Hexagon的漏洞披露程序

政策

由海克斯康产品管理的客户数据的安全性是海克斯康愿景和使命的重要支持部分。我们欢迎外部安全研究团体为我们产品的安全做出贡献。如果您认为在我们的产品中发现了安全漏洞，我们很乐意为您解决这个问题。

我们一直在寻求改进。如果你对我们的保安有任何疑问或对如何改善六边形漏洞披露计划(VDP)有任何建议，请写信给我们(information.security@m.ayx084.com）.

产品范围

海克斯康产品团队选择的产品将在范围内。这些产品将列在报表的产品选择列表中。未列出的产品不包括在VDP中。未具体列出的产品仍然可以使用产品列表中的“常规”类别接收漏洞报告。报告将在合理努力的基础上进行评估。

公开披露

我们相信我们的安全是透明的，任何发现的有效漏洞/缺陷总是在产品发布文档中报告

资格和责任披露

为促进漏洞的发现和报告，并提高用户安全，我们要求您:

与我们详细分享安全问题;
请尊重我们现有的应用程序。通过自动漏洞扫描器发送垃圾表单不符合负责任的披露精神;
给予我们合理的时间回应有关问题，然后再公布有关资料;
未经所有者明确许可，请勿访问或修改我们的数据或我们用户的数据。仅用于安全研究目的而使用您自己的帐户或测试帐户;
如果您无意中遇到用户数据，请立即与我们联系。请勿查看、更改、保存、存储、传输或以其他方式访问数据，并在向海克斯康报告漏洞后立即清除任何本地信息;
诚实行事，以避免侵犯隐私、破坏数据以及中断或降低我们的服务(包括拒绝服务)。
否则，遵守所有适用的法律。

最佳实践报告

为了确保您的报告尽可能有效，并帮助开发团队评估和重现错误，我们建议以下关于错误报告的最佳实践提示。

通过包含关于漏洞的实际和潜在影响的信息，以及如何利用漏洞的详细信息，构建更强有力的报告。
包括您用来发现错误的方法，以及重现错误的步骤。
请在确保bug得到验证后提交结果。
最好用英语提交，但如果您无法用英语提交足够详细的报告，请以您的母语提交。

检查的漏洞

以下问题不在VDP范围之内:

密码、邮箱和帐号策略，如邮箱id验证、重置链接过期、密码复杂度等。
需要实际访问我们产品的研究。
缺少安全标头，不会直接导致漏洞。
缺少最佳实践(我们需要安全漏洞的证据)。
使用已知易受攻击的库(没有可利用性的证据)。
来自自动化工具或扫描的报告。
攻击要求攻击者应用程序有权限覆盖我们的应用程序(例如，点击或点击jackking)。
影响不受支持的浏览器或平台用户的漏洞。
海克斯康员工或承包商的社会工程。
任何针对海克斯康物业或数据中心的物理攻击。
在web表单上出现自动完成属性。
非敏感cookie上缺少cookie标志。
任何报告，讨论如何了解是否给定的用户名，电子邮件地址有六边形帐户。
目标用户需要操作根移动设备时对数据的任何访问。
任何关于动态链接库(DLL)劫持的报告，但没有演示它如何获得新特权。
没有速率限制，除非与身份验证相关。
设备(ios, android，桌面应用程序)没有得到解除密码更改的链接。

遵守本政策的后果

我们不会就意外的、善意的违反本政策的行为向执法部门提起民事诉讼或投诉。我们认为与此政策相一致的活动构成了《计算机欺诈和滥用法》下的“授权”行为。如果您的活动与我们的“可接受使用政策”中的某些限制不一致，我们将出于允许本政策下的安全研究的有限目的而放弃这些限制。我们不会因为您规避了我们用于保护应用程序的技术措施而向您提出数字千年版权法(DMCA)索赔。

如果您的报告解决了海克斯康业务合作伙伴的漏洞，海克斯康保留与业务合作伙伴共享您提交的全部内容(包括您的身份)的权利，以帮助促进测试和解决所报告的漏洞。如果第三方对您提起法律诉讼，而您遵守了海克斯康的VDP，海克斯康将采取措施让人们知道您的行为符合本政策。

海克斯康可自行决定为您提供免费使用海克斯康产品的机会。此访问权限仅用于启用您的测试，并且可以在任何时候撤销，无论是否事先通知。

Hexagon目前没有Bug Bounty奖励计划。根据漏洞披露计划向Hexagon发出的所有通知都是善意的，并符合更广泛社区的最佳利益。

语言

选择语言

搜索