#

负责任的披露政策

OTA Sync 重视我们用户的安全以及我们系统的安全。 这个负责任的安全报告计划允许您提醒 OTA Sync 可能的安全漏洞。 我们鼓励报告在中发现的安全漏洞 OTA Sync 产品。
本文介绍了如何提交您的报告以及我们的指南。

#

条款和规则

  • 不要尝试读取、写入或访问您有权访问的任何私人数据
  • 不要公开披露任何漏洞。
  • 不要运行任何会中断服务或降低用户使用它们的能力的测试。
  • 不要使用嘈杂的自动扫描仪。
  • 所有测试都必须遵守下面概述的范围和领域。
#

在适用范围

  • 应用程序otasync.me
  • beta.otasync.me
  • app.otasync.me/引擎
  • app.otasync.me/multiproperty
  • OTA Sync 移动应用
  • otasync.me

超出范围的漏洞

  • DMARC/SPF 问题
  • 与 TLS/SSL 版本相关的问题
  • 分布式拒绝服务攻击
  • 电子邮件或帐户枚举
  • 任何物理访问问题
  • 先前报告的安全漏洞
  • 社会工程学
  • 网络钓鱼攻击
  • 第三方应用程序或网站中的任何漏洞。
  • 客户端的任何安全漏洞(例如,浏览器、插件)

报告提交

我们要求您承诺确保我们用户的安全,因此请给我们时间来分析通过此程序提交的内容并修复您可能发现的任何安全漏洞。 报告必须提交给 安全@otasync.me 带有以下信息

  1. 问题说明
  2. 浏览器版本(如果适用)
  3. 场景(如适用)
  4. 重现步骤
  5. 任何其他信息/参考
  6. 概念验证:脚本、屏幕截图和压缩屏幕截图
  7. 漏洞的影响

在整个过程中,我们会随时通知您我们的进展情况。