负责任的披露政策
欣达维欢迎来自社区对其产品、平台和网站的反馈。我们的负责任披露政策允许社区中的任何人在规定的合理标准范围内进行安全测试,并安全传达这些结果。如果您发现欣达维的产品、平台或网站存在任何漏洞,请通过邮箱向欣达维报告安全@hindawi.com使用这个PGP的关键(哈希:5 b380bf70348efc7adca2143712c7e19c1658d1c)
天工异彩的发展和我们的新网站依赖于社区驱动的解决方案和协作工作。我们的平台建立在开源软件上,并受益于我们所服务的社区的反馈。
我们欢迎您的支持,帮助我们解决任何安全问题,既改善我们的产品,又保护我们的用户。
我们同意不对通过我们要求的渠道提交漏洞报告并遵守本政策要求的个人或公司采取法律行动除非监管机构、其他第三方或适用法律迫使我们这样做。
以下内容不包括在责任披露政策之外(请注意,此列表并非详尽无遗):
- 采取任何会对欣达维、其子公司或代理商产生负面影响的行动。
- 保留在任何媒介中发现的任何可识别个人身份的信息。任何发现的个人身份信息都必须从您的设备和存储中永久销毁或删除。
- 向第三方披露所发现的任何可识别个人身份的信息。
- 破坏或破坏数据、信息或基础设施,包括任何企图这样做的行为。
- 发现依赖于任何类型的社会工程技术(与任何与辛达维有关或为其工作的人进行任何口头或书面互动)。
- 任何利用行为,包括访问或试图访问Hindawi的数据或信息,超出初始“漏洞证明”要求的范围。这意味着您获取和验证漏洞证明的操作必须在首次访问数据或系统后立即停止。
- 针对第三方服务的攻击。
- 拒绝服务攻击或分布式拒绝服务攻击。
- 任何进入辛达维财产或数据中心的企图。
- 在发现漏洞时使用您不拥有或未经授权或许可使用的资产。
- 在发现或报告任何漏洞的过程中违反任何法律或协议。
超出范围的漏洞
- 由自动化工具(包括web扫描器)识别的不包括概念验证代码或已演示利用的漏洞。
- 集成或链接欣达维的第三方应用程序、网站或服务。
- 发现任何正在使用的服务(例如,易受攻击的第三方代码),其运行版本包含已知漏洞,而不显示现有的安全影响。
偏好、优先级和接受标准
我们将使用以下标准来优先考虑和分类提交。
我们希望看到的是:
- 写得好的英文报告有更高的解决机会。
- 包含概念验证代码的报告使我们能够更好地进行分类。
- 只包含崩溃转储或其他自动化工具输出的报告可能优先级较低。
- 包含不在初始范围列表上的产品的报告可能会获得较低的优先级。
- 请包括您是如何发现错误的,影响,以及任何可能的补救措施。
- 请包括任何计划或意图公开披露。
您对我们的期望:
- 及时回复您的邮件。
- 在分类后,我们将发送预期的时间表,并承诺对补救时间表以及可能延长该时间表的问题或挑战尽可能透明。
- 讨论问题的公开对话。
- 漏洞分析完成我们审查的每个阶段时通知。
由于我们所有的源代码都是开源的,我们正在为开源和开放科学社区做出强有力的贡献,我们目前将这些披露视为对每个人都能获得研究的世界的贡献。因此,目前我们没有悬赏。
感谢你为开源、开放科学和一个更美好的世界所做的贡献!
欣达维保留其所有权利,特别是关于不符合本负责任披露政策的漏洞发现。本负责任披露政策的日期为2020年10月1日,将定期审查和更新;请收藏此页,并在采取任何行动之前查看该政策的最新版本。
确认
研究员 | 脆弱性 | 日期 |
---|---|---|
Saqib Kharadi | SPF脆弱性 | 2020年10月 |
dhinil kv | 电子邮件欺骗 | 2020年11月 |
omethasan | 开放的重定向 | 2020年11月 |
Faizan艾哈迈德 | 电子邮件欺骗 | 2020年11月 |
BOULBALI阿拉斯 | 遗留源代码披露 | 2020年11月 |
Gurpreet | SPF脆弱性 | 2020年12月 |
Shivam Verma (cyb3r-n3rd) | 开放的重定向 | 2020年12月 |
Utkarsh Agrawal | 系统密码暴露 | 2020年12月 |
Sujata Sunil Junare | 电子邮件欺骗 | 2021年1月 |
NARASIMHA REDDY | 开放的重定向 | 2021年1月 |
桑托什Bobade | HTML注入 | 2021年1月 |
Ravindra Dagale | 服务器信息披露 | 2021年1月 |
Gaurav Popalghat | HTTP登录 | 2021年2月 |
安托 | DMARC脆弱性 | 2021年2月 |
Shouvik Dutta (warlock_root_x) | 全路径披露 | 2021年3月 |
Anil Bhatt | 詹金斯 | 2021年4月 |
Arjun辛格 | S3桶信息披露 | 2021年4月 |
博士,Gollam拉比 | 遗留日志信息披露 | 2021年4月 |
博士,Gollam拉比 | 开发/QA服务器信息披露 | 2021年4月 |
博士,Gollam拉比 | 詹金斯 | 2021年4月 |
hashibul Hasan Rifat | 信息披露 | 2021年4月 |
Vinay胡 | “点击劫持” | 2021年4月 |
Suraj Satish Kharade | SSL证书 | 2021年4月 |
Mr_3rr0r_501 | SPF脆弱性 | 2021年5月 |
gaurang maheta | 开放的重定向 | 2021年5月 |
Arjun Chandarana | 开放的重定向 | 2021年6月 |
Biswajit马哈 | 开放的重定向 | 2021年7月 |
Mirraziali | SPF脆弱性 | 2021年8月 |
库马尔(首被告) | 开放的重定向 | 2021年9月 |
Dum7c | 开放的重定向 | 2021年10月 |
Saikiran Satharapu | 信息披露 | 2022年3月 |
Shreyash哈雷 | jQuery原型污染 | 2022年5月 |
Keyur Maheta | S3桶信息披露 | 2022年6月 |
严厉的Bhanushali | jQuery原型污染 | 2022年7月 |