Hangi tür güvenlik sorunlarını ödüllendirebileceğimizi açıklayan politikamızı dikkatlice okumanı öneririz. Yalnızca iletişim formumuz (bu sayfanın altındaki butondan erişilebilir) aracılığıyla gönderilen raporlar ödül için değerlendirilecektir.
Doist olarak böcek imha programımız güvenliğin sağlanması konusundaki çabalarımızın önemli bir parçasını oluşturmaktadır. Eğer bilmemiz gerektiğini düşündüğün herhangi bir güvenlik sorunu ile karşılaşırsan, lütfen bizimle iletişime geç. Gösterdiğin çaba bir para ödülüne uygun görülmeni sağlayabilir.
Uygunluk
- Uygun görülebilmen için sorunu ilk rapor eden kişi sen olmalısın.
- Sorunun görülebilmesi ve çözülebilmesi açısından ekibimizin ihtiyaçları doğrultusunda ek bilgi vermeye hazır olmalısın.
Program Kuralları
- HackerOne’ın ifşa talimatlarını izle.
- Araştırma dahilinde oluşturduğun tüm test verilerini ve hesaplarını sil.
- Uç kullanıcılara saldırma veya onlarla iletişime geçme.
- Kimlik bilgileri de dahil olmak üzere, çalınan kullanıcı verilerini kullanma.
- DoS saldırıları da dahil olmak üzere otomatik tarama veya testleri kullanma.
- E-dolandırıcılık gibi sosyal mühendislik saldırılarını kullanma.
- Doist çalışanlarının veya ekipmanlarının fiziksel testleriyle ilişki kurma.
Uygun Hedefler
- www.todoist.com
- www.twist.com
- Todoist ve Twist'in mevcut Windows, macOS, Linux, iOS ve Android sürümleri.
- Test amacıyla lütfen kurban hesabı olarak todoistbounty@protonmail.com adresini kullan.
Raporun teslim edilmesi
- Açıkça tekrarlanabilir adımları, ürünlerimiz ve/veya kullanıcılarımız üzerindeki etkiyi ve test verileriyle birlikte kullanmış olabileceğiniz tüm test hesaplarını içeren ayrıntılı bir rapor sunmalısın.
- Bağımsız zafiyetleri ayrı kayıtlar altında rapor ettiğinden emin ol.
- Rapor başlığının zafiyeti açık bir şekilde anlattığından emin ol.
- Başvurunda zafiyetin nasıl oluştuğunu anlatan yazılı talimatlar bulunmalıdır. Zafiyetin nasıl oluştuğunu açık bir şekilde tarif etmeyen veya sadece bir PoC video içeren raporlar ödül için değerlendirmeye alınmayacaktır.
Ödüller
Altta listelenen koşullara uyman halinde para ödülü almaya hak kazanırsın:- Ürünün zafiyetini bildiren ilk kişi olmak
- Zafiyetin ekibimiz tarafından geçerli bir güvenlik sorunu olarak değerlendirilmesi
- Tüm Program Kurallarına uymak
Tüm ödüllerin parasal karşılığı her bir raporu değerlendirerek ciddiyet seviyesi atayacak olan ekibimiz tarafından belirlenir. Ciddiyet seviyeleri, zafiyet türü ve olası etkilerine bağlı olarak şirket tarafından belirlenir. Her bir ciddiyet seviyesini özetleyen açıklamayı alt kısımda bulabilirsin:
- 200 HTTP olmayan yanıt kodları, uygulama veya sunucu hataları gibi güvenlikle ilgili olmayan sorunlar
- Çıkışı-yapılmış CSRF, eksik HTTP güvenlik başlıkları, SSL sorunları, parola ilkesi sorunları, veya hassas hareketleri olmayan sayfalardaki clickjacking saldırıları gibi net bir güvenlik etkisi olmayan sorunlar.
- Tarihi geçmiş uygulamaları veya bileşenleri etkileyen ve artık kullanımda olmayan veya bakımı yapılmış sorunlar
- Kullandığımız üçüncü-şahıs uygulamalar veya hizmetler gibi (ör. Firebase, ZenDesk) üçüncü-şahısları etkileyen sorunlar
- SPF ve DKIM gibi Spam veya Sosyal Mühendislik tekniklerini içeren sorunlar ve DNSSEC eksikliği.
