Passer au contenu principal

Signaler une vulnérabilité de sécurité

Comment soumettre un rapport de vulnérabilité à Level, y compris les directives de portée et ce qu'il faut inclure.

Introduction

Level effectue des tests de pénétration trimestriels et surveille activement les vulnérabilités, mais l'utilisation réelle révèle des choses que les tests automatisés manquent. Si vous trouvez un problème de sécurité, nous voulons le savoir.

Send reports to [email protected] .

ℹ️ REMARQUE:Si vous créez un compte de test spécifiquement pour la recherche de vulnérabilités, ajoutez « Tester » à votre adresse électronique (par exemple,[email protected]) pour que nous puissions filtrer ces comptes de nos métriques.

Signaler une vulnérabilité de sécurité

Ce qu'il faut inclure dans votre rapport

Un rapport utile est traité plus rapidement. Incluez:

  • Une description claire, étape par étape, de la façon de reproduire la vulnérabilité

  • L'actif spécifique affecté (voirActifs dans le champ d'application below)

  • Un scénario d'attaque démontrant l'impact potentiel

  • Capture d'écran, vidéo ou code de preuve de concept le cas échéant

Les rapports sans étapes de reproduction et un scénario d'impact ne peuvent pas être traités.

Actifs dans le champ d'application

Problèmes dans le champ d'application

Nous voulons des rapports sur:

  • Authentification et gestion des sessions — flux de connexion, gestion des sessions, OAuth, récupération de compte, politiques de mot de passe

  • Contrôle d'accès — contournement des autorisations, CSRF, accès non autorisé entre comptes

  • Vulnérabilités d'injection — injection SQL, XSS et autres attaques basées sur les entrées

  • Accès aux appareils entre clients — tout chemin qui permet à un client d'accéder aux appareils gérés d'un autre client

  • Vulnérabilités au niveau du compte — téléchargement de malware, intégration d'URL de phishing, attaques d'homoglyphes RTLO/IDN de la part d'utilisateurs non fiables sur le même compte

Les tests doivent être effectués sur vos propres comptes Level.Si vous avez besoin d'un environnement sandbox, contactez-nous avant de tester.

Problèmes hors du champ d'application

Ceux-ci ne seront pas acceptés. N'envoyez pas de rapports pour:

Comportement que nous avons évalué et accepté:

  • Limitation de débit

  • Préoccupations relatives aux bonnes pratiques sans preuve d'une vulnérabilité exploitable

  • Les sessions ne s'invalident pas lorsque 2FA est activé

  • Vulnérabilités affectant uniquement les utilisateurs sur des navigateurs obsolètes et non corrigés

  • Conditions de course sans impact sur la sécurité

  • CSRF sur les actions sans impact sur la sécurité (connexion, déconnexion, pages non authentifiées)

  • Risques théoriques sans chemin d'attaque démontré

  • Résultats des scanners automatisés sans explication

Bruit d'infrastructure/configuration:

  • Usurpation d'e-mail / politiques SPF / DKIM / DMARC

  • Injection de lien hypertexte dans les e-mails

  • En-têtes de sécurité manquants sauf s'ils sont liés à une vulnérabilité spécifique

  • Problèmes de chiffrement SSL/TLS sans preuve de concept fonctionnelle

  • Récupération de bannière et divulgation de version logicielle

  • Ports ouverts sans vulnérabilité démontrée

  • DNSSEC / DANE

  • En-têtes HSTS ou CSP

  • Divulgation de fichiers publics connus (par exemple,robots.txt)

  • Énumération du nom d'utilisateur ou de l'e-mail

  • Attributs de saisie automatique sur les formulaires Web

Problèmes opérationnels:

  • Déni de service contre les comptes d'autres clients

  • Ingénierie sociale de toute nature contre d'autres clients ou le personnel Level

  • Tentatives de harponnage ou contact du support dans le cadre des tests

  • Intrusion physique

  • Balayage automatisé, bombardement de courrier, spam, forçage brutal ou attaques automatisées (par exemple, Burp Intruder)

  • Fuite, manipulation ou destruction de données utilisateur

Exclusions DoS spécifiques:

  • DoS via entrées mal formées ou téléchargements de fichiers fabriqués déclenchant des erreurs 500

  • DoS via entrées de mot de passe illimitées ou très volumineuses

  • DoS par manque de pagination ou grandes quantités de contenu généré par l'utilisateur ralentissant les réponses

Critères de disqualification

Les rapports sont disqualifiés s'ils:

  • Manque d'instructions de reproduction étape par étape

  • Impliquent l'accès aux comptes d'autres clients

  • Impliquent l'ingénierie sociale du personnel ou des clients Level

  • Utiliser des outils d'attaque automatisée contre l'infrastructure Level

  • Résultat fuite, modification ou destruction de données utilisateur

FAQ

  • Où envoyer les rapports de vulnérabilité? Email [email protected] avec les étapes complètes de reproduction et un scénario d'impact.

  • Avez-vous un programme de prime aux bugs? Non, nous n'avons pas de programme de rémunération des bogues. Contactez[email protected] with questions.

  • Puis-je tester contre les comptes d'autres clients? Non. Les tests doivent être effectués sur vos propres comptes Level. L'accès aux comptes d'autres clients est un disqualificateur immédiat et peut avoir des conséquences légales. Contactez-nous si vous avez besoin d'un environnement de bac à sable.

  • Mon rapport inclut le résultat d'un scanner automatisé. Est-ce que ça fonctionnera? Seulement s'il est accompagné d'une explication claire de la vulnérabilité, des étapes de reproduction et d'un scénario d'attaque. La sortie du scanner brut seule ne sera pas traitée.

  • Avec quelle rapidité allez-vous répondre? Les délais de réponse ne sont pas garantis. Contactez [email protected] directement si vous avez une divulgation urgente.

Articles connexes
Démarrage avec Level
Sécurisation de Level
Avez-vous trouvé la réponse à votre question ?