Xavfsizlik tizimidagi zaif nuqtalar haqida xabar berish
TikTokning vazifasi ijodga ruhlantirish va zavq yetkazishdan iborat. Platformamizning xavfsizligi va holati shu vazifa bilan chambarchas bogʻliqdir. Agar TikTokda nimadir toʻgʻri ishlamasa, maxsus xavfsizlik jamoasi bunday muammoga javob berish va uni hal qilishga doim tayyor. Tajribali xavfsizlik mutaxassislaridan iborat jamoa va sohada yetakchi xavfsizlik texnologiyalardan tashqari, platformamizda xavfsizlikka oid texnik xatoliklarni koʻrsatib beruvchi tashqi maʼlumotlarga ham tayanamiz va ularni qadrlaymiz. Shuni inobatga olgan holda, biz tashqi hamkorlarimizga zaif nuqtalar haqida toʻgʻri xabar berishga yordam beruvchi qoidalar majmuasini ishlab chiqqanmiz. Fikr-mulohazangizni mamnuniyat bilan qabul qilamiz va TikTok xavfsizligini taʼminlashga qaratilgan harakatlaringizni qadrlaymiz.
Zaif nuqtalar haqida xabar berish siyosati
• Profilingizga oid xavotir, muammo yoki savollaringiz boʻlsa, bu yerga bosing.
• TikTok Maxfiylik siyosati yoki firibgarlikka oid xavotir, muammo yoki savollaringiz boʻlsa, bu yerga bosing.
• Kimdir brendingizni suiisteʼmol qilayotgan boʻlsa, bizga murojaat qiling.
Agar TikTok ilovasi yoki veb-saytida xavfsizlikka oid biror xatolik yoki zaif nuqtani aniqladim, deb hisoblasangiz, shikoyatingizni bu yerda yuboring. Xavfsizlikka oid ishonchli hamkorimiz – HackerOne veb-saytiga yoʻnaltirilasiz. HackerOne shikoyat yuborish qoidalari haqida batafsil axborot bilan taʼminlaydi va sizga shikoyat yuborish imkonini beradi.
TikTok Muvofiqlashtirilgan axborotni oshkor qilish siyosatiga rioya qiladi. Batafsil axborot uchun TikTok HackerOne siyosatida belgilangan Axborotni oshkor qilish va Maxfiylik siyosatiga qarang.
Qoidalar
Batafsil axborot uchun TikTok HackerOne siyosatining Dasturga oid qoidalar va tavsiyalar boʻlimi bilan tanishing.
Savol-javob
Qanday turdagi muammolar xavfsizlikka oid zaif nuqtalar hisoblanadi va ular haqida xabar berilishi kerak?
TikTokka taʼsir qiluvchi xavfsizlikka oid texnik xatoliklarga aloqador muammolar haqida bu yerda xabar berilishi kerak. Muammolar quyidagilarni oʻz ichiga oladi, lekin faqat shular bilan cheklanmaydi:
• XSS, CSRF, SSRF, SQL inyeksiyasi, ROP, JOP va h.k.
• Sizdirilgan yoki qattiq kodlangan maxfiy kirish maʼlumotlari
• Ekspluatatsiya qilish mumkin boʻlgan va xavfli API.
• Oqimni ogʻirlash hujumlarini boshqarish
• Foydalanuvchi maʼlumotlarining sizishi
• Veb-ilovalar uchun OWASP top oʻnligi roʻyxatiga kirgan muammolar
• Mobil ilovalar uchun OWASP top oʻnligi roʻyxatiga kirgan muammolar
• Autentifikatsiya va avtorizatsiyaga oid zaif nuqtalar
• TikTokning ichki resurslari, masalan, bekend manba kodi, maʼlumotlar bazasi va boshqalarga kirish
• Ochiq qayta yoʻnaltirish, agar xavfsizlikka oid qoʻshimcha taʼsir kuzatilsa
• Avtomatlashtirishdan himoyani chetlab oʻtish yoki autentifikatsiya qilingan yakuniy nuqtalarda tezlik cheklanmaganligi • Mobil operatsion tizimga hujum qilish uchun imtiyozlarni oshirish maqsadida TikTok ilovasidan foydalanish
• TikTok serverlarida/mijozlarida oʻzboshimchalik bilan kodlarning bajarilishi
Tasdiqlangan zaif nuqtalar uchun mukofot yoki CVE bormi?
Mukofot haqida batafsil axborot uchun TikTok HackerOne siyosatining "Mukofotlar" va "Mukofot uchun nomuofiq" boʻlimlari bilan tanishing.
Aniqlagan holatlarimni nashr etishimdan avval qancha vaqt kerak?
Xavfsizlik tadqiqotchilardan TikTok HackerOne siyosatida belgilangan Axborotni oshkor qilish va maxfiylik siyosatiga rioya etishni soʻraymiz.
Qaysi veb-domenlar TikTok qamrovida?
Bu haqida batafsil axborot uchun TikTok HackerOne siyosatining Qamrov boʻlimida tanishing.
Xabar bergan xavfsizlikka oid muammom tekshirilayotganidan qanday xabardor qilinaman?
Xabar qilingan xavfsizlikka oid muammo jiddiyligi va biznes ustuvorligi asosida baholanadi hamda mos shoshilinchlilik darajasi boʻyicha tekshiriladi. Holat jarayoni haqida imkon qadar sizni xabardor qilib turamiz.