Ir al contenido principal

Informar de una vulnerabilidad de seguridad

Cómo enviar un informe de vulnerabilidad a Level, incluyendo directrices de alcance y qué incluir.

Actualizado hoy

Introducción

Level realiza pruebas de penetración trimestrales y monitorea activamente las vulnerabilidades, pero el uso en el mundo real revela cosas que las pruebas automatizadas pierden. Si encuentra un problema de seguridad, queremos saberlo.

Send reports to [email protected].

ℹ️ NOTA:Si está creando una cuenta de prueba específicamente para investigación de vulnerabilidades, agregue "Tester" a su dirección de correo electrónico (por ejemplo,[email protected]) para que podamos filtrar esas cuentas de nuestras métricas.

Informar de una vulnerabilidad de seguridad

Qué incluir en su informe

Un informe útil se aborda más rápido. Incluya:

  • Una descripción clara y paso a paso de cómo reproducir la vulnerabilidad

  • El activo específico afectado (verActivos en el alcance below)

  • Un escenario de ataque que demuestre el impacto potencial

  • Capturas de pantalla, video o código de prueba de concepto si es aplicable

Los informes sin pasos de reproducción y un escenario de impacto no se pueden actuar.

Activos en el alcance

Problemas dentro del alcance

Queremos informes sobre:

  • Autenticación y gestión de sesiones— flujos de inicio de sesión, manejo de sesiones, OAuth, recuperación de cuenta, políticas de contraseña

  • Control de acceso— omisiones de permisos, CSRF, acceso no autorizado entre cuentas

  • Vulnerabilidades de inyección— inyección SQL, XSS y otros ataques basados en entrada

  • Acceso a dispositivos entre clientes— cualquier ruta que permita que un cliente acceda a dispositivos administrados de otro cliente

  • Vulnerabilidades a nivel de cuenta— carga de malware, incrustación de URL de phishing, ataques de homografía RTLO/IDN de usuarios no confiables en la misma cuenta

Las pruebas deben realizarse en sus propias cuentas de Level.Si necesita un entorno de espacio aislado, contáctenos antes de probar.

Problemas fuera del alcance

Estos no serán aceptados. No envíe informes para:

Comportamiento que hemos evaluado y aceptado:

  • Limitación de velocidad

  • Preocupaciones de mejores prácticas sin evidencia de una vulnerabilidad explotable

  • Las sesiones no se invalidan cuando 2FA está habilitado

  • Vulnerabilidades que solo afectan a usuarios en navegadores obsoletos y sin parches

  • Condiciones de carrera sin impacto en la seguridad

  • CSRF en acciones sin impacto en la seguridad (inicio de sesión, cierre de sesión, páginas no autenticadas)

  • Riesgos teóricos sin una ruta de ataque demostrada

  • Salida de escáneres automatizados sin explicación

Ruido de infraestructura/configuración:

  • Políticas de suplantación de correo electrónico / SPF / DKIM / DMARC

  • Inyección de hipervínculos en correos electrónicos

  • Encabezados de seguridad faltantes a menos que estén vinculados a una vulnerabilidad específica

  • Problemas de cifrado SSL/TLS sin una prueba de concepto en funcionamiento

  • Captura de pancartas y divulgación de versión de software

  • Puertos abiertos sin una vulnerabilidad demostrada

  • DNSSEC / DANE

  • Encabezados HSTS o CSP

  • Divulgación de archivos públicos conocidos (por ejemplo,robots.txt)

  • Enumeración de nombres de usuario o correo electrónico

  • Atributos de autocompletar en formularios web

Problemas operacionales:

  • Denegación de servicio contra cuentas de otros clientes

  • Ingeniería social de cualquier tipo contra otros clientes o personal de Level

  • Intentos de suplantación de identidad o contacto de soporte como parte de las pruebas

  • Intrusión física

  • Escaneo automatizado, bombardeo de correo, spam, fuerza bruta o ataques automatizados (por ejemplo, Burp Intruder)

  • Fuga, manipulación o destrucción de datos del usuario

Exclusiones de DoS específicas:

  • DoS a través de entradas mal formadas o cargas de archivos elaboradas que desencadenan errores 500

  • DoS a través de entradas de contraseña ilimitadas o muy grandes

  • DoS por falta de paginación o grandes cantidades de contenido generado por el usuario ralentizando las respuestas

Descalificadores

Los informes se descartan si:

  • Falta de instrucciones de reproducción paso a paso

  • Implican acceder a cuentas de otros clientes

  • Implican ingeniería social del personal o clientes de Level

  • Uso de herramientas de ataque automatizadas contra la infraestructura de Level

  • Resultado de fuga, modificación o destrucción de datos del usuario

Preguntas frecuentes

  • ¿Dónde envío informes de vulnerabilidades? Email [email protected]con pasos completos de reproducción y un escenario de impacto.

  • ¿Tiene un programa de recompensas por errores?No, no tenemos un programa de recompensas por errores. Comuníquese con[email protected] with questions.

  • ¿Puedo probar contra las cuentas de otros clientes?No. Las pruebas deben realizarse en sus propias cuentas de Level. El acceso a las cuentas de otros clientes es un descalificador inmediato y puede tener consecuencias legales. Contáctenos si necesita un entorno de espacio aislado.

  • ¿Mi informe incluye la salida de un escáner automatizado? ¿Funcionará?Solo si va acompañado de una explicación clara de la vulnerabilidad, pasos de reproducción y un escenario de ataque. La salida del escáner sin procesar por sí sola no se puede actuar.

  • ¿Con qué rapidez responderá?Los tiempos de respuesta no están garantizados. Comuníquese con[email protected]directamente si tiene una divulgación urgente.

Artículos relacionados
Aseguración de Level
¿Ha quedado contestada tu pregunta?