Zarządzaj plikami cookie
Używamy plików cookie, aby zapewnić Ci lepszą jakość obsługi oraz mierzyć skuteczność naszych reklam. Więcej informacji znajdziesz w Cookie Policy.
Ustawienia plików cookie
Pliki cookie niezbędne do prawidłowego działania strony internetowej są zawsze włączone.
Pozostałe pliki cookie można dostosować.
Niezbędne pliki cookie
Zawsze włączone
Zawsze aktywne. Te pliki cookie są niezbędne do korzystania ze strony internetowej i jej funkcji. Nie można ich wyłączyć. Są one zapisywane w odpowiedzi na Twoje żądania, takie jak ustawienie preferencji dotyczących prywatności, logowanie się lub wypełnianie formularzy.
Pliki cookie służące do analizy danych
Niepełnosprawni
Te pliki cookie gromadzą informacje, które pomagają nam zrozumieć, w jaki sposób korzystają Państwo z naszych stron internetowych, jak skuteczne są nasze kampanie marketingowe oraz jak możemy dostosować nasze strony internetowe do Państwa potrzeb. Listę plików cookie służących do analizy, z których korzystamy, można znaleźć tutaj.
Pliki cookie związane z reklamami
Niepełnosprawni
Te pliki cookie dostarczają firmom reklamowym informacji o Twojej aktywności w sieci, aby pomóc im wyświetlać Ci bardziej dopasowane reklamy internetowe lub ograniczyć liczbę wyświetleń danej reklamy. Informacje te mogą być udostępniane innym firmom reklamowym.
Pliki cookie niezbędne do działania strony
Niepełnosprawni
Te pliki cookie zapisują ustawienia osób odwiedzających stronę, użytkowników i ich przedstawicieli w celu monitorowania skuteczności kampanii promocyjnej.
Dobrze
ZAPISZ SIĘ
TILDA PUBLISHING

Program Tilda Bug Bounty

~
1. Przegląd
Aktywnie współpracujemy z badaczami zajmującymi się bezpieczeństwem i oferujemy nagrody za wykrycie luk w zabezpieczeniach platformy Tilda, w tym jej wbudowanych narzędzi i powiązanych usług.

