责任披露政策
最后更新:2021年9月5日
在Lark,我们的系统和用户数据的安全是头等大事。无论我们在安全方面投入多少努力,仍然可能存在漏洞或安全问题。如果您在Lark环境中发现安全问题,请告知我们,以便我们可以尽快采取纠正措施来解决它。
如欲与我们联系,请填写以下表格:漏洞披露表格并提供必要的细节,使我们能够理解,验证和补救问题。
我们在OpenBugBounty上也很活跃,以吸引有价值的发现:OpenBugBounty。
以下是在范围内考虑的领域:
- //www.museum40-45.com-只有当你能接管网站或发现关键的网络应用程序问题。
- 属于Lark Health的任何可在线访问的网站万博app官网网页版登录
- 万博app官网网页版登录Lark Health Android应用(发送邮件至security@lark.com获取账号测试应用)
- 万博app官网网页版登录Lark Health iOS App(发送邮件至security@lark.com获取账号进行测试)
- https://www.careers.lark.com-除非你可以更改职位描述或添加新的招聘信息。
- https://www.support.lark.com-不同的用户帐户接管,不是由赏金猎人创建的。
Dos:
- 做提供足够的信息重现问题,以便我们能够尽快解决问题。如果你想让我们验证这一发现,必须提供概念证明(PoC)视频/截图以及解释。如果PoC没有提交,我们就不能处理你的发现。
- 做尽可能快地报告漏洞,以最大限度地减少敌对行为者发现并利用漏洞的风险。
不该做的:
- 不向他人揭示弱点或问题,直到问题得到解决。
- 不在信息系统中构建自己的后门,然后使用它来演示漏洞,因为这样做可能会造成额外的损害并产生不必要的安全风险。
- 不进一步利用一个漏洞来证明它的存在。
- 不复制、修改或删除系统中的数据。另一种方法是制作系统的目录列表。
- 不对系统进行更改。
- 不反复获得对系统的访问权限或与其他人共享访问权限。
- 不使用暴力攻击、物理安全攻击、社会工程、分布式拒绝服务、垃圾邮件或第三方应用程序来访问系统。
以下领域被认为超出范围:
- 需要访问已经被破坏的帐户的漏洞(除非访问一个帐户会暴露其他帐户)
- 与实现相反的策略——电子邮件验证、密码长度或重用等。
- 缺少安全标头或“最佳实践”(除非你能够证明一个漏洞利用了它们的缺失)
- 我们的开源软件中的漏洞(除非您有一个概念证明,说明如何在Lark应用程序上使用特定的漏洞)
- DoS (Denial of Service)或DDoS (Distributed Denial of Service)攻击
- 导致应用程序“减速”的DoS漏洞将被视为P5/Informational,除非研究人员能够证明该漏洞严重到足以在没有大量资源的情况下禁用其他会话和站点功能。在没有重要资源的情况下,无法清楚显示对其他用户影响的漏洞将被视为DDoS。
- 社会工程攻击
- 我们使用但不控制的第三方应用程序(例如,托管在外部服务上的博客或时事通讯)。
- 自动扫描报告,因为Lark对范围内的目标执行自己的自动扫描。
- 子域名收购需要强有力的概念证明。Lark的安全团队将在奖励赏金之前评估该域名是否有任何商业价值。
我们承诺:
- 我们将在14个工作日内回复您的报告,对调查结果进行评估,并给出预期的解决日期。
- 如果您遵循了上述指示,我们将不会就该报告对您采取任何法律行动。
- 我们将严格保密处理您的举报,不会在未经您允许的情况下将您的个人信息透露给第三方。
- 我们会随时通知你解决问题的进展。
- 在关于所报告问题的公开信息中,我们将把您的名字作为问题的发现者(除非您另有要求),并且
- 为了感谢您的帮助,我们将通过Paypal为每一个评估和确认的漏洞支付至少100美元。
重点领域:
- SSRF
- 任何已存储XXS
- 任何远程代码执行
- 任何本地文件包含
- 任何权限升级
- 任何业务逻辑旁路
- 访问控制旁路/目录遍历
- 任何有重大业务影响的发现
- 移动应用程序的常见错误配置
关于常见发现/已知问题的指导
以下是一个有意的设计或正在补救的过程中,请避免在这里花费时间,因为您更有可能获得赏金狩猎时,我们的重点领域(见上文)
- 密码重置和/或更改时会话>失效- support.lark.com请注意,其他基于授权和会话的漏洞可能很有价值
- 文本/HTML注入对团队的价值较小,请关注其他XXS(存储)类型的发现
- 对“忘记密码”或“电子邮件触发”没有速率限制,如果你能找到其他方法来利用密码重置,那么欢迎你提交你的发现。
- 缺乏DMARC记录
- 任何安全头丢失,如HSTS等,
- 电子邮件HTML注入
- 网站枚举
- “点击劫持”
- URL中的会话令牌