Política de divulgación responsable

Lee esto antes de continuar:

  1. Esta política sólo cubre nuestros sistemas de producción basados en la nube. Esto significa que los dominios, sitios web y plataformas sociales están excluidos, ya que las vulnerabilidades en estas áreas no se consideran críticas para el sistema para nosotros.

  2. Revise la lista de vulnerabilidades que aparece a continuación para asegurarse de que no está informando de algo que ya conocemos.

Consideramos que la seguridad de nuestros sistemas es una prioridad absoluta. Pero por mucho que nos esforcemos en la seguridad del sistema, puede haber vulnerabilidades presentes.

 

Si descubre una vulnerabilidad, nos gustaría saberlo para poder tomar medidas para solucionarla lo antes posible. Nos gustaría pedirle que nos ayude a proteger mejor a nuestros clientes y nuestros sistemas operativos.

Por favor, haga lo siguiente:

  • Envíe sus resultados por correo electrónico a admin@sparx.cloud. Encripte sus hallazgos utilizando nuestra Clave PGP para evitar que esta información crítica caiga en manos equivocadas;

  • No te aproveches de la vulnerabilidad o el problema que has descubierto, por ejemplo, descargando más datos de los necesarios para demostrar la vulnerabilidad o borrando o modificando los datos de otras personas;

  • No reveles el problema a otros hasta que se haya resuelto;

  • No utilice ataques a la seguridad física, ingeniería social, denegación de servicio distribuida, spam o aplicaciones de terceros.

  • Proporcione información suficiente para reproducir el problema, de modo que podamos resolverlo lo antes posible. Normalmente, la dirección IP o la URL del sistema afectado y una descripción de la vulnerabilidad serán suficientes, pero las vulnerabilidades complejas pueden requerir más explicaciones.

 

Lo que prometemos:

  • Responderemos a su informe en un plazo de 3 días laborables con nuestra evaluación del mismo y una fecha prevista de resolución;

  • Si ha seguido las instrucciones anteriores, no emprenderemos ninguna acción legal contra usted en relación con la denuncia;

  • Trataremos su informe con estricta confidencialidad y no comunicaremos sus datos personales a terceros sin su permiso;

  • Le mantendremos informado de los avances en la resolución del problema;

  • En la información pública relativa al problema notificado, daremos su nombre como descubridor del problema (a menos que desee lo contrario); y

  • Como muestra de nuestra gratitud por su ayuda, ofrecemos una recompensa por cada informe de un problema de seguridad que aún no conozcamos y que revele una vulnerabilidad crítica del sistema. El importe de la recompensa se determinará en función de la gravedad de la filtración y de la calidad del informe. La recompensa mínima será un cheque regalo de 50 euros.

 

Limitaciones

Esta política sólo cubre nuestros sistemas de producción basados en la nube. Esto significa que los dominios, sitios web y plataformas sociales están excluidos, ya que las vulnerabilidades en estas áreas no se consideran críticas para el sistema para nosotros. No dude en ponerse en contacto con nosotros antes de realizar cualquier análisis para comprobar si la política está cubierta si tiene alguna pregunta.

Nos esforzamos por resolver todos los problemas lo más rápidamente posible, y nos gustaría desempeñar un papel activo en la publicación final sobre el problema una vez resuelto.

