Prijava varnostnih ranljivosti
Poslanstvo TikToka je spodbujati ustvarjalnost in prinašati veselje. Varnost in zdravje naše platforme sta tesno povezana s tem poslanstvom. Če stvari na TikToku ne delujejo pravilno, se je naša predana ekipa za varnost pripravljena odzvati in odpraviti težave. Poleg naše ekipe izkušenih strokovnjakov za varnost in vodilnih varnostnih tehnologij cenimo in se zanašamo na zunanje vhodne podatke, ki opozarjajo na tehnične varnostne napake na naši platformi. Glede na to smo opredelili niz pravilnikov, ki naše zunanje partnerje usmerjajo k pravilni prijavi ranljivosti. Veselimo se tvojega prispevka in cenimo tvoja prizadevanja za zaščito TikToka.
Pravilnik o prijavi ranljivosti
• Klikni tukaj, če imaš vprašanja, pomisleke ali težave s svojim profilom.
• Klikni tukaj, če imaš vprašanja, pomisleke ali težave s Pravilnikom o zasebnosti na TikToku.
• Če nekdo zlorablja tvojo blagovno znamko, se obrni na nas.
Če meniš, da si odkril/-a varnostno napako ali ranljivost v aplikaciji ali na spletnem mestu TikTok, nam to sporoči tukaj. Preusmerjen/-a boš na spletno mesto HackerOne, ki je naš zaupanja vreden partner za nagrajevanje odkrivanja varnostnih napak. HackerOne zagotavlja več informacij o smernicah za oddajo in ti omogoča, da pošlješ prijavo.
TikTok upošteva Pravilnik o usklajenem razkrivanju. Za več podrobnosti si oglej Pravilnik o razkritju in zaupnosti, opredeljen v Pravilniku TikToka o HackerOne.
Smernice
Za podrobnosti obišči razdelek Pravila in smernice programa v Pravilniku Tiktoka o HackerOne.
Pogosto zastavljena vprašanja (FAQ)
Katere vrste težav se štejejo za varnostne ranljivosti in jih je treba prijaviti?
Težave v zvezi s tehničnimi varnostnimi napakami, ki vplivajo na TikTok, je treba prijaviti tukaj. Težave med drugim vključujejo naslednje:
• XSS, CSRF, SSRF , SQL Injection, ROP, JOP, itd.
• Uhajanje ali vprogramiranje občutljivih poverilnic
• Izkoristljivi in nevarni API-ji.
• Napade z ugrabitvijo toka kontrolnikov
• Uhajanje podatkov o uporabnikih
• Težave s seznama OWASP Top 10 za spletne aplikacije
• Težave s seznama OWASP Top 10 za mobilne aplikacije
• Ranljivosti pri preverjanju pristnosti ali avtorizaciji
• Dostop do notranjih virov TikToka, kot so izvorna koda zaledja, zbirka podatkov itd.
• Odprto preusmeritev – če je mogoče dokazati dodaten varnostni učinek
• Obvode zaščite pred avtomatizacijo ali pomanjkanje omejevanja hitrosti na končnih točkah s preverjeno pristnostjo
• Uporabo aplikacije TikTok za povečanje privilegijev za napad na mobilni operacijski sistem
• Izvajanje poljubne kode v strežnikih/odjemalcih TikToka
Ali obstaja nagrada ali CVE za potrjene ranljivosti?
Za več podrobnosti o nagradah obiščite razdelke Nagrade in Neupravičen/-a do nagrade v Pravilniku TikToka o HackerOne.
Koliko časa potrebujem, da lahko objavim svoje ugotovitve?
Od varnostnih raziskovalcev zahtevamo, da upoštevajo Pravilnik o razkritju in zaupnosti, ki je opredeljen v Pravilniku TikToka o HackerOne.
Katere spletne domene spadajo v področje uporabe za TikTok?
Za podrobnosti obišči razdelek Področje uporabe v Pravilniku TikToka o HackerOne.
Kako me lahko obvestite o tem, da se preiskuje varnostna težava, ki sem jo prijavil/-a?
Prijavljene varnostne težave bodo ovrednotene glede na kritičnost in poslovno prioriteto ter ustrezno razvrščene po našem triažnem postopku preiskave. Po svojih najboljših močeh te bomo obveščali o napredku zadeve.