TikTokPrijava sigurnosnih ranjivosti
Misija je TikToka nadahnuti kreativnost i donijeti radost. Sigurnost i zdravlje naše platforme usko su povezani s tom misijom. Ako nešto ne radi kako treba na TikToku, naš posebni tim za sigurnost spreman je reagirati i riješiti te probleme. Osim na tim iskusnih stručnjaka u području sigurnosti i sigurnosne tehnologije vodeće u djelatnosti oslanjamo se i na vanjske informacije s obavijestima o tehničkim sigurnosnim programskim pogreškama na našoj platformi i te informacije smatramo dragocjenima. Imajući to na umu, za naše smo vanjske partnere definirali skup politika sa smjernicama o ispravnom prijavljivanju ranjivosti. Cijenimo vaše informacije i napor uložen u zaštitu TikToka.
Politika prijavljivanja ranjivosti
• Za pitanja, nedoumice ili probleme u vezi sa svojim profilom kliknite ovdje.
• Za pitanja, nedoumice ili probleme u vezi s TikTokovom politikom privatnosti klikni ovdje.
• Ako netko zloupotrebljava tvoj brend, obrati nam se.
Ako smatraš da si otkrio/la sigurnosnu programsku pogrešku ili ranjivost u aplikaciji TikTok ili na mrežnom mjestu, pošalji prijavu ovdje. Preusmjerit ćemo te na mrežno mjesto našeg pouzdanog partnera za lov na programske pogreške HackerOne. HackerOne će ti dati više informacija o smjernicama za slanje i omogućiti ti da pošalješ prijavu.
TikTok se pridržava koordinirane politike otkrivanja. Više pojedinosti potraži u Politici otkrivanja i povjerljivosti definiranoj u HackerOne politici za TikTok.
Smjernice
Pojedinosti potraži u odjeljku Programska pravila i smjernice u HackerOne politici za TikTok.
Često postavljana pitanja
Kakve se vrste problema smatraju sigurnosnim ranjivostima koje je potrebno prijaviti?
Probleme u vezi s tehničkim sigurnosnim programskim pogreškama koje utječu na TikTok potrebno je prijaviti ovdje. Problemi, između ostalog, uključuju:
• XSS, CSRF, SSRF, SQL Injection, ROP, JOP itd.
• osjetljive vjerodajnice koje su iscurile ili su ugrađene u kod
• API-ji koji se mogu zloupotrijebiti i opasni API-ji
• napadi za otimanje tijeka upravljanja
• curenje korisničkih podataka
• problemi navedeni u OWASP Top Ten for Web Apps
• problemi navedeni u OWASP Top Ten for Mobile Apps
• ranjivosti u vezi s provjerom autentičnosti i autorizacijom
• pristup internim TikTokovim resursima kao što su pozadinski izvorni kod, baza podataka itd.
• otvoreno preusmjeravanje – ako se može dokazati dodatni utjecaj na sigurnost
• zaobilaženje sigurnosnih postupaka za sprječavanje automatizacije ili nepostojanje ograničavanja brzine na krajnjim točkama s provjerenom autentičnošću
• upotreba aplikacije TikTok za eskalaciju privilegija radi napada mobilnog operativnog sustava
• proizvoljno izvršavanje koda na TikTokovim poslužiteljima/klijentima
Postoji li nagrada ili CVE za potvrđene ranjivosti?
Više pojedinosti o nagradama potražite u odjeljcima Nagrade i Ne ispunjava uvjete za nagradu u HackerOne politici za TikTok.
Koliko vremena mora proći prije nego što objavim svoje rezultate?
Od istraživača za sigurnost tražimo da se pridržavaju Politike otkrivanja I povjerljivosti definirane u HackerOne politici za TikTok.
Koje su web-domene obuhvaćene za TikTok?
Pojedinosti potražite u odjeljku Opseg u HackerOne politici za TikTok.
Kako ću dobiti obavijest da se istražuje sigurnosni problem koji sam prijavio/la?
Prijavljeni sigurnosni problemi ocjenjivat će se na temelju kritičnosti i poslovnog prioriteta i u skladu s time prolaze kroz naš kanal za trijažu istrage. Čim budemo mogli, obavijestit ćemo vas o napretku slučaja.