דווח על נקודות תורפה באבטחה

דווח על נקודות תורפה באבטחה


השליחות של TikTok היא לעורר יצירתיות ולהעניק שמחה. לבטיחות ותקינות הפלטפורמה שלנו יש קשר הדוק לשליחות זו. אם משהו לא עובד כראוי ב-TikTok, צוות האבטחה הייעודי שלנו מוכן להגיב לבעיות אלה ולפתור אותן. בנוסף לצוות מומחי האבטחה המנוסים שלנו וטכנולוגיות האבטחה המובילות בתעשייה, אנו מסתמכים על תשומה חיצונית, אשר מסמנת באגי אבטחה טכניים בפלטפורמה שלנו, ומייחסים לה חשיבות רבה. עם זאת, הגדרנו מדיניות שתנחה את השותפים החיצוניים שלנו בדיווח נכון על נקודות תורפה. אנו נשמח לקבל את תשומתך ומעריכים את מאמציך לאבטח את TikTok.



מדיניות דיווח על נקודות תורפה


       •  אם יש לך שאלות, חששות או בעיות הקשורות לפרופיל שלך, לחץ כאן.
       •  אם יש לך שאלות, חששות או בעיות הקשורות למדיניות הפרטיות של TikTok או למקרה הונאה, לחץ כאן.
       •  אם מישהו עושה שימוש לרעה במותג שלך, צור איתנו קשר בכתובת.


אם אתה סבור שגילית באג אבטחה או נקודת תורפה באפליקציה או באתר האינטרנט של TikTok,
שלח את הדיווח שלך כאן . תועבר לאתר של HackerOne, שותף אמין לטיפול בבאגים הנוגעים לאבטחה שם תוכל למצוא מידע נוסף על הנחיות השליחה ותהיה לך אפשרות לשלוח דיווח.

TikTok מצייתת למדיניות גילוי מתואם. לפרטים נוספים, עיין ב מדיניות הגילוי והסודיות (Disclosure and Confidentiality Policy) המוגדרת במדיניות TikTok HackerOne (TikTok HackerOne Policy) .



הנחיות


לפרטים נוספים, עבור לחלק כללי והנחיות התוכנית (Program Rules and Guidelines) שנמצא במדיניות TikTok HackerOne (TikTok HackerOne Policy).



שאלות נפוצות (FAQ)


אילו סוגי בעיות נחשבים לנקודות תורפה באבטחה ויש לדווח עליהן?

יש לדווח כאן על בעיות הקשורות לבאגים טכניים הנוגעים לאבטחה שיש להם השפעה על TikTok. הבעיות כוללות, ללא הגבלת כלליות, את:
       •  XSS, CSRF, SSRF, SQL Injection, ROP, JOP וכו'.
       •  פרטי זיהוי רגישים שדלפו או קודדו באופן נוקשה
       •  ממשקי API מסוכנים הניתנים לניצול.
       •  תקיפות חטיפת בקרת זרימה
       •  דליפות נתוני משתמשים
       •  בעיות המפורטות ברשימת עשרת המובילים של OWASP לאפליקציות אינטרנט
       • בעיות המפורטות ברשימת עשרת המובילים של OWASP לאפליקציות מובייל
       •  נקודות תורפה באימות או הרשאה
       •  גישה למשאבי TikTok פנימיים, כגון קוד המקור של הקצה האחורי, מסד הנתונים וכו׳.
       •  ניתוב מחדש פתוח - אם ניתן להדגים פגיעה נוספת באבטחה
       •  עקיפת אמצעי אבטחה שנועדו להגן מפני אוטומציה או העדר הגבלת קצב עבור נקודות קצה מאומתות
       •  שימוש באפליקציית TikTok להסלמת הרשאות לתקיפת מערכת ההפעלה של המכשיר הנייד
       •  הפעלת קוד שרירותי בשרתי/לקוחות TikTok


האם יש תגמול, פרס או זיהוי CVE לנקודות תורפה מאושרות?

עיין בחלקים תגמולים ולא זכאים לתגמול (Rewards & Not Eligible for Reward) שנמצאים במדיניות TikTok HackerOne, (TikTok HackerOne Policy) לקבלת פרטים נוספים על פרסים.

כמה זמן עלי להמתין לפני שאוכל לפרסם את הממצאים שלי?

אנו מבקשים מחוקרי אבטחה לציית למדיניות הגילוי והסודיות (Disclosure and Confidential Policy) המוגדרת במדיניות TikTok HackerOne (TikTok HackerOne Policy).

אילו דומיינים של הרשת נמצאים בתחום של TikTok?

לפרטים נוספים, עבור לחלק בתחום (In Scope) שנמצא במדיניות TikTok HackerOne (TikTok HackerOne Policy).

כיצד תודיעו לי על כך שבעיית אבטחה עליה דיווחתי נמצאת בתהליך חקירה?

בעיות האבטחה עליהן דווח יוערכו על על פי רמת הקריטיות והעדיפות העסקית ויעברו את תהליך מיון החקירות שלנו בהתאם. אנו נעדכן אותך על התקדמות המקרה כמיטב יכולתנו.

האם זה עזר לך?