- Sunucu bilgilerinin ifşa edilmesiyle ilgili sorunlar, yani `X-Powered-by` ve `Server` yanıt başlıkları. İfşa edilen bilgiler, ilişkili bir CVE ifşasına sahip bir sunucu sürümü içerdiğinde istisnalar olabilir.
- Hassas bilgilerin sızdırılabileceğinin kanıtlanması şartıyla, tasarım kaynaklı aktif taleplerin uygulandığı hizmetlerle ilgili sunucu taraflı istek sahteciliğİ (SSRF) içeren sorunlar.
- Olasılığı çok düşük kullanıcı etkileşimlerine gereksinim duyan böcekler. (ör. SSO girişi üzerinden hesabın ele geçirilmesi)
- Hedefin cihazına ayrıcalıklı erişim gerektiren raporlar veya diğer durumlarda bizim kontrolümüz dışında olanlar. Burada listelenenlerle sınırlı olmamak üzere: tarayıcı çerezlerine erişim ve/veya kullanıcıyı taklit etmek, kullanıcının e-posta adresine erişim sağlamak, vs. için kullanılan diğer tokenler.
- Önceden-doğrulanmış sayfalarda meydana gelen clickjacking sorunları, veya `X-Frame-Options` eksikliği, veya işletilmesi mümkün olmayan diğer clickjacking sorunları.
- Sunucunun `Access-Control-Allow-Credentials: true` başlığıyla yanıt VERMEDİĞİ Çapraz Kaynak Paylaşımı (CORS) sorunları.
- İşletilebilir zafiyete sebep olmaması şartıyla eksik değer limitleri.
- Kaydolma, oturum açma ve şifremi unuttum sayfalarında kullanıcı e-posta numaralandırması.
- `/.well-known` ile başlayan bir düzene sahip URI'lerde bulunan dosyalar (well-known URI olarak da bilinir).
- parola sıfırlama ile 2FA'yı atlama
- Müşteri uygulamalarına özgü
- Şifrelenmeden depolanan kullanıcı verileri
- Gizleme eksikliği
- Çalıştırma kodu veya çevresini manipüle etmeyi içeren çalışma zamanının heklenmesi
- Açık yeniden yönlendirmeler
- Severin yanlış ayarlanması veya konfigürasyon hataları
- Hassas kullanıcı verileri dışındaki bilgi kaçakları veya açığa çıkma
- Sunucunun 3. taraf `Origin` başlığına sahip bir isteğe (yani `*.todoist.com`, `*.twist.com` değil) `Access-Control-Allow-Credentials: true` başlığı ile yanıt verdiği Çapraz Kaynak Paylaşımı (CORS) sorunları.
- Yansıtılmış XSS
- Hedef URL'nin 'Sıkı-Taşıma-Güvenliği' (diğer adıyla HSTS) ile cevap vermemesi halinde karışık içerik sorunları. Risk hala mevcuttur ancak domain/subdomain başına tek bir iletişim ile sınırlıdır (HSTS değerine bağlı olarak). 2021 yılında tarayıcılarvarsayılan olarak HTTPS'ye geçiş yaparak bu sorunu daha da hafifletti.
- Diğer düşük-ciddiyete sahip sorunlar
- CSRF / XSRF
- Bir iç hizmete yönelik SSRF
- Depolanmış XSS
- Diğer orta-seviyeli güvenlik sorunları
- Bilgi sızdırma veya hassas kullanıcı verileri de dahil olmak üzere açığa çıkarma
- Diğer yüksek-seviyeli güvenlik sorunları
- SQL enjeksiyonu
- Uzaktan kod çalıştırma
- Ayrıcalığın yükseltilmesi
- Kırılan doğrulama
- Kritik güvenlik riski ile sonuçlanan, bir iç hizmete karşı SSRF
- Diğer kritik-seviyedeki sorunlar
| Uygulama | Hiçbiri | Düşük | Orta | Yüksek | Kritik |
|---|---|---|---|---|---|
| Todoist | 0$ | 100$ | 200$ | 500$ | 1000$ |
| Twist | 0$ | 50$ | 100$ | 250$ | 500$ |
Android mobil uygulama(ları)mızın hassasiyeti durumlarında Google Play Store Güvenlik Ödülleri Programı üzerinden bir ek ödül almaya hak kazanabilirsin.
Tüm ödüller PayPal üzerinden ödenir.
Doist ekibi blidirilen hassasiyetin ödüle uygun olup olmadığına karar verme yetkisini saklı tutar.
Doist Böcek İmha ekibinin ödül miktarı konusunda verdikleri karar nihaidir.