Soumissions de vulnérabilité

Chez Auction Sniper, nous prenons la sécurité et la confidentialité très au sérieux. Nous pensons que les chercheurs responsables de la sécurité à travers le monde sont essentiels pour identifier les vulnérabilités de toute technologie. Auction Sniper accueille et encourage les chercheurs en sécurité à signaler les vulnérabilités de nos systèmes et nous apprécions vos efforts pour faire d'Internet un endroit plus sûr.

Fonctionnement du programme
Les chercheurs doivent divulguer les vulnérabilités potentielles conformément aux directives suivantes:

Let us know as soon as possible upon discovery of a potential security issue and we'll make every effort to quickly resolve the issue.
Please avoid any privacy violations, degradations and disruption to our production systems during your testing. This includes any activity that has an impact on the availability of our systems, including the use of vulnerability scanning tools.
Do not access data of other users and solely use your created accounts.
Do not attempt to brute-force or spam our systems.
Never exploit a vulnerability you discover to view data or alter data without authorization.
Do not do anything illegal. Researchers are responsible for complying with local laws, restrictions, regulations, etc.
Please keep information disclosed confidential between yourself and Auction Sniper, until we resolve the issue. Again, we will make our best efforts to fix issues in a short time frame, but some vulnerabilities take longer than others to resolve.

En soumettant vos conclusions de manière responsable à Auction Sniper conformément à ces lignes directrices, Auction Sniper s'engage à ne pas engager de poursuites judiciaires contre vous. Auction Sniper se réserve tous les droits légaux en cas de non-respect de ces directives.

Une fois qu'un rapport est soumis, Auction Sniper s'engage à fournir un accusé de réception rapide de tous les rapports et vous tiendra raisonnablement informé de l'état de toute vulnérabilité validée que vous signalez via ce programme.

Veuillez signaler tout problème de sécurité que vous rencontrez à [email protected]. Si votre soumission contient des informations de vulnérabilité sensibles, veuillez les chiffrer à l'aide de notre clé publique PGP au bas de cette page.

Veuillez inclure les éléments suivants dans votre soumission:

Your name and contact information
Company name (if applicable)
A detailed description of the potential vulnerability.
Exact steps to reproduce the issue, including any associated URL and parameters demonstrating the vulnerability, proof of concept links and/or payloads.
Any relevant details of your system’s configuration, such as any browser or user-agent information where the tests were conducted.
Your IP address and Auction Sniper account, to assist with coordinated log review.

Exclusions
Certaines vulnérabilités sont considérées comme hors de portée de notre programme de divulgation responsable, notamment:

Social engineering (including phishing) of Auction Sniper staff, contractors, or users
DoS/DDoS
Resource Exhaustion attacks
Self XXS
Vulnerabilities only affecting users of outdated or unpatched browsers and platforms
Reports from automated tools and/or scans
Bugs in 3rd party software
Physical attacks on our infrastructure
DNSSEC
CSV Injection
SSL/TLS Best Practices
X-Frame-Options related
Missing security headers which do not lead directly to a vulnerability

Merci

Nous tenons à vous remercier sincèrement pour avoir divulgué les failles de sécurité de manière responsable et travaillé avec nous pour améliorer notre sécurité. Nous comprenons le travail et le talent que vous avez mis pour trouver ces problèmes et nous apprécions que vous nous contactiez.

Notre clé PGP

Si vous soumettez des informations sensibles sur les vulnérabilités ou souhaitez communiquer avec nous en privé sur votre problème, nous vous encourageons à utiliser la clé PGP suivante pour crypter votre message.

Last Updated: June 2020