Безопасность

Политика раскрытия уязвимостей

Помогите нам сделать QRest безопаснее

Безопасная гавань

Мы не будем преследовать исследователей безопасности, которые обнаруживают и сообщают об уязвимостях добросовестно, следуя этой политике. Мы считаем исследования безопасности, проведённые в соответствии с этой политикой, авторизованными, и будем работать с вами для быстрого понимания и устранения проблемы.

Как сообщить

Если вы считаете, что нашли уязвимость, пожалуйста, сообщите нам:

Email

qrestreply@gmail.com

Subject

Уязвимость безопасности: [Краткое описание]

Пожалуйста, укажите: описание уязвимости, шаги для воспроизведения, потенциальное воздействие и любой proof-of-concept код.

Сроки реагирования

Первичный ответ в течение 48 часов

Критическая

Цель исправления: 7 дней

Высокая

Цель исправления: 30 дней

Средняя

Цель исправления: 90 дней

Низкая

Цель исправления: 180 дней

В области действия

Домены *.qrest.cafe
Мобильное приложение QRest
API endpoints (api.qrest.cafe)
Уязвимости аутентификации и авторизации
Уязвимости раскрытия данных
Инъекционные уязвимости (SQL, XSS и др.)

Вне области действия

Атаки отказа в обслуживании (DoS/DDoS)
Атаки социальной инженерии
Физические атаки на инфраструктуру
Сторонние сервисы и интеграции
Уязвимости, требующие физического доступа
Спам или фишинговые попытки

Правила ответственного раскрытия

Не получайте доступ, не изменяйте и не удаляйте данные, которые вам не принадлежат

Не снижайте производительность или доступность наших сервисов

Не раскрывайте уязвимость публично до того, как мы её исправим

Предоставьте достаточно деталей для воспроизведения уязвимости

Действуйте добросовестно, избегая нарушений конфиденциальности и уничтожения данных

Признание

Мы ценим исследователей безопасности, которые помогают нам улучшить защиту. С вашего разрешения мы отметим ваш вклад на нашей странице безопасности.

Нашли уязвимость?

Сообщите нам ответственно и помогите сделать QRest безопаснее

Сообщить об уязвимости