Visão geral

No CloudSEK, nossa maior prioridade é a segurança de nossos produtos e serviços e a segurança de seus dados, bem como dos nossos. Entendemos que a segurança é essencial para manter a confiança que você deposita em nós para fornecer produtos e serviços para você.

Como uma equipe de pesquisadores de segurança entusiasmados, trabalhamos com vigilância todos os dias para manter as informações de nossos clientes seguras. Mas nós da CloudSEK realmente acreditamos que nada é completamente seguro, não importa quanto esforço façamos. Assim, recebemos pesquisadores de segurança responsáveis da comunidade para nos ajudar a melhorar nossos produtos e serviços e proteger os dados dos usuários. Estamos ansiosos para trabalhar com pesquisadores de segurança qualificados.

Se você acredita ter encontrado uma vulnerabilidade de segurança, independentemente de sua prioridade ser baixa ou crítica, envie-nos seu relatório de forma privada e aguarde de 5 a 7 dias úteis para que a confirmemos. Se a vulnerabilidade for considerada legítima, adoraríamos trabalhar com você para resolvê-la o mais rápido possível.

‍

Recompensas

No momento, não estamos oferecendo recompensas monetárias por nenhuma vulnerabilidade. No entanto, se sua inscrição for válida, enviaremos a você um símbolo de nossa gratidão na forma de um “AWESOME SWAG”.

‍

Escopo

‍
Serviços dentro do escopo

- Quaisquer produtos ou serviços de propriedade da CloudSEK.

‍
Serviços fora do escopo

- Quaisquer serviços de terceiros.
- Este site, pois está hospedado no Webflow e está sob serviço de terceiros
- Domínio de teste do CloudSEK

‍

Vulnerabilidades dentro do escopo

Estamos interessados nos seguintes tipos de vulnerabilidades:

- Injeções de SQL
- Aumentos de privilégios
- Execuções de código
- Inclusões de arquivos (locais e remotos)
- Ignoras de autenticação
- Vazamento de dados confidenciais
- Portais de administração sem mecanismo de autenticação
- Abra redirecionamentos que permitem roubar tokens/segredos
- Falsificação de solicitação entre sites (CSRF)
- Scripts entre sites (XSS)
- Falsificação de solicitação do lado do servidor (SSRF)
- Desvios do mecanismo de proteção (desvio de CSRF, etc.)
- Percurso de diretórios

‍
Vulnerabilidades fora do escopo

Os tipos de vulnerabilidades excluídos incluem, mas não estão limitados a:

- Auto-XSS
- Abraçar
- Falsificação de e-mail
- Falsificação de conteúdo
- Bandeiras de cookies ausentes
- Melhores práticas/problemas
- Injeção de conteúdo
- Validação de cadeias longas/ataques DOS
- Clickjacking/correção de UI
- Problemas relacionados a HTTPS/SSL/ TLS
- Ataques de engenharia física ou social
- Login/logout/CSRF não autenticado/de baixo impacto
- Resultados não verificados de ferramentas ou scanners automatizados
- Sem SPF/DMARC em domínios/subdomínios que não sejam de e-mail
- Ataques que exigem MITM ou acesso físico ao dispositivo de um usuário
- Vulnerabilidades que afetam usuários de navegadores ou plataformas desatualizados
- Divulgação de informações de erro que não podem ser usadas para ataque direto
- Falta de cabeçalhos HTTP relacionados à segurança que não levam diretamente a uma vulnerabilidade
- Xmlrpc.php aberto ao público
- Divulgação de informações do usuário relacionadas ao WordPress
- CORS inseguro no endpoint wp-json e CVE-2018-6389
- Enumeração de usuários em diferentes terminais e ausência de limitação de taxa em diferentes terminais

‍
Exclusões

Enquanto estiver pesquisando, evite:

- Os formulários são hospedados por uma parte externa. Todos os”Solicite uma demonstração“Os formulários são hospedados no Hubspot e qualquer pessoa que os testar será impedida de participar do programa de divulgação de vulnerabilidades..
- Tentativa de obter acesso a outras contas ou dados
- Negação de serviço distribuída (DDoS)
- Impactando/afetando outros usuários
- Spam
- Engenharia social ou phishing de funcionários ou contratados da CloudSEK
- Qualquer ataque contra a propriedade física ou os data centers do CloudSEK
- Regras de engajamento
- Ao enviar possíveis vulnerabilidades, compartilhe os seguintes atributos para que ela se qualifique como um envio válido:
- Descrição da vulnerabilidade
- Etapas detalhadas para reproduzir a vulnerabilidade.
- Material de suporte
- Prova de conceito
- Impacto da vulnerabilidade
- Explore cenários
- Mitigação/correção, se disponível

Relatório

Se você acredita ter descoberto uma possível vulnerabilidade, envie suas descobertas no modelo correto para [email protected]. Confirmaremos seu e-mail o mais rápido possível.