TikTokҚауіпсіздік жүйесінің осал тұстарын хабарлау
TikTok қолданбасының миссиясы — пайдаланушыларды қуанту, таң қалдыру және шығармашылық жетістіктерге шабыттандыру. Біз үшін осы миссияның негізгі құндылықтары — қоғамдағы қауіпсіздік пен салауатты орта. Егер TikTok платформасында бірдеңе дұрыс болмаса, біздің қауіпсіздік жөніндегі тобымыз жедел шара қолданып, мәселелерді шешеді. Пайдаланушылар қауіпсіздіктің бұзылуына әкелуі мүмкін техникалық қателерді көрсеткен кезде, біз сырттан келетін осындай көмекке өте риза боламыз. Бұл біздің тәжірибелі қызметкерлерімізге қорғаныс жүйелеріндегі олқылықтарды тезірек жоюға көмектеседі. Үшінші тараптық серіктестер осалдық туралы хабарлау кезінде тиісті саясаттардың белгілі бір жиынтығын ұстануы керек. Біз сіздің TikTok қауіпсіздігіне қосқан үлесіңіз бен қолдауыңызды бағалаймыз.
Осалдықтарды хабарлау саясаты
• Егер сізде сұрақтар, мазалайтын мәселелер немесе профиль проблемалары болса, мына жерді басыңыз.
• Егер сіз алаяқтықтың құрбаны болсаңыз, сондай-ақ TikTok құпиялылық саясатына қатысты сұрақтарыңыз немесе мәселелеріңіз болса, мына жерді басыңыз.
• Егер біреу сіздің брендіңізді рұқсатсыз пайдаланса, бізге хабарласыңыз.
Егер сіз Tik Tok қолданбасында немесе веб-сайтында қауіпсіздік немесе осалдық мәселесін таптым деп ойласаңыз, шағымды мына жерге жіберіңіз. Сіз HackerOne веб-сайтына бағытталасыз. Бұл — біздің осалдықтар туралы ақпарат жинау бойынша сенімді серіктесіміз. HackerOne сізге жіберу ережелері туралы толығырақ ақпарат береді және шағым жіберуге мүмкіндік береді.
TikTok «Келісілген жариялау саясатын» ұстанады. Толығырақ мәліметті Hackerone TikTok саясаты бөлімінде көрсетілген құпиялылық және жариялау саясатын қараңыз.
Ережелер
Толығырақ мәліметті TikTok HackerOne саясаты ішіндегі Бағдарлама ережелері және нұсқаулар бөлімінен табуға болады.
Жиі қойылатын сұрақтар (ЖҚС)
Қандай мәселелерді қауіпсіздік осалдылықтары деп хабарлауға болады?
Мұнда сіз TikTok қауіпсіздік жүйесінің техникалық қателері туралы хабарлай аласыз. Мұндай мәселелерге келесі қателіктер жатады (бірақ олармен шектелмейді):
• XSS, CSRF, SSRF, SQL инъекциясы, ROP, JOP және т.б.
• Аккаунтқа кіру деректерінің жылыстауы немесе қатты кодталуы
• Белгілі осалдықтары бар қауіпті API.
• Командалар ағынын ұстап алатын хакерлік әрекеттер
• Пайдаланушылардың деректерінің жылыстауы
• Веб-қолданбаларға арналған OWASP Top Ten тізімінде сипатталған қателер
• Мобильді қолданбаларға арналған OWASP Top Ten тізімінде сипатталған қателер
• Авторизацияға немесе аутентификацияға байланысты осалдықтар
• TikTok ішкі ресурстарына қол жеткізу, мысалы, сервердің бастапқы коды, мәліметтер базасы және т.б.
• Ашық түрде қайта бағыттау (егер ол қауіпсіздік деңгейіне тікелей әсер етсе)
• Боттардан қорғауды немесе верификацияланған терминалдарға деректерді беру жылдамдығының шектеулерін айналып өту
• TikTok қолданбасын артықшылықтарды басып алу және мобильді құрылғының ОЖ-на шабуыл жасау үшін пайдалану
• Зиянды кодты серверлерде немесе TikTok клиенттерінде орындау
Осалдықтарды іздегені үшін сыйақы қарастырылған ба? Расталған осалдықтардың тізімі бар ма?
Марапаттар туралы көбірек білу үшін TikTok HackerOne саясатындағы Марапаттар және Марапаттар берілмейді бөлімдеріне өтіңіз.
Табылған мәселені жарияламас бұрын қанша уақыт күту керек?
Біз қауіпсіздікті зерттеушілерден TikTok HackerOne саясатында көрсетілген Құпиялылық және жариялау саясатын ұстануды сұраймыз.
Қандай желілік домендер TikTok-қа тиесілі?
Толығырақ мәліметтерді TikTok HackerOne саясатындағы Қатысты ресурстар бөлімінен қараңыз.
Мен хабарлаған қауіпсіздік мәселесі шешіліп жатқанын қалай білемін?
Қауіпсіздік қателері мен осалдықтары туралы хабарламалардың маңыздылығы компанияның қазіргі кездегі ықтимал зияны мен басымдықтары негізінде бағаланады. Мәселелерді өңдеу және шешу тәртібі осы бағалауға сәйкес құрылады. Біз сізге процестің қалай жүріп жатқаны туралы мүмкіндігінше тезірек хабарлаймыз.