负责任的信息披露政策

最后更新于2024年7月2日
介绍 
在永利皇宫app下载注册,安全是我们的首要任务. 我们的专家不断优化我们的系统和流程. 尽管我们在系统安全方面付出了努力,但漏洞仍然存在. 你有相关技能吗?你有没有发现我们系统中的漏洞? 请帮忙向我们报告, 这样我们就可以提高我们系统的安全性和可靠性以及我们的成员. 鼓励向永利皇宫app下载注册报告漏洞, 我们强烈要求您将您发现的任何漏洞发送给我们. 任何研究人员谁提供高质量的报告,这将是重要的连续性和可靠性的运输行业 .  
描述 
负责任的披露表明永利皇宫app下载注册继续致力于改善其安全状况. 作为这个过程的一部分, 我们与安全研究人员密切合作,识别并报告他们在我们系统中发现的漏洞. 
出版 
你总是被允许发表你的发现,但总是与永利皇宫app下载注册事先讨论. 我们要确保在发布之前解决问题.  只要发现的漏洞在范围内,永利皇宫app下载注册赞赏安全研究人员在报告其系统漏洞方面所做的努力, 不使用侵入式检测技术即可检测, 并遵循以下披露准则: 
赏金 
根据发现的严重程度,我们愿意提供赏金,因为我们是一个非营利组织,这将是有限的. 
交战规则 
报告要求用英文书写. 请包括一个明确的攻击场景,概述详细的复制步骤. 请确保在您的调查期间,您不会对我们的系统造成任何损害或中断,所以不要更改, 更改或删除我们系统中的数据. 不要在系统中设置后门, 甚至不是为了显示漏洞,因为插入后门会对我们系统的安全造成更大的损害,并且不会深入系统,除非您的调查需要. 请确保在您的研究过程中,您不会无意中导致数据泄露(例如.e. 在第三方云解决方案上共享截图或录音). 负责任披露的法律法规可能因国家而异. 我们强烈建议你考虑这些规定. 根据当地或国际法,您对我们系统的调查可能被视为犯罪行为,您可能会面临刑事起诉的风险. 如果您在永利皇宫app下载注册的某个系统中发现了漏洞, 请注意,当地法律优先于永利皇宫app下载注册的规定. 不过, 如果你的行为是真诚的,并且遵守永利皇宫app下载注册的规定, 我们不会向当局举报你的行为, 除非法律要求这样做. 
一般 
  • 如果公司已经从自己的测试或其他报告中知道报告的漏洞, 它将被标记为副本 
  • 理论上的安全问题,没有实际的利用场景或攻击面, 或者需要利用复杂的最终用户交互的问题, 可能会被排除在外或降低严重程度 
  • 仅限于非当前浏览器(超过3个版本)的漏洞将不被接受 
  • 不要利用社会工程来访问我们的系统. 
  • 检测到的漏洞 永利皇宫app下载注册员工或供应商不包括在内  
 
不属于本保单范围的是:  
 
  • 不属于永利皇宫app下载注册的域名 
应用程序 
  • 授权前帐户接管/OAuth占用 
  • 不能用来利用其他用户的Self-XSS 
  • 详细的消息/文件/目录列表,而不泄露任何敏感信息 
  • 非敏感端点上的CORS配置错误 
  • 缺少cookie标志 
  • 缺少安全标头 
  • 没有或低影响的跨站点请求伪造 
  • 在web表单上存在自动完成属性 
  • 反向美味小吃 
  • 绕过速率限制或不存在速率限制. 
  • 违反最佳实践(密码复杂性、过期、重用等).) 
  • 没有敏感动作的页面上的点击劫持 
  • CSV注入 
  • 会话未失效(注销、启用2FA等).) 
  • 混合内容类型问题 
  • 跨域引用泄漏 
  • 任何与电子邮件欺骗、SPF、DMARC或DKIM有关的信息 
  • 错误页面上的内容注入 
  • 用户名/电子邮件枚举 
  • 电子邮件轰炸 
  • HTTP请求走私没有任何证明的影响 
  • 单应性/受害 
  • XMLRPC启用 
  • 横幅抓取/版本披露 
  • 在没有伴随的概念验证演示漏洞的情况下开放端口 
  • 弱SSL配置和SSL/TLS扫描报告 
  • 不剥离图像的元数据 
  • 公开API密钥而没有证明有影响 
  • 同一站点的脚本 
  • 没有证实影响的盲SSRF(仅DNS回显是不够的) 
  • 泄露和/或配置错误的谷歌API密钥(包括地图) 
  • 主机头注入无影响 
  • 垃圾邮件,社会工程和物理攻击 
  • DoS/DDoS攻击或暴力破解攻击 
  • 在没有概念验证的情况下声明软件过时/易受攻击的报告 
  • 需要物理访问受害者的计算机/设备的攻击, 中间人或用户账户受损