Detección de vulnerabilidades

Política de detección de vulnerabilidades

Si tiene información relacionada con vulnerabilidades de seguridad de TalentLMS u otros productos y servicios de Epignosis, queremos que nos lo cuente. Por favor, presente un informe de acuerdo con las directrices que figuran a continuación. Valoramos el impacto positivo de su trabajo y le agradecemos de antemano su contribución.

Ofreceremos una recompensa a las personas que envíen informes de detección de vulnerabilidades que se adhieran a las directrices y parámetros definidos a continuación y que sean estimados como válidos por el equipo de seguridad de TalentLMS.

Directrices

Epignosis se compromete a no llevar a cabo reclamaciones contra los investigadores relacionados con las divulgaciones enviadas a través de este sitio web que:

  • no causen daño a Epignosis, a nuestros clientes o a otros;
  • proporcionen un resumen detallado de la vulnerabilidad, incluyendo el origen, los pasos, herramientas y artefactos utilizados durante el descubrimiento (el resumen detallado nos permitirá reproducir la vulnerabilidad);
  • no comprometan la privacidad o seguridad de nuestros clientes y la operación de nuestros servicios;
  • no violen ninguna ley o regulación;
  • revelen públicamente los detalles de la vulnerabilidad antes de que Epignosis haya confirmado la reparación completa de la misma, y no revelen públicamente los detalles si no hay una fecha de finalización o si no se puede determinar si se ha completado;
  • confirmen que no se encuentran en ese momento ni residen habitualmente en Cuba, Irán, Corea del Norte, Sudán, Siria o Crimea; y
  • confirmen que no están en la lista de nacionales especialmente designados por el Departamento del Tesoro de Estados Unidos.

Fuera de ámbito

  1. Informes de herramientas automatizadas o escaneos
  2. Problemas que no tienen un impacto de seguridad claramente identificado (como el secuestro de clics en un sitio web estático), falta de cabeceras de seguridad o mensajes de error descriptivos
  3. Faltas en las buenas prácticas, divulgación de información, uso de bibliotecas vulnerables conocidas o páginas de error descriptivas / detalladas / únicas (sin información sustantiva que indique la explotabilidad)
  4. Informes especulativos sobre daños teóricos sin pruebas concretas o sin alguna información sustantiva que indique la explotabilidad
  5. Formularios con ausencia de tokens CSRF sin evidencia de la vulnerabilidad CSRF real
  6. Autoexplotación (por ejemplo, la reutilización de cookies)
  7. Informes de cifrado SSL / TLS inseguro (a menos que se tenga una prueba de concepto operativa y no solo un informe de escáner como SSL Labs)
  8. Requisitos de complejidad de contraseñas, enumeración de cuentas/correos electrónicos o cualquier informe que verse sobre cómo averiguar si un determinado nombre de usuario o dirección de correo electrónico tiene una cuenta relacionada con Epignosis
  9. Falta de encabezados HTTP relacionados con la seguridad que no conducen directamente a una vulnerabilidad
  10. Vulnerabilidades XSS sin pruebas de cómo se puede utilizar la vulnerabilidad para atacar a otro usuario
  11. Ingeniería social de los empleados o contratistas de Epignosis
  12. Presencia del atributo de autocompletar en los formularios web
  13. Ausencia del indicador de seguridad en cookies no sensibles
  14. Ataques de denegación de servicio
  15. Problemas de identificación de banners (por ejemplo, identificar qué versión de servidor web se utiliza)
  16. Puertos abiertos que no conducen directamente a una vulnerabilidad
  17. Vulnerabilidades redirigidas abiertas
  18. Paneles de inicio de sesión de acceso público
  19. Secuestro de clics
  20. Suplantación de contenido / inyección de texto

Para enviar su informe de vulnerabilidades encontradas, póngase en contacto con security arroba talentlms punto com. Al ponerse en contacto con nosotros, está dando su consentimiento para que su información sea transferida y almacenada en los Estados Unidos, y reconoce que ha leído y aceptado las Condiciones de uso y la Política de privacidad de TalentLMS.