TikTokAnmeld sikkerhedssårbarheder
TikToks mission er at skabe kreativitet og bringe glæde. Vores platforms sikkerhed og sundhed er tæt knyttet til denne mission. Hvis TikTok-platformen ikke fungerer korrekt, sidder vores dedikerede sikkerhedsteam klar til at reagere og løse disse problemer. Udover vores team af erfarne sikkerhedsfagfolk og brancheførende sikkerhedsteknologier er vi afhængige af og værdsætter eksterne input, der fortæller os om tekniske sikkerhedsfejl på vores platform. Med det i tankerne har vi defineret et sæt politikker, der skal vejlede vores eksterne partnere om korrekt anmeldelse af sårbarheder. Vi ser frem til dine input og sætter pris på din indsats vedrørende beskyttelsen af TikTok.
Politik for anmeldelse af sårbarheder
• For spørgsmål, bekymringer eller problemer med din profil, skal du klikke her.
• For spørgsmål, bekymringer eller problemer vedrørende TikToks privatlivspolitik eller svindel, skal du klikke her.
• Hvis nogen misbruger dit brand, skal du kontakte os. Hvis du mener, at du har opdaget en sikkerhedsfejl eller -sårbarhed i TikTok-appen eller på TikTok-hjemmesiden, bedes du indsende din anmeldelse her. Du vil blive omdirigeret til hjemmesiden for HackerOne, som er vores partner i jagten på sikkerhedsfejl. HackerOne giver flere oplysninger om retningslinjerne for indsendelse og giver dig mulighed for at indsende en anmeldelse.
TikTok følger en koordineret politik for videregivelse. Læs Politikken for videregivelse og fortrolighed, der er defineret i TikToks politik for HackerOne for flere oplysninger.
Retningslinjer
Gå til sektionen Programregler og -retningslinjer i TikToks politik for HackerOne for at få flere oplysninger.
Ofte stillede spørgsmål (FAQ)
Hvilke typer af problemer betragtes som sikkerhedssårbarheder og bør anmeldes?
Problemer vedrørende tekniske sikkerhedsfejl, der påvirker TikTok, skal anmeldes her. Problemer omfatter, men er ikke begrænset til følgende:
• XSS, CSRF, SSRF, SQL Injection, rop, JOP, osv.
• Lækkede eller kodede følsomme legitimationsoplysninger
• Udnyttelige og farlige API'er.
• Kontrolflow-hijackingangreb
• Brugerdatabrud
• Problemer, der er angivet i OWASP Top Ten for Web Apps
• Problemer, der er angivet i OWASP Top Ten for Mobile Apps
• Godkendelses- eller bekræftelsessårbarheder
• Adgang til interne TikTok-ressourcer som backendkildekode, databaser osv.
• Åben omdirigering – hvis der kan påvises en yderligere sikkerhedsmæssig indvirkning
• Omgåelse af anti-automatiseringssikkerhedsforanstaltninger eller manglende ratebegrænsning på godkendte slutpunkter
• Brug af TikTok-applikationen til rettighedseskalering for at angribe det mobile operativsystem
• Kørsel af vilkårlig kode på TikTok-servere/-klienter
Er der en belønning, dusør eller CVE for bekræftede sårbarheder?
Gå til sektionerne Belønninger og Ikke berettiget til belønning i TikToks politik for HackerOne for at få flere oplysninger om dusører.
Hvor lang tid går der, før jeg kan offentliggøre mine resultater?
Vi beder om, at sikkerhedsforskere følger Politikken for videregivelse og fortrolighed, der er defineret i TikToks politik for HackerOne.
Hvilke webdomæner er inden for rammerne af TikTok?
Du kan finde flere oplysninger i sektionen Inden for omfang i TikToks politik for HackerOne.
Hvordan kan jeg få besked om, at et sikkerhedsproblem, jeg har anmeldt, er ved at blive undersøgt?
De anmeldte sikkerhedsproblemer vil blive evalueret baseret på vigtighed og forretningsprioritet og gå gennem vores undersøgelsesstadier i overensstemmelse hermed. Vi vil holde dig orienteret om udviklingen af sagen efter bedste evne.