Poniżej znajdziesz pełny regulamin programu oraz instrukcje dotyczące zgłaszania luk w zabezpieczeniach.
2. Informacje ogólne: Zakres programu
2.1. Zakres
Program ten obejmuje luki w zabezpieczeniach usług, narzędzi i aplikacji internetowych należących do firmy Tilda.
Przeprowadzanie testów bezpieczeństwa jest dozwolone, pod warunkiem że są one przeprowadzane:
  • Korzystaj wyłącznie ze swoich kont Tilda.
  • W ramach funkcji dostępnych w ramach danego planu taryfowego.
  • Bez zakłócania pracy systemów produkcyjnych.
Aby przetestować zaawansowane funkcje, możesz skorzystać z konta z aktywną 14-dniową wersją próbną planu Personal.
2.2. Poza zakresem
Strony internetowe należące do użytkowników, a także luki w zabezpieczeniach usług i integracji stron trzecich — takich jak dostawcy usług płatniczych, firmy kurierskie, serwisy gromadzące dane itp. — nie są objęte niniejszym zakresem, nawet jeśli są połączone z platformą Tilda.
Wyjątek może mieć zastosowanie, gdy luka występuje po stronie Tildy — na przykład w przypadku nieprawidłowego przesyłania danych, wycieku poufnych informacji w żądaniach, błędów w logice integracji itp.
Następujące kategorie raportów również nie są objęte zakresem:
  • Luki typu Self-XSS oraz wszelkie luki XSS w edytorze.
  • Ataki typu DoS/DDoS.
  • Ataki metodą brute force bez śladów obejścia mechanizmów zabezpieczających.
  • Wstrzyknięcie pliku CSV.
  • Słabe punkty zasad dotyczących haseł bez możliwości ominięcia uwierzytelniania.
  • Ataki CSRF dotyczące czynności o niewielkim znaczeniu, takich jak wylogowanie.
  • Clickjacking bez wykazanych skutków dla bezpieczeństwa.
  • Brakujące mechanizmy zabezpieczające lub nagłówki, których praktyczny wpływ nie został potwierdzony.
  • Błędne konfiguracje protokołów SSL/TLS.
  • Wyniki automatycznego skanowania bez powtarzalnego potwierdzenia słuszności koncepcji.
  • Ujawnianie informacji, które nie są wrażliwe, takich jak numery wersji oprogramowania.
  • Luki w zabezpieczeniach wynikające wyłącznie z używania przestarzałych wersji oprogramowania.
  • Inżynieria społeczna.
  • Raporty, które nie wykazują rzeczywistego wpływu na bezpieczeństwo.
3. Priorytetowe kategorie podatności
Najwyższy priorytet przyznajemy lukom w zabezpieczeniach, które mają wpływ na poufność, integralność lub dostępność danych, w tym:
  • Wykonywanie kodu po stronie serwera.
  • Wstrzyknięcie kodu SQL.
  • Ominięcie uwierzytelniania/autoryzacji.
  • Nieprawidłowa kontrola dostępu.
  • Fałszowanie żądań po stronie serwera wymierzone w usługi wewnętrzne.
  • Atak typu cross-site scripting mający wpływ na innych użytkowników.
  • Atak typu „Cross-Site Request Forgery” (CSRF) dotyczący operacji wrażliwych.
  • Nieograniczone przesyłanie plików.
  • Ujawnianie informacji wrażliwych.
  • Krytyczne luki w logice biznesowej, które prowadzą do nieuprawnionego dostępu lub podwyższenia uprawnień.
4. Zasady i ograniczenia programu
W ramach tego programu nie wolno:
  • Podejmować działań, które mogą zakłócić działanie platformy lub wywrzeć negatywny wpływ na użytkowników platformy lub inne osoby trzecie.
  • Uzyskać nieuprawniony dostęp do kont użytkowników.
  • Przeprowadź masową, zautomatyzowaną eksploatację.
  • Wykorzystaj socjotechnikę.
  • Nie ograniczaj się do minimalnego zakresu testów niezbędnego do potwierdzenia luki w zabezpieczeniach.
  • Nie publikuj weryfikacji koncepcji, dopóki luka nie zostanie usunięta i nie uzyskasz zgody zespołu ds. bezpieczeństwa Tilda.
  • Ujawnianie szczegółów dotyczących luki w zabezpieczeniach bez uprzedniej zgody firmy Tilda.
  • Należy ujawnić wszelkie dane osobowe uzyskane w trakcie badań.
5. Jak zgłosić lukę w zabezpieczeniach
Jeśli wykryłeś lukę w zabezpieczeniach, napisz do nas na adres: bugbounty@tilda.cc
Temat wiadomości e-mail: Zgłoszenie w ramach programu Bug Bounty serwisu
– [Krótki opis luki w zabezpieczeniach]
Raport powinien zawierać:
  • Usługa lub narzędzie, którego to dotyczy.
  • Rodzaj luki w zabezpieczeniach.
  • Opis potencjalnych skutków.
  • Szczegółowa instrukcja odtworzenia.
  • W razie potrzeby – weryfikacja koncepcji.
  • Zalecenia dotyczące działań naprawczych, o ile są dostępne.
Zgłoszenia bez opisanych kroków pozwalających na odtworzenie problemu mogą zostać odrzucone.
Średni czas udzielenia pierwszej odpowiedzi wynosi 1 dzień roboczy.
6. Klasyfikacja luk w zabezpieczeniach i nagrody
Klasyfikacja luk w zabezpieczeniach i ich poziom zagrożenia są ustalane w oparciu o taksonomię Bugcrowd Vulnerability Rating Taxonomy (VRT).
W ostatecznej ocenie uwzględnia się również:
  • Rzeczywisty wpływ na poufność, integralność i dostępność danych.
  • Realistyczny scenariusz wykorzystania.
  • Złożoność i powtarzalność ataku.
  • Skala potencjalnych skutków.
  • Występowanie okoliczności łagodzących lub ograniczeń.
Wysokość nagród zależy od przypisanej klasyfikacji i wynosi od 25 do 3000 dolarów, co odpowiada kwotom wypłacanym na wiodących platformach typu bug bounty, takich jak HackerOne i Bugcrowd.
Nagrody są wypłacane wyłącznie za pierwsze poprawne i ważne zgłoszenie danej luki w zabezpieczeniach.
Ostateczną decyzję w sprawie klasyfikacji luki w zabezpieczeniach oraz wysokości nagrody podejmuje zespół ds. bezpieczeństwa Tilda na podstawie ustalonych kryteriów.
7. Dane kontaktowe
Raporty dotyczące luk w zabezpieczeniach:
bugbounty@tilda.cc
Ogólne pytania:
team@tilda.cc
Warunki świadczenia usług
Wykonane na
Tilda