Prihajanje v imenik

Poročila o tem, ko lahko napadalec ogrozi svoj račun samo v vlogi skrbnika, ne bodo nagrajena. XSS, ki ga povzroči skrbnik, ne bo nagrajen z nagrado.

Za izpolnitev pogojev mora ranljivost obstajati v zadnji javni verziji (vključno z uradno izdanimi javnimi različicami beta) programske opreme. Upravičene so samo varnostne ranljivosti. Zelo bi nam bilo všeč, če bi ljudje prijavili druge napake po ustreznih kanalih, a ker je namen tega programa odpraviti varnostne ranljivosti, bodo do nagrad upravičene samo napake, ki vodijo do varnostnih ranljivosti. Druge napake bomo urejali po lastni presoji.

Navodila

Če želite biti upravičeni do nagrad v okviru tega programa razkritja, upoštevajte naslednje smernice:

  • Ne spreminjajte ali trajno brišite podatkov, ki jih gosti LiveAgent.
  • Ne dostopajte namerno do nejavnih podatkov LiveAgent več, kot je potrebno za dokazovanje ranljivosti.
  • Ne izvajajte DDoS ali kako drugačno motnjo, ki prekinja ali poslabšuje naše notranje ali zunanje storitve.
  • Zaupnih informacij, pridobljenih od LiveAgent, vključno s podatki o plačilih članov ali donatorjev, ne delite s tretjo osebo.
  • Socialni inženiring je izven področja. Nikomur ne pošiljajte lažnih e-mail sporočil ali uporabljajte drugih tehnik socialnega inženiringa, vključno z osebjem QualityUnit, člani, prodajalci ali partnerji.

Poleg tega nam omogočite vsaj 90 dni, da odpravimo ranljivost, preden javno o njej razpravljamo ali pišemo v blogih. Naša ekipa verjame, da imajo raziskovalci varnosti pravico poročati o svojih raziskavah in da je razkritje zelo koristno, ter razume, da je zelo subjektivno vprašanje, kdaj in kako zadržati podrobnosti, da bi zmanjšali tveganje, da bodo informacije o ranljivosti zlorabljene. Če menite, da je potrebno predhodno razkritje, nam to sporočite, da bomo lahko začeli komunikacijo.

Dnevnik sprememb

O vseh odpravljenih varnostnih težavah javno obveščamo prek našega dnevnika sprememb. Težave, povezane z varnostjo, so označene z oznako [Security].

Sorodni članki
Naučite se ključnih razlik med upravljanjem vsebine in upravljanjem znanja ter kako ju implementirati v svojo marketinško strategijo.

Upravljanje vsebin vs upravljanje znanja

Upravljanje vsebin se osredotoča na ustvarjanje, organiziranje in objavo digitalnih vsebin, medtem ko se upravljanje znanja osredotoča na zajemanje, organiziranje in deljenje znanja znotraj organizacije. Obe sta ključni za učinkovito upravljanje informacij in spodbujanje rasti in inovacij v organizaciji.

Naša spletna stran uporablja piškotke. Z nadaljevanjem uporabe te strani soglašate z uporabo piškotkov, kot je navedeno v našem pravilnik o zasebnosti in piškotkih.

Start Free Trial x