TikTokالإبلاغ عن الثغرات الأمنية
تتمثل مهمة TikTok في إلهام الإبداع وجلب السعادة. يرتبط أمان منصتنا وصحتها ارتباطًا وثيقًا بهذه المهمة. إذا كان هناك أشياء لا تعمل بشكل صحيح على TikTok، فإن فريق الأمان المخصص لدينا جاهز للرد على هذه المشكلات وحلها. بالإضافة إلى فريقنا من المتخصصين ذوي الخبرة في مجال الأمان وتقنيات الأمان الرائدة في الصناعة، فإننا نعتمد على المدخلات الخارجية ونقدرها والتي تكشف أخطاء الأمان التقنية على منصتنا. بوضع ذلك في الاعتبار، قمنا بتحديد مجموعة من السياسات لتوجيه شركائنا الخارجيين بشأن الإبلاغ عن الثغرات بشكل صحيح. نرحب بمدخلاتك ونقدر جهودك لحماية TikTok.
سياسة الإبلاغ عن الثغرات الأمنية
• للأسئلة أو الاستفسارات أو المشكلات المتعلقة بملفك الشخصي، يرجى النقر هنا
• للأسئلة المتعلقة بملفك الشخصي، يرجى النقر هنا
• إذا أساء شخص ما استخدام علامتك التجارية، فاتصل بنا على
إذا كنت تعتقد أنك اكتشفت خطأً أمنيًا أو ثغرة أمنية على تطبيق أو موقع TikTok، يرجى تقديم إبلاغك هنا . ستتم إعادة توجيهك إلى موقع الويب الخاص بـ HackerOne ، شريكنا الموثوق به لمكافأة العثور على الثغرات الأمنية سيتم تزويدك هناك بمزيد من المعلومات حول إرشادات الإرسال وستكون قادرًا على تقديم تقرير.
تتبع TikTok سياسة إفصاح منسقة. يرجى الرجوع إلى سياسة الإفصاح والسرية المحددة في سياسة HackerOne المعنية بـTikTok للحصول على التفاصيل.
الإرشادات
يرجى زيارة قسمقواعد وإرشادات البرنامج في سياسة HackerOne المعنية بـTikTok للحصول على التفاصيل.
الأسئلة المتداولة
ما نوع المشكلات التي تعتبر ثغرات أمنية ويجب الإبلاغ عنها؟
يجب الإبلاغ هنا عن المشكلات المتعلقة بأخطاء الأمان الفنية التي تؤثر على TikTok. تشمل المشكلات، على سبيل المثال لا الحصر، ما يلي:
• XSS، CSRF، SSRF، SQL Injection، ROP، JOP، إلخ.
• بيانات اعتماد حساسة مسربة أو مشفرة
• واجهات برمجة التطبيقات القابلة للاستغلال والخطيرة.
• التحكم في تدفق هجمات الاختراق
• تسريب بيانات المستخدم
• المشكلات المدرجة في أفضل عشرة تطبيقات OWASP على الويب
• المشكلات المدرجة في أفضل عشرة تطبيقات OWASP للجوال
• ثغرات في المصادقة أو التخويل
• الوصول إلى موارد TikTok الداخلية مثل شفرة المصدر الخلفية، وقاعدة البيانات، وما إلى ذلك.
• إعادة توجيه مفتوحة - إذا أمكن إثبات تأثير أمني إضافي
• تجاوزات أمان Anti-Automation أو قلة القيود على معدل نقاط النهاية المصادق عليها
• استخدام تطبيق TikTok لتصعيد الامتيازات لمهاجمة نظام تشغيل الهاتف المحمول
• إجراء كود تعسفي على خوادم / عملاء TikTok
هل هناك مكافأة أو جائزة أو تسجيل للثغرات المؤكدة؟
يرجى زيارة أقسام المكافآت و غير مؤهل للحصول على مكافآت في سياسة HackerOne المعنية
بـ TikTok لمزيد من التفاصيل حول المكافأة.
ما هو الوقت المطلوب قبل أن أتمكن من نشر نتائجي؟
نطلب من الباحثين الأمنيين اتباع سياسة الإفصاح والسرية المحددة في سياسة HackerOne المعنية بـ TikTok.
ما هي مجالات الويب التي تقع ضمن نطاق TikTok؟
يرجى زيارة قسمIn Scope في سياسة HackerOne المعنية
بـTikTok للحصول على التفاصيل.
كيف يمكن إخطاري بأنه يتم التحقيق في ثغرة أمنية أبلغت عنها؟
سيتم تقييم مشكلات الأمان التي تم الإبلاغ عنها استنادًا إلى الأهمية الحرجة وأولوية العمل وستتم متابعة عملية الفرز وفقًا لذلك. سنبقيك على اطلاع بتقدم القضية على قدر استطاعتنا.