Sera ya Ufichuzi wa Kuwajibika wa Udhaifu (VDP)

Tunathamini utafiti wa usalama na tunakubali ripoti zenye nia njema. Kwa sasa hatukubali majaribio ya nje ya pentest.

Wigo

• skyalo.comna *.skyalo.com

• Programu za simu za Skyalo (matoleo ya umma ya sasa)

Nje ya wigo: huduma za watu wengine, DoS/flood, brute force, social engineering, mashambulizi ya kimwili, spam/taarifa za DMARC, kufichua matoleo bila athari, clickjacking bila athari iliyothibitishwa, vichwa vinavyokosekana bila exploit.

Sheria

• Tenda kwa nia njema, epuka kuvunja faragha na kudhoofisha huduma.

• Tumia akaunti/data zako tu.

• Usipokee wala kubadilisha data ambayo si yako. Ukipata ufikiaji kwa bahati mbaya, simama mara moja na utujulishe.

• Usitumie skana za kiotomatiki zinazoweza kuathiri upatikanaji/uthabiti.

Jinsi ya kutuma ripoti

Andika kwa [email protected], na uambatishe:

• Host/endpoint iliyoathiriwa na mazingira

• Hatua zilizo wazi za kurudia tatizo

• PoC ya chini kabisa (ombi/jibu la HTTP, picha za skrini)

• Tathmini ya athari na ukali (inapendelewa CVSS v3.1)

• Dirisha la majaribio na IP za chanzo

Usitume siri kupitia e-mail (sifa za kuingia, tokeni, dump za DB) — ficha taarifa nyeti.

Safe Harbor

Ukizingatia sera hii, hatutachukua hatua za kisheria na tutachukulia vitendo vyako kuwa vimeidhinishwa kwa madhumuni ya kuripoti.

Zawadi na utambuzi

Hakuna malipo ya fedha kwa sasa hayajapangwa. Kwa ripoti zilizo thibitishwa, zisizo za marudio — utambuzi wa umma (Hall of Fame) na, ukihitaji, barua ya shukrani. Ripoti zinazojirudia zinaweza kufungwa bila utambuzi wa ziada; utambuzi wa kwanza huenda kwa ripoti ya kwanza iliyo halali.

Muda na SLA

• Uthibitisho wa kupokea: ndani ya siku 3 za kazi

• Hali baada ya triage: kulingana na matokeo ya uchunguzi

• Ufichuzi wa pamoja: tafadhali msichapishe maelezo kabla ya marekebisho kutolewa (hadi siku 90)

Malengo ya marekebisho: Critical — siku 7; High — siku 30; Medium — siku 90; Low — kulingana na mpango.