Διαδικασία απόκρισης και αποκάλυψης ευπάθειας
Αναφορά Τρωτών Σημείων
Μπορείτε να αναφέρετε τρωτά σημεία που βρήκατε με τους ακόλουθους τρόπους
Email
Safety@solplanet.net
Υποβάλλετε τα Τρωτά Σημεία που βρήκατε online
Χρόνος Απόκρισης
Θα κάνουμε επαλήθευση και θα πραγματοποιήσουμε μια αρχική εκτίμηση εντός τριών (3) εργάσιμων ημερών από την λήψη της αναφοράς . Η Εκτίμηση θα ολοκληρωθεί εντός επτά (7) εργάσιμων ημερών, και το κενό ασφαλείας θα επισκευαστεί, ή θα αναπτυχθεί ένα σχέδιο αποκατάστασης.
Κρίσιμα τρωτά σημεία θα επισκευάζονται εντός επτά (7) εργάσιμων ημερών μετά το τέλος της εκτίμησης. Κενά ασφαλείας υψηλού και μέτριου κινδύνου θα επιδιορθώνονται εντός τριάντα (30) εργάσιμων ημερών. Κενά ασφαλείας χαμηλού κινδύνου θα επιδιορθώνονται εντός εκατόν ογδόντα (180) εργάσιμων ημερών. Παρακαλούμε σημειώστε ότι κάποια κενά ασφαλείας εξαρτώνται από το περιβάλλον ή τον εξοπλισμό. Η τελικός χρόνος απόκρισης θα προκύπτει από την ίδια την περίπτωση.
Κύκλος Υποστήριξης Ενημέρωσης Ασφαλείας Προϊόντος
Για να προστατέψουμε τους πελάτες μας, στην AISWEI παρέχουμε τριετή τουλάχιστον υποστήριξη ενημερώσεων ασφαλείας για τα προϊόντα ΙΟΤ. Εάν πιστεύετε ότι έχετε ανακαλύψει κάποιο κενό ασφαλείας ή απορρήτου το οποίο έχει αντίκτυπο στον εξοπλισμό, το λογισμικό, τις υπηρεσίες ή τους διακομιστές δικτύου της AISWEI, παρακαλούμε να μας το αναφέρετε. Καλωσορίζουμε όλους όσους επιθυμούν να αναφέρουν κάποιο πρόβλημα, όπως ερευνητές ασφαλείας, προγραμματιστές, και πελάτες. Η AISWEI θα ασχοληθεί γρήγορα και προσεκτικά με τα Τρωτά σημεία στα προϊόντα της.
Κριτήρια βαθμολόγησης Επιπέδου Τρωτού Σημείου
Τα ακόλουθα ζητήματα δεν είναι τρωτά σημεία:
1. Σφάλματα που δεν αφορούν ζητήματα ασφαλείας. Σε αυτά συμπεριλαμβάνονται μεταξύ άλλων λειτουργικά ελαττώματα, δυσανάγνωστες ιστοσελίδες, ασαφή στυλ, στατική διέλευση καταλόγου αρχείων, συμβατότητα εφαρμογών και άλλα ζητήματα.
2. Τρωτά σημεία που δεν μπορούν να χρησιμοποιηθούν. Η CSRF (πλαστογράφηση αιτήματος μεταξύ ιστοτόπων) χωρίς ευαίσθητες λειτουργίες, ανώμαλη διαρροή πληροφοριών χωρίς νόημα, ενδοδικτυακή διαρροή διεύθυνσης/ domain name.
3. Άλλα προβλήματα που δεν αντικατοπτρίζουν άμεσα την ύπαρξη των τρωτών σημείων. Σε αυτά συμπεριλαμβάνονται, μεταξύ άλλων, ζητήματα που είναι απλώς εικασίες.
Τρωτά σημεία Χαμηλού Κινδύνου:
1. Τρωτά σημεία τα οποία μπορούν να έχουν αντίκτυπο αλλά δεν μπορούν να αποκτήσουν άδειες συσκευής και να επηρεάσουν άμεσα την ασφάλεια των δεδομένων, όπως: κοινοποίηση μη-σημαντικών πληροφοριών, ανακατεύθυνση URL, δύσχρηστα Τρωτά σημεία XSS, συνήθη Τρωτά σημεία CSRF.
