Política de divulgación responsable
Lee esto antes de continuar:
-
Esta política sólo cubre nuestros sistemas de producción basados en la nube. Esto significa que los dominios, sitios web y plataformas sociales están excluidos, ya que las vulnerabilidades en estas áreas no se consideran críticas para el sistema para nosotros.
-
Revise la lista de vulnerabilidades que aparece a continuación para asegurarse de que no está informando de algo que ya conocemos.
Consideramos que la seguridad de nuestros sistemas es una prioridad absoluta. Pero por mucho que nos esforcemos en la seguridad del sistema, puede haber vulnerabilidades presentes.
Si descubre una vulnerabilidad, nos gustaría saberlo para poder tomar medidas para solucionarla lo antes posible. Nos gustaría pedirle que nos ayude a proteger mejor a nuestros clientes y nuestros sistemas operativos.
Por favor, haga lo siguiente:
-
Envíe sus resultados por correo electrónico a admin@sparx.cloud. Encripte sus hallazgos utilizando nuestra Clave PGP para evitar que esta información crítica caiga en manos equivocadas;
-
No te aproveches de la vulnerabilidad o el problema que has descubierto, por ejemplo, descargando más datos de los necesarios para demostrar la vulnerabilidad o borrando o modificando los datos de otras personas;
-
No reveles el problema a otros hasta que se haya resuelto;
-
No utilice ataques a la seguridad física, ingeniería social, denegación de servicio distribuida, spam o aplicaciones de terceros.
-
Proporcione información suficiente para reproducir el problema, de modo que podamos resolverlo lo antes posible. Normalmente, la dirección IP o la URL del sistema afectado y una descripción de la vulnerabilidad serán suficientes, pero las vulnerabilidades complejas pueden requerir más explicaciones.
Lo que prometemos:
-
Responderemos a su informe en un plazo de 3 días laborables con nuestra evaluación del mismo y una fecha prevista de resolución;
-
Si ha seguido las instrucciones anteriores, no emprenderemos ninguna acción legal contra usted en relación con la denuncia;
-
Trataremos su informe con estricta confidencialidad y no comunicaremos sus datos personales a terceros sin su permiso;
-
Le mantendremos informado de los avances en la resolución del problema;
-
En la información pública relativa al problema notificado, daremos su nombre como descubridor del problema (a menos que desee lo contrario); y
-
Como muestra de nuestra gratitud por su ayuda, ofrecemos una recompensa por cada informe de un problema de seguridad que aún no conozcamos y que revele una vulnerabilidad crítica del sistema. El importe de la recompensa se determinará en función de la gravedad de la filtración y de la calidad del informe. La recompensa mínima será un cheque regalo de 50 euros.
Limitaciones
Esta política sólo cubre nuestros sistemas de producción basados en la nube. Esto significa que los dominios, sitios web y plataformas sociales están excluidos, ya que las vulnerabilidades en estas áreas no se consideran críticas para el sistema para nosotros. No dude en ponerse en contacto con nosotros antes de realizar cualquier análisis para comprobar si la política está cubierta si tiene alguna pregunta.
Nos esforzamos por resolver todos los problemas lo más rápidamente posible, y nos gustaría desempeñar un papel activo en la publicación final sobre el problema una vez resuelto.
