TikTokTikToki missioon on inspireerida loovust ja tuua rõõmu. Meie platvormi turvalisus ja hea seisukord on selle missiooniga tihedalt seotud. Kui asjad TikTokis ei tööta korralikult, on meie selleks loodud turvameeskond valmis reageerima ja neid probleeme lahendama. Lisaks meie kogenud turvaspetsialistidele ja valdkonna juhtivatele turvatehnoloogiatele on meile palju kasu ka välisest panusest, mis seisneb meie platvormil tehniliste turvavigade märgistamises, ja me hindame seda väga. Seda silmas pidades oleme kirja pannud juhised, mis aitavad meie välistel partneritel turvanõrkustest teavitada. Me tervitame sinu panust ja hindame sinu jõupingutusi TikToki turvalisemaks muutmisel.
Nõrkustest teavitamise poliitika
• Oma profiiliga seotud küsimuste, murede või probleemide korral klõpsa siin.
• TikToki privaatsuspoliitika või pettustega seotud küsimuste, murede või probleemide korral klõpsa siin.
• Kui keegi kuritarvitab sinu kaubamärki, võta meiega ühendust.
Kui usud, et oled avastanud TikToki rakenduses või veebisaidil turvavea või -nõrkuse, esitad selle kohta teavitus siin. Sind suunatakse edasi HackerOne'i, meie usaldusväärse turvavigadest teavitamise programmi partneri veebisaidile. HackerOne annab lisateavet teavituse esitamise kohta ja võimaldab teil veaaruande esitada.
TikTok järgib kooskõlastatud avalikustamise poliitikat. Lisateabe saamiseks vaata avalikustamise ja konfidentsiaalsuse poliitikat, mis on määratletud TikToki HackerOne'i poliitikas.
Juhised
Vaata üksikasju TikToki HackerOne'i poliitika jaotisest Programmi eeskirjad ja juhised.
Korduma kippuvad küsimused (KKK)
Milliseid probleeme peetakse turvanõrkusteks, millest tuleks teavitada? Teavitada tuleks TikToki mõjutavate tehniliste turvavigadega seotud probleemidest. Nende probleemide hulgas on muu hulgas järgmised:
• XSS, CSRF, SSRF, SQL-süst, ROP, JOP jms;
• lekkinud või püsiprogrammeeritud tundlikud kasutajatunnused;
• kasutatavad ja ohtlikud API-d;
• juhtimisvoo kaaperdamise rünnakud;
• kasutajaandmete lekkimine;
• probleemid, mis on loetletud OWASPi kümne peamise veebirakenduste turvariski hulgas;
• probleemid, mis on loetletud OWASPi kümne peamise mobiilirakenduste turvariski hulgas;
• autentimise või autoriseerimise nõrkused;
• juurdepääs TikToki siseressurssidele, nagu tagasüsteemi lähtekood, andmebaas jne;
• avatud ümbersuunamine – kui on võimalik tõendada täiendavat mõju turvalisusele;
• automatiseerimisvastased turvalisusest möödahiilimised või kiiruse piiramise puudumine autenditud lõpp-punktides;
• TikToki rakenduse kasutamine õigustuse vallutuseks, et rünnata mobiili operatsioonisüsteemi;
• meelevaldne koodi käivitamine TikToki serverites / klientide juures.
Kas kinnitust leidnud nõrkuste eest on ette nähtud auhind, preemia või CVE?
Lisateabe saamiseks preemiate kohta vaata jaotisi Preemiad ja Puudub õigus auhinnale TikToki HackerOne'i poliitikas.
Kui palju aega on vaja, et saaksin oma leitu avaldada?
Me nõuame, et turvavigade otsijad järgiksid avalikustamise ja konfidentsiaalsuse poliitikat, mis on määratletud TikToki HackerOne'i poliitikas.
Millised veebi valdkonnad kuuluvad TikToki kohaldamisalasse?
Lisateabe saamiseks vaadake jaotist Kohaldamisala TikToki HackerOne'i poliitikas.
Kuidas võidakse mind teavitada, et minu leitud turvaprobleemi uuritakse?
Teavitatud turvaprobleeme hinnatakse kriitilisuse ja äriprioriteetide alusel ning need läbivad meie vastavad uurimisprotsessid. Me hoiame sind oma võimaluste piires juhtumi uurimise edenemisega kursis.