รายงานช่องโหว่ด้านความปลอดภัย

รายงานช่องโหว่ด้านความปลอดภัย


ภารกิจของ TikTok คือการจุดประกายความคิดสร้างสรรค์และการนำมาซึ่งความสุข ความปลอดภัยและความสมบูรณ์ของแพลตฟอร์มของเรามีความเชื่อมโยงกับภารกิจนี้อย่างยิ่ง หากมีสิ่งใดดำเนินไปอย่างไม่เหมาะสมบน TikTok ทีมของเราที่จัดตั้งขึ้นเพื่อดูแลความปลอดภัยก็พร้อมจะรับมือและแก้ไขปัญหาต่าง ๆ เหล่านั้น นอกเหนือจากทีมผู้เชี่ยวชาญด้านความปลอดภัยที่มีประสบการณ์และเทคโนโลยีรักษาความปลอดภัยระดับชั้นนำของอุตสาหกรรม เรายังพึ่งพาและให้ความสำคัญกับการให้ข้อมูลจากภายนอกที่รายงานข้อบกพร่องทางเทคนิคในด้านความปลอดภัยบนแพลตฟอร์มของเรา เมื่อคำนึงถึงสิ่งเหล่านี้ เราจึงได้กำหนดชุดนโยบายเพื่อเป็นแนวทางในการรายงานช่องโหว่อย่างเหมาะสมให้กับบุคคลภายนอกซึ่งเป็นพันธมิตรของเรา เรายินดีรับข้อมูลที่คุณมอบให้และขอบคุณในความพยายามที่จะรักษา TikTok ให้ปลอดภัย



นโยบายการรายงานช่องโหว่


       •  หากมีคำถาม ข้อกังวล หรือปัญหาเกี่ยวกับโปรไฟล์ของคุณ โปรดคลิกที่นี่
       •  หากมีคำถาม ข้อกังวล หรือปัญหาเกี่ยวกับนโยบายความเป็นส่วนตัวของ TikTok หรือการฉ้อโกง โปรดคลิกที่นี่
       •  หากมีใครกำลังใช้แบรนด์ของคุณในทางที่ไม่เหมาะสม โปรดติดต่อเราที่

หากคุณเชื่อว่าคุณพบข้อบกพร่องหรือช่องโหว่ด้านความปลอดภัยบนแอปหรือเว็บไซต์ TikTok โปรดส่งรายงานของคุณที่นี่ ระบบจะพาคุณไปยังเว็บไซต์ของ HackerOne ซึ่งเป็นพันธมิตรโครงการล่าข้อบกพร่องด้านความปลอดภัยที่ไว้วางใจได้ของเรา ที่เว็บไซต์ดังกล่าวคุณจะได้รับข้อมูลเพิ่มเติมเกี่ยวกับแนวทางการส่งรายงาน และสามารถดำเนินการส่งรายงานได้


TikTok ปฏิบัติตามนโยบายการเปิดเผยร่วม โปรดดู นโยบายการเปิดเผยข้อมูลและการรักษาความลับ (Disclosure and Confidentiality Policy) ที่ระบุใน นโยบาย HackerOne ของ TikTok (TikTok HackerOne Policy) เพื่อดูรายละเอียด



แนวทาง


โปรดไปที่หัวข้อ กฎและแนวทางของโปรแกรม (Program Rules and Guidelines) ใน นโยบาย HackerOne ของ TikTok (TikTok HackerOne Policy) เพื่อดูรายละเอียด



คำถามที่พบบ่อย (FAQ)


ปัญหาประเภทใดที่นับเป็นช่องโหว่ด้านความปลอดภัยและควรได้รับการรายงาน

ปัญหาที่ควรรายงานที่นี่คือปัญหาเกี่ยวกับข้อบกพร่องทางเทคนิคในด้านความปลอดภัยที่ส่งผลกระทบต่อ TikTok ปัญหาประกอบด้วยแต่ไม่จำกัดเพียงสิ่งต่าง ๆ ต่อไปนี้:
       • XSS, CSRF, SSRF, การใส่ SQL, ROP, JOP ฯลฯ
       • ข้อมูลระบุตัวตนอันเป็นข้อมูลละเอียดอ่อนที่รั่วไหลหรือที่เข้ารหัสตายตัว
       • API ที่ใช้หาประโยชน์ได้และเป็นอันตราย
       • การโจมตีเพื่อยึดการควบคุมทิศทางการทำงาน
       • การรั่วไหลของข้อมูลผู้ใช้
       • ปัญหาที่ระบุใน OWASP Top 10 สำหรับเว็บแอปพลิเคชัน
       • ปัญหาที่ระบุใน OWASP Top 10 สำหรับแอปพลิเคชันมือถือ
       • ช่องโหว่ด้านการยืนยันตัวตนและการอนุญาตให้สิทธิ์
       • สิทธิ์การเข้าถึงแหล่งข้อมูลภายในของ TikTok เช่น รหัสต้นทางเบื้องหลัง ฐานข้อมูล ฯลฯ
       • การเปลี่ยนเส้นทางไปยังตำแหน่งอื่น - หากสามารถแสดงให้เห็นถึงผลกระทบต่อความปลอดภัยเพิ่มเติมได้
       • การหลบเลี่ยงระบบความปลอดภัยเพื่อป้องกันการทำงานอัตโนมัติหรือการขาดการจำกัดอัตราที่ปลายทางที่ได้รับอนุญาต
       • การใช้แอปพลิเคชัน TikTok เพื่อยกระดับสิทธิ์เพื่อโจมตีระบบปฏิบัติการของอุปกรณ์มือถือ
       • การเรียกใช้คำสั่งตามอำเภอใจบนเซิร์ฟเวอร์/ลูกค้าของ TikTok

มีรางวัล เงินตอบแทน หรือ CVE สำหรับช่องโหว่ที่ได้รับการยืนยันหรือไม่

โปรดไปที่หัวข้อ รางวัลและไม่เข้าเกณฑ์รับรางวัล (Rewards & Not Eligible for Reward) ใน นโยบาย HackerOne ของ TikTok (TikTok HackerOne Policy) เพื่อดูรายละเอียดเพิ่มเติมเกี่ยวกับเงินตอบแทน

ต้องใช้เวลาเท่าใดก่อนที่ฉันจะสามารถเผยแพร่ผลการวิจัยของฉันได้

เราขอให้นักวิจัยด้านความปลอดภัยปฏิบัติตาม นโยบายการเปิดเผยข้อมูลและการรักษาความลับ (Disclosure and Confidentiality Policy) ที่ระบุใน นโยบาย HackerOne ของ TikTok (TikTok HackerOne Policy)

โดเมนของเว็บไซต์ใดบ้างที่อยู่ในขอบเขตของ TikTok

โปรดไปที่หัวข้อ ในขอบเขต (In Scope) ใน นโยบาย HackerOne ของ TikTok (TikTok HackerOne Policy) เพื่อดูรายละเอียด

ฉันต้องทำอย่างไรจึงจะได้รับการแจ้งเตือนเมื่อปัญหาด้านความปลอดภัยที่รายงานไปกำลังได้รับการตรวจสอบ

ปัญหาด้านความปลอดภัยที่รายงานจะได้รับการประเมินตามระดับความร้ายแรงและลำดับความสำคัญเชิงธุรกิจ รวมทั้งผ่านขั้นตอนการคัดกรองการตรวจสอบของเราตามลำดับ เราจะแจ้งให้คุณทราบถึงความคืบหน้าของรายงานอย่างสุดความสามารถ

เนื้อหานี้มีประโยชน์หรือไม่