Esta política se actualizó por última vez el 2021-07-01

Título
Fecha
Informado por
Estado
Recompensa (EUR)
OCSP DEBE GRAPARSE FALTA
15/07/2021
Pankaj Lakshkar
Bajo investigación
50
No Cache-control y Pragma HTTP Header Set
05/07/2021
Pankaj Lakshkar
Bajo investigación
50
Revelación de la versión del servidor
05/07/2021
Abdeali Mangalorewala
Bajo investigación
50
La integridad de los recursos secundarios (SRI) no se aplica
04/07/2021
0xdln
Bajo investigación
50
Inyección de encabezado de host (arway.sparx.cloud)
04/07/2021
Cazador de insectos Darshan
Bajo investigación
Código de cupón bypass
04/07/2021
Jack Sparrow
Bajo investigación
50
Clave Weglot Api expuesta en el código fuente
01/07/2021
Pramod Sargar
Rechazado
0
No se aplica una seguridad estricta en el transporte
01/07/2021
Rock Jein
Bajo investigación
50
La sesión antigua no expira tras el cambio de contraseña
01/07/2021
Rock Jein
Bajo investigación
50
Cookie sin la bandera HttpOnly establecida
01/07/2021
Rock Jein
Bajo investigación
50
Cookie SSL sin el indicador de seguridad activado
01/07/2021
Rock Jein
Bajo investigación
50
Página de inicio de sesión forzada
01/07/2021
Rock Jein
Bajo investigación
50
Cookie SSL sin el indicador de seguridad activado
01/07/2021
Rock Jein
Bajo investigación
50
Varios puertos abiertos conducen a diferentes vectores de ataque
01/07/2021
Rock Jein
Bajo investigación
50
Falta la regla de autorización de la autoridad de certificación
01/07/2021
Pankaj Lakshkar
Bajo investigación
50
Vulnerabilidad de inyección de CRLF
01/07/2021
Pankaj Lakshkar
Bajo investigación
50
No se ha establecido una política de permisos
01/07/2021
Pankaj Lakshkar
Bajo investigación
50
Inyección de correo electrónico
01/07/2021
Jack Sparrow
Bajo investigación
50
El token de inicio de sesión se ha filtrado a un tercero
01/07/2021
Jack Sparrow
Bajo investigación
50
El nuevo enlace no se invalida después de la nueva solicitud
01/07/2021
Jack Sparrow
Bajo investigación
50
Vulnerabilidad a la inyección de HTML
29/06/2021
Abdeali Mangalorewala
Bajo investigación
50
Divulgación de información sensible (clave Api)
29/06/2021
Hardik Vyas
Bajo investigación
50
CSRF a través de la toma de cuenta
29/06/2021
Hardik Vyas
Bajo investigación
50
Envenenamiento de enlaces
28/06/2021
Anurag Kumar Rawat
Bajo investigación
50
Ataque DOS de cadena larga en el campo de nombre de usuario
26/06/2021
Ajay Magar
Bajo investigación
50
Falta la cabecera Content-Security-Policy (CSP)
25/06/2021
Areeb Tahir
Bajo investigación
50
Problema con la ficha XSRF
25/06/2021
Areeb Tahir
Bajo investigación
50
Falta DNSSEC
25/06/2021
Areeb Tahir
Bajo investigación
50
La enumeración de usuarios lleva a la filtración del correo electrónico del usuario
25/06/2021
Abdeali Mangalorewala
Bajo investigación
50
HEADER HTTP
25/06/2021
Abdeali Mangalorewala
Bajo investigación
50
No hay límite de tarifa en la página de inscripción
25/06/2021
Ajay Magar
Remediado
50
La referencia directa a un objeto inseguro permite a un atacante acceder a la información de los pedidos de los clientes a través de un número de orden y un ticket de pedido brutales.
24/06/2021
Anurag Kumar Rawat
Bajo investigación
50
La referencia directa a objetos inseguros (IDOR) permite a un atacante acceder a la información de la PLL
24/06/2021
Anurag Kumar Rawat
Bajo investigación
50
NO aplicación de la política de contraseñas
24/06/2021
Saga Saga
Bajo investigación
50
Registros SPF/TXT
24/06/2021
Saga Saga
Bajo investigación
50
Fijación de la sesión
24/06/2021
Saga Saga
Bajo investigación
50
Fallo en la validación de la sesión tras el cambio de contraseña
24/06/2021
Saga Saga
Bajo investigación
50
Clickjacking
24/06/2021
Saga Saga
Bajo investigación
50
XSS almacenado en la bandeja de entrada del usuario o del administrador
24/06/2021
Gaurav Popalghat
Bajo investigación
50
Directiva de comodines CSP
24/06/2021
Pankaj Lakshkar
Bajo investigación
50
Adquisición de cuentas
24/06/2021
Gaurav Popalghat
Bajo investigación
50
Faltan marcas de autenticidad contra el phishing (DMARC, DKIM y SPF)
21/06/2021
Dynacore
Bajo investigación
0