2. Απλή μη-εξουσιοδοτημένη λειτουργία. Σε αυτή συμπεριλαμβάνεται μεταξύ άλλων η λανθασμένη άμεση αναφορά αντικειμένου.
3. Κοινές λογικές σχεδιαστικές ατέλειες. Σε αυτές συμπεριλαμβάνεται μεταξύ άλλων η παράκαμψη του κωδικού επιβεβαίωσης μέσω SMS, η παράκαμψη επιβεβαίωσης email.
Τρωτά σημεία Μεσαίου Κινδύνου:
1. Τρωτά σημεία που αφορούν την άμεση απόκτηση των πληροφοριών της ταυτότητας του χρήστη. Σε αυτά συμπεριλαμβάνονται μεταξύ άλλων τα αποθηκευμένα κενά ασφαλείας XSS (Cross-site Scripting)
2. Τυχαία κενά στις λειτουργίες κειμένου. Σε αυτά συμπεριλαμβάνονται μεταξύ άλλων η ανάγνωση, γραφή, διαγραφή και μεταφόρτωση αρχείων, καθώς και άλλες λειτουργίες.
3. Μη εξουσιοδοτημένη πρόσβαση. Σε αυτήν συμπεριλαμβάνονται μεταξύ άλλων η τροποποίηση δεδομένων χρήστη, και η τέλεση ενεργειών χρήστη μέσω παράκαμψης των περιορισμών.
Τρωτά Σημεία Υψηλού Κινδύνου:
1. Τρωτά σημεία άμεσης απόκτησης επιχειρηματικής άδειας στον διακομιστή. Σε αυτό συμπεριλαμβάνονται μεταξύ άλλων η τυχαία εκτέλεση εντολών, η μεταφόρτωση κελύφους ιστού (webshell) η τυχαία εκτέλεση κώδικα, η έγχυση εντολών, η απομακρυσμένη εκτέλεση εντολών.
2. Λογικά κενά τα οποία έχουν άμεσο και σοβαρό αντίκτυπο. Σε αυτά συμπεριλαμβάνονται μεταξύ άλλων οποιοδήποτε τρωτό σημείο αλλαγής κωδικού πρόσβασης.
3. Τρωτά σημεία που μπορούν να κλέψουν άμεσα τα στοιχεία ταυτότητας χρήστη σε αρχεία δέσμης. Σε αυτά συμπεριλαμβάνονται μεταξύ άλλων οι εγχύσεις SQL (διαρθρωμένης γλώσσας αναζήτησης)
4. Μη εξουσιοδοτημένη πρόσβαση. Σε αυτήν συμπεριλαμβάνονται μεταξύ άλλων, η παράκαμψη ταυτοποίησης με σκοπό την άμεση πρόσβαση στην πλευρά του διαχειριστή και αδύναμοι κωδικοί πρόσβασης στην πλευρά αυτή.
Κρίσιμα Κενά Ασφαλείας:
1. Αμεση πρόσβαση στις άδειες του κεντρικού συστήματος. Τρωτά σημεία τα οποία μπορούν να θέσουν σε κίνδυνο το ενδοδίκτυο, συμπεριλαμβανομένων των: εκτέλεση εντολής, απομακρυσμένη υπερχείλιση και άλλα τρωτά σημεία.
2. Τρωτά σημεία που μπορούν να αποκτήσουν μεγάλο αριθμό κεντρικών δεδομένων χρηστών
3. Λογικά κενά που έχουν άμεσο και σοβαρό αντίκτυπο. Αυτά τα τρωτά σημεία περιλαμβάνουν, μεταξύ άλλων: σοβαρά λογικά σφάλματα, κενά που μπορούν να αποκτήσουν μεγάλο αριθμό προνομίων και να προκαλέσουν ζημίες στις εταιρείες και τους χρήστες τους.