Politique de divulgation responsable
La sécurité est notre priorité @ Donorbox et nous nous engageons à assurer la sécurité et la confidentialité de nos utilisateurs. Cette politique vise à donner des directives claires sur la manière de signaler de manière responsable les vulnérabilités de sécurité à Donorbox.
Cette politique de divulgation responsable indique quels domaines et types de vulnérabilités ou de découvertes et de recherches sont couverts par cette politique, comment nous envoyer des découvertes de vulnérabilités et à quoi s'attendre de notre part.
Nous vous encourageons à nous contacter pour signaler des vulnérabilités potentielles dans Donorbox.
Si vous faites un effort de bonne foi pour vous conformer à cette politique après avoir découvert une vulnérabilité, nous aimerions en être informés afin que nous puissions prendre des mesures pour y remédier le plus rapidement possible.
Si vous découvrez une vulnérabilité concernant la Donorbox et que vous souhaitez la partager avec nous, nous vous demandons, dans un esprit de divulgation responsable, de nous envoyer un email démontrant la vulnérabilité en suivant cette politique.
Donorbox se réserve tous les droits légaux et peut déposer une plainte auprès des forces de l'ordre en cas de non-respect de la politique.
Donorbox mettra à jour et révisera cette politique à mesure que nous avancerons dans le futur et Donorbox se réserve tous les droits de modifier ou d'annuler cette politique à tout moment.
Comment soumettre une vulnérabilité
- Pour divulguer une faille de sécurité potentielle, veuillez l'envoyer par e-mail à notre équipe de sécurité :
- security@donorbox.org (Chiffrez vos résultats à l'aide de notre clé PGP pour éviter que ces informations critiques ne tombent entre de mauvaises mains)
- Lorsque vous signalez une faille de sécurité, veuillez le faire de manière responsable et fournir :
- un résumé de la vulnérabilité
- un proof of concept
- outils, commandes ou scripts utilisés.
À quoi s'attendre
- Nous traiterons votre email avec la plus stricte confidentialité
- Nous ajouterons votre nom à notre "Hall of fame" si la vulnérabilité que vous signalez est inconnue à l'heure actuelle.
Actif dans le champ d'application
- donorbox.org
Cibles hors champ
- Tout autre domaine ou sous-domaine autre que donorbox.org
- Donorbox.com
- partners.donorbox.com
- community.donorbox.com
Vulnérabilités typiques acceptées
- OWASP Top 10 des catégories de vulnérabilité
- Autres vulnérabilités avec impact démontré
- Injection SQL
- Script intersite (XSS)
- Contrefaçon de requête intersite (CSRF)
- Problèmes liés à l'authentification
- Problèmes liés à l'autorisation
- Attaques de redirection
- Exécution de code à distance
- Exposition des données
Lignes directrices
- Contactez-nous immédiatement après avoir découvert la faille de sécurité.
- N'utilisez les exploits que dans la mesure nécessaire pour confirmer la présence d'une vulnérabilité.
- Accordez-nous un délai raisonnable pour résoudre le problème et ne le divulguez jamais publiquement.
- Une fois que vous avez vérifié qu'une vulnérabilité existe ou trouvé des données sensibles, vous devez arrêter votre activité et ne pas aller de l'avant et ne divulguer la découverte à aucun tiers.
- Lorsque vous enquêtez sur des vulnérabilités, veuillez agir de bonne foi et respecter la confidentialité des données des autres utilisateurs ainsi que la disponibilité du service de Donorbox. De nombreuses personnes utilisent Donorbox quotidiennement, et il est dangereux - et illégal - de perturber leur utilisation de Donorbox.
- Ne demandez jamais de compensation ou de prime pour avoir trouvé des failles de sécurité et nous les avoir signalées.
- Utiliser vos comptes dans le processus de recherche du bogue.
- En cas de doute, contactez-nous.
Actions interdites
- N'effacez/manipulez pas les données, ne compromettez pas les services de Donorbox et ne vous impliquez pas avec des tiers pour partager nos données confidentielles.
- Ne violez jamais la politique de confidentialité des utilisateurs de Donorbox.
- Ne vous impliquez dans aucun type d'ingénierie sociale, de spam et de tests physiques.
- Ne vous impliquez pas dans le phishing
- N'effectuez pas de recherches intrusives, telles que des attaques DoS, ou n'entreprenez aucune autre action susceptible de compromettre la sécurité, la crédibilité ou la disponibilité des données et des systèmes.
- Ne le divulguez pas publiquement et ne partagez pas votre découverte de vulnérabilité avec qui que ce soit.
- Aucun test des services tiers
- Ne téléchargez rien lié à la vulnérabilité à des tiers. c'est-à-dire Youtube, etc.
- N'utilisez jamais une vulnérabilité pour compromettre ou ex-filtrer des fichiers, pour obtenir un accès permanent ou persistant à la ligne de commande, ou pour pivoter vers d'autres applications, systèmes ou programmes.
- Ne pas accéder, détruire ou affecter négativement les données de Donorbox ou de ses clients de quelque manière que ce soit
- Ne violez aucune loi ou accord déjà conclu.
- Jamais de scanner ou d'outils automatisés pour rechercher des vulnérabilités dans Donorbox.
- Ne profitez pas de la faiblesse que vous avez découverte.
- La destruction ou la manipulation des données n'est jamais autorisée par nous.
- Ne vous impliquez jamais dans aucune sorte de violation et de violation de la vie privée
- Ne vous impliquez jamais dans la dégradation et la perturbation de l'expérience de nos utilisateurs et de nos services.
Rapports hors champ
- Vulnérabilités théoriques
- Divulgation informative de données non sensibles
- Énumération des noms d'utilisateur WordPress
- Injection CSV
- Informations PHP
- Informations relatives à l'état du serveur, etc.
- Application côté client/navigateur saisie semi-automatique ou mot de passe/identifiants enregistrés
- Pages d'erreur, etc.
- Énumération de répertoires, fichiers ou actifs, etc.
- Résultats liés à la force du mot de passe, etc.
- Connexion/Déconnexion/Non authentifié/CSRF à faible impact
- Indicateurs de cookies manquants
- Auto-exploitation
- Bogues valides ou problèmes de meilleures pratiques qui ne sont pas directement liés à la posture de sécurité de la Donorbox
- Self-XSS comme des résultats qui ne pourraient pas être utilisés pour attaquer d'autres utilisateurs ou organisations.
- Tout ce qui implique de l'ingénierie sociale.
- DDOS ou DoS.
- Problèmes SSL (c'est-à-dire mauvaise configuration ou version)
- Enregistrements SPF, DKIM ou DMARC mal configurés,
- Tout autre service ou bibliothèque non directement hébergé ou contrôlé par Donorbox (c'est-à-dire des éléments tiers).
Clause de non-responsabilité
- Donorbox se réserve le droit de prendre des décisions finales
- Une fois que vous nous soumettez un bogue ou trouvez une vulnérabilité, vous acceptez d'être lié par toutes les règles mentionnées ci-dessus.
Hall of fame
- Donorbox tient à exprimer sa gratitude aux personnes ou entreprises suivantes pour nous avoir divulgué de manière responsable les failles de sécurité :