Programme de divulgation des failles

Aperçu

Il s'agit d'un programme de divulgation responsable. Veuillez lire attentivement chaque partie de ce programme. Nous souhaitons que vous nous aidiez à améliorer la sécurité de notre application afin de protéger la vie privée de nos utilisateurs.

Comme il s'agit d'un environnement de production, vous devez être très prudent et ne jamais interrompre le fonctionnement de l'application ou des services/serveurs associés, car ils sont utilisés quotidiennement. Veuillez ne rien faire qui puisse nuire à nos clients et/ou à leurs données.

Tous les rapports sont examinés au cas par cas, et tout rapport exploitable qui affecte de manière substantielle la confidentialité, l'intégrité ou la disponibilité de l'un de nos services éligibles recevra au minimum une reconnaissance au Hall of Fame.

Les vulnérabilités éligibles comprennent, sans s'y limiter :

  • Cross Site Scripting (XSS)
  • Failles d'authentification et d'autorisation
  • Cross Site Request Forgery (CSRF)
  • Exécution de code à distance
  • Injection SQL
  • Traversée de répertoires
  • Élévation de privilèges
Lorsque vous effectuez un signalement, veuillez garder à l'esprit les bonnes pratiques suivantes :
  • Plus vos étapes pour reproduire le bug sont détaillées, mieux c'est. Cela doit inclure toutes les pages que vous avez consultées, les identifiants utilisateur, les liens sur lesquels vous avez cliqué, etc.
  • Les images sont toujours utiles.
  • Un code POC exploitable qui fonctionne de manière cohérente nous permet de vérifier plus rapidement votre vulnérabilité.
  • N'oubliez pas : les détails, les détails, les détails ! Cela nous permet, à vous comme à nous, de gagner du temps en triant plus rapidement les vulnérabilités.

Comment puis-je soumettre un rapport de bogue ?

Vous pouvez envoyer un rapport de bogue via ce lien https://app.yogosha.com/cvd/netim/17wvCg0TYQMPLidfTohLkT

Un rapport de bogue doit fournir une description détaillée de la vulnérabilité découverte et une brève description des étapes permettant de la reproduire, ou une preuve de concept fonctionnelle. Des vidéos et des captures d'écran peuvent illustrer le rapport de bogue, mais ne peuvent pas le remplacer. Si vous ne décrivez pas la vulnérabilité de manière suffisamment détaillée, le processus de découverte sera considérablement prolongé, ce qui n'aidera personne. Il est également très souhaitable que le chercheur en sécurité explique comment il a exactement découvert une vulnérabilité donnée.

Hors périmètre

Les actions suivantes ne sont pas admissibles à la divulgation coordonnée et ne doivent pas être testées dans le cadre du programme :

  • Attaques DoS ou DDoS
  • Attaques physiques contre nos propriétés ou nos centres de données
  • Attaques par hameçonnage et ingénierie sociale
  • En-têtes de sécurité http manquants qui ne conduisent pas à une vulnérabilité (vous devez fournir une preuve de concept qui exploite leur absence)
  • Vulnérabilités dans les applications ou services tiers qui utilisent ou s'intègrent à nos services et applications.
  • Rapports provenant d'outils automatisés ou d'analyses sans preuve de concept d'exploitation
  • Drapeaux de cookies manquants sur les cookies non sensibles
  • Rapports sur les meilleures pratiques SSL ou les chiffrements non sécurisés (sauf si vous disposez d'une preuve de concept fonctionnelle, et pas seulement d'un rapport provenant d'un scanner)
Nous n'accepterons pas les rapports provenant de scanners de vulnérabilité automatisés. Par conséquent, les analyses agressives ne sont pas tolérées afin d'éviter toute perturbation des services.