CHÍNH SÁCH THÔNG BÁO LỖ HỔNG BẢO MẬT

CHÍNH SÁCH THÔNG BÁO LỖ HỔNG BẢO MẬT

Chúng tôi coi trọng việc bảo mật hệ thống của mình và đánh giá cao cộng đồng an ninh. Việc thông báo các lỗ hổng bảo mật giúp chúng tôi đảm bảo an toàn và riêng tư cho người dùng. Lưu ý rằng bất kỳ việc báo cáo các lỗ hổng tiềm năng là tự nguyện và phải tuân thủ các điều khoản và điều kiện được liệt kê trong Chính sách này. Bằng cách thông báo phát hiện lỗ hổng bảo mật, người thông báo xác nhận đã đọc và đồng ý với Chính sách này.

Chính sách này được thiết kế để giải thích cho khách hàng về loại tình huống nào được coi là lỗ hổng bảo mật trong quá trình sử dụng nền tảng của chúng tôi, để khách hàng có thể đóng góp ý kiến ​​về các lỗ hổng bảo mật mà họ gặp phải, giúp chúng tôi tìm kiếm và sửa chữa các lỗ hổng bảo mật và tối ưu hóa trải nghiệm của khách hàng khi sử dụng dịch vụ nền tảng của chúng tôi.

Phạm vi:

Website:https://www.proxy24h.net/, bao gồm subdomain:

app.proxy24h.net

Bất kỳ dịch vụ nào không được liệt kê rõ ràng ở trên đều bị loại khỏi phạm vi và không được phép thử nghiệm.

Ngoài ra, các lỗ hổng được tìm thấy trong hệ thống từ nhà cung cấp của chúng tôi nằm ngoài phạm vi của chính sách này và phải được báo cáo trực tiếp cho nhà cung cấp theo chính sách tiết lộ của họ (nếu có).

Mặc dù chúng tôi phát triển và duy trì các hệ thống hoặc dịch vụ có thể truy cập internet khác, chúng tôi yêu cầu chỉ tiến hành nghiên cứu và thử nghiệm tích cực trên các hệ thống và dịch vụ nằm trong phạm vi của tài liệu này.

Nếu có một hệ thống cụ thể không nằm trong phạm vi mà bạn cho rằng đáng để thử nghiệm, vui lòng liên hệ với chúng tôi để thảo luận về vấn đề đó trước.

Các lỗ hổng ngoài phạm vi:

Các cuộc tấn công từ chối dịch vụ ở cấp độ mạng;

Ứng dụng bị từ chối dịch vụ do tài khoản người dùng bị khóa;

Tiết lộ công khai tệp hoặc thư mục (ví dụ: file robots.txt…);

Phiên bản phần mềm/thư viện quá cũ;

Phương thức OPTIONS/TRACE HTTP được bật;

CSRF không được đăng nhập;

CSRF trên các biểu mẫu có sẵn cho người dùng ẩn danh;

Cookies thiếu cài đặt chỉ HTTP hoặc thiếu cài đặt bảo mật cho dữ liệu không nhạy cảm;

Self-XSS và các vấn đề chỉ có thể khai thác được thông qua Self-XSS;

Các cuộc tấn công yêu cầu quyền truy cập vật lý vào thiết bị của người dùng;

Tên đăng nhập của tài khoản xuất hiện trên trang do hành động login;

Các chính sách thực thi đối với hành vi vi phạm chính sách của chúng tôi.

Các cuộc tấn công SSL, chẳng hạn như BEAST, BREACH hoặc tấn công Renegotiation;

Các cuộc tấn công clickjacking;

Các vấn đề về cấu hình Mail bao gồm cài đặt SPF, DKIM, DMARC;

Sử dụng thư viện mã nguồn dễ bị tấn công mà không nằm trong hướng dẫn cụ thể đối với việc triển khai dịch vụ của chúng tôi;

Chính sách khôi phục mật khẩu và tài khoản;

Sự hiện diện của chức năng tự động hoàn thành trong các trường biểu mẫu;

Thiếu xác minh địa chỉ email trong quá trình đăng ký tài khoản;

Thiếu địa chỉ email xác thực khôi phục mật khẩu;

Kiểm soát phiên trong khi thay đổi email/mật khẩu.

Ủy Quyền

Nếu bạn nghiêm túc tuân thủ chính sách này trong quá trình nghiên cứu bảo mật của mình, chúng tôi sẽ coi nghiên cứu của bạn là được ủy quyền, chúng tôi sẽ làm việc với bạn để hiểu và giải quyết vấn đề nhanh chóng và Proxy24h sẽ không khuyến nghị hoặc theo đuổi hành động pháp lý liên quan đến nghiên cứu của bạn.

Bạn phải tuân thủ pháp luật hiện hành, nếu một bên thứ ba khởi kiện bạn và bạn đã tuân thủ chính sách này, chúng tôi sẽ thực hiện các bước để thông báo rằng hành động của bạn được thực hiện tuân thủ chính sách này.

Hướng Dẫn

Theo chính sách này, “nghiên cứu” có nghĩa là các hoạt động trong đó bạn:

Thông báo cho chúng tôi sớm nhất có thể sau khi bạn phát hiện ra vấn đề bảo mật thực sự hoặc tiềm ẩn.