Esta política se actualizó por última vez el 2021-07-01
Título | Fecha | Informado por | Estado | Recompensa (EUR) |
|---|---|---|---|---|
OCSP DEBE GRAPARSE FALTA | 15/07/2021 | Pankaj Lakshkar | Bajo investigación | 50 |
Revelación de la versión del servidor | 05/07/2021 | Abdeali Mangalorewala | Bajo investigación | 50 |
No Cache-control y Pragma HTTP Header Set | 05/07/2021 | Pankaj Lakshkar | Bajo investigación | 50 |
Inyección de encabezado de host (arway.sparx.cloud) | 04/07/2021 | Cazador de insectos Darshan | Bajo investigación | |
Código de cupón bypass | 04/07/2021 | Jack Sparrow | Bajo investigación | 50 |
La integridad de los recursos secundarios (SRI) no se aplica | 04/07/2021 | 0xdln | Bajo investigación | 50 |
Vulnerabilidad de inyección de CRLF | 01/07/2021 | Pankaj Lakshkar | Bajo investigación | 50 |
La sesión antigua no expira tras el cambio de contraseña | 01/07/2021 | Rock Jein | Bajo investigación | 50 |
Varios puertos abiertos conducen a diferentes vectores de ataque | 01/07/2021 | Rock Jein | Bajo investigación | 50 |
Página de inicio de sesión forzada | 01/07/2021 | Rock Jein | Bajo investigación | 50 |
Inyección de correo electrónico | 01/07/2021 | Jack Sparrow | Bajo investigación | 50 |
Cookie sin la bandera HttpOnly establecida | 01/07/2021 | Rock Jein | Bajo investigación | 50 |
Cookie SSL sin el indicador de seguridad activado | 01/07/2021 | Rock Jein | Bajo investigación | 50 |
Cookie asignada al dominio principal | 01/07/2021 | Rock Jein | Bajo investigación | 50 |
No se ha establecido una política de permisos | 01/07/2021 | Pankaj Lakshkar | Bajo investigación | 50 |
El nuevo enlace no se invalida después de la nueva solicitud | 01/07/2021 | Jack Sparrow | Bajo investigación | 50 |
Clave Weglot Api expuesta en el código fuente | 01/07/2021 | Pramod Sargar | Rechazado | 0 |
Falta la regla de autorización de la autoridad de certificación | 01/07/2021 | Pankaj Lakshkar | Bajo investigación | 50 |
No se aplica una seguridad estricta en el transporte | 01/07/2021 | Rock Jein | Bajo investigación | 50 |
El token de inicio de sesión se ha filtrado a un tercero | 01/07/2021 | Jack Sparrow | Bajo investigación | 50 |
Divulgación de información sensible (clave Api) | 29/06/2021 | Hardik Vyas | Bajo investigación | 50 |
CSRF a través de la toma de cuenta | 29/06/2021 | Hardik Vyas | Bajo investigación | 50 |
Vulnerabilidad a la inyección de HTML | 29/06/2021 | Abdeali Mangalorewala | Bajo investigación | 50 |
Envenenamiento de enlaces | 28/06/2021 | Anurag Kumar Rawat | Bajo investigación | 50 |
Ataque DOS de cadena larga en el campo de nombre de usuario | 26/06/2021 | Ajay Magar | Bajo investigación | 50 |
HEADER HTTP | 25/06/2021 | Abdeali Mangalorewala | Bajo investigación | 50 |
Problema con la ficha XSRF | 25/06/2021 | Areeb Tahir | Bajo investigación | 50 |
No hay límite de tarifa en la página de inscripción | 25/06/2021 | Ajay Magar | Remediado | 50 |
Falta la cabecera Content-Security-Policy (CSP) | 25/06/2021 | Areeb Tahir | Bajo investigación | 50 |
La enumeración de usuarios lleva a la filtración del correo electrónico del usuario | 25/06/2021 | Abdeali Mangalorewala | Bajo investigación | 50 |
Falta DNSSEC | 25/06/2021 | Areeb Tahir | Bajo investigación | 50 |
La referencia directa a objetos inseguros (IDOR) permite a un atacante acceder a la información de la PLL | 24/06/2021 | Anurag Kumar Rawat | Bajo investigación | 50 |
XSS almacenado en la bandeja de entrada del usuario o del administrador | 24/06/2021 | Gaurav Popalghat | Bajo investigación | 50 |
Adquisición de cuentas | 24/06/2021 | Gaurav Popalghat | Bajo investigación | 50 |
La referencia directa a un objeto inseguro permite a un atacante acceder a la información de los pedidos de los clientes a través de un número de orden y un ticket de pedido brutales. | 24/06/2021 | Anurag Kumar Rawat | Bajo investigación | 50 |
Registros SPF/TXT | 24/06/2021 | Saga Saga | Bajo investigación | 50 |
NO aplicación de la política de contraseñas | 24/06/2021 | Saga Saga | Bajo investigación | 50 |
Fallo en la validación de la sesión tras el cambio de contraseña | 24/06/2021 | Saga Saga | Bajo investigación | 50 |
Fijación de la sesión | 24/06/2021 | Saga Saga | Bajo investigación | 50 |
Clickjacking | 24/06/2021 | Saga Saga | Bajo investigación | 50 |
Directiva de comodines CSP | 24/06/2021 | Pankaj Lakshkar | Bajo investigación | 50 |
Faltan marcas de autenticidad contra el phishing (DMARC, DKIM y SPF) | 21/06/2021 | Dynacore | Bajo investigación | 0 |