Thực hiện mọi nỗ lực để tránh vi phạm quyền riêng tư, làm suy giảm trải nghiệm người dùng, làm gián đoạn hệ thống và phá hủy hoặc thao túng dữ liệu.

Chỉ sử dụng các khai thác trong phạm vi cần thiết để xác nhận sự hiện diện của lỗ hổng. Không sử dụng cách khai thác để xâm phạm dữ liệu, hoặc can thiệp trái phép vào hệ thống.

Hãy cho chúng tôi một khoảng thời gian hợp lý để giải quyết vấn đề trước khi bạn tiết lộ nó một cách công khai..

Bạn không được xâm phạm quyền riêng tư hoặc sự an toàn của nhân viên Proxy24h hoặc bất kỳ bên thứ ba nào.

Khi bạn đã xác định rằng có lỗ hổng bảo mật hoặc gặp phải bất kỳ dữ liệu nhạy cảm nào (bao gồm thông tin nhận dạng cá nhân, thông tin tài chính hoặc thông tin độc quyền hoặc bí mật thương mại của bất kỳ bên nào), bạn phải dừng thử nghiệm, thông báo cho chúng tôi ngay lập tức và không tiết lộ dữ liệu này cho ai khác.

Mặc dù chúng tôi khuyến khích bạn khám phá và báo cáo cho chúng tôi bất kỳ lỗ hổng nào bạn tìm thấy một cách có trách nhiệm, nhưng hành vi sau đây bị nghiêm cấm:

Nghiêm cấm thực hiện các hành động có thể ảnh hưởng tiêu cực đến Proxy24h hoặc người dùng của Proxy24h (ví dụ: spam, từ chối dịch vụ…).

Nghiêm cấm sử dụng các công cụ quét lỗ hổng tự động.

Kiểm thử tự động chỉ được phép trong bối cảnh xác minh việc kiểm thử và không làm ảnh hưởng đến trải nghiệm người dùng hệ thống cũng như sự vận hành ổn định của hệ thống.

Nghiêm cấm truy cập hoặc cố gắng truy cập các dữ liệu hoặc thông tin không thuộc về bạn.

Nghiêm cấm phá hủy hoặc làm sai lệch hoặc cố gắng phá hủy hoặc làm sai lệch dữ liệu hoặc thông tin không thuộc về bạn.

Nghiêm cấm giữ lại mọi thông tin nhận dạng cá nhân được phát hiện trong bất kỳ phương tiện nào. Mọi thông tin nhận dạng cá nhân bị phát hiện phải bị hủy hoặc xóa vĩnh viễn khỏi thiết bị và bộ lưu trữ của bạn.

Nghiêm cấm bất kỳ hành động khai thác nào vượt quá những gì được yêu cầu đối với “Bằng chứng về lỗ hổng bảo mật” ban đầu. Điều này có nghĩa là hành động của bạn nhằm lấy và xác thực “Bằng chứng về lỗ hổng bảo mật” phải dừng ngay sau lần truy cập đầu tiên vào dữ liệu hoặc hệ thống.

Nghiêm cấm tiến hành bất kỳ hình thức tấn công vật lý hoặc điện tử nào đối với nhân viên hoặc tài sản của Proxy24h.

Hướng dẫn gửi báo cáo về lỗ hổng bảo mật

Nếu bạn cho rằng mình đã tìm thấy lỗ hổng bảo mật ở một trong các sản phẩm hoặc nền tảng của chúng tôi, vui lòng gửi lỗ hổng đó cho chúng tôi bằng cách gửi email đến [email protected].

Bằng cách gửi một lỗ hổng bảo mật, bạn thừa nhận rằng bạn không mong đợi được thanh toán và rằng mọi khoản bồi thường hoặc phần thưởng trong tương lai liên quan đến việc gửi của bạn hoàn toàn theo quyết định riêng của Proxy24h.

Chính sách

Proxy24h cam kết khắc phục kịp thời các lỗ hổng bảo mật. Tuy nhiên, chúng tôi nhận thấy rằng việc tiết lộ công khai lỗ hổng bảo mật mà không có hành động khắc phục sẵn có có khả năng làm tăng hoặc giảm rủi ro. Theo đó, chúng tôi yêu cầu bạn không được chia sẻ thông tin về các lỗ hổng được phát hiện trong 90 ngày làm việc sau khi bạn nhận được xác nhận của chúng tôi về việc đã nhận được báo cáo của bạn. Nếu bạn cho rằng những người khác cần được thông báo về lỗ hổng bảo mật trước khi chúng tôi thực hiện các hành động khắc phục, chúng tôi yêu cầu bạn phối hợp trước với chúng tôi.

Các câu hỏi

Nếu bất cứ lúc nào bạn có thắc mắc hoặc không chắc chắn liệu nghiên cứu bảo mật của mình có phù hợp với chính sách này hay không, hay có câu hỏi nói chung về chính sách này, vui lòng liên hệ với chúng tôi theo địa chỉ support@proxy24h .com trước khi đi xa hơn. Chúng tôi cũng mời bạn liên hệ với chúng tôi nếu có đề xuất cải thiện chính sách này.

 

Ngày hiệu lực: 01/11/2023