报告脆弱性
如果你认为你在Pikly发现了一个安全问题 在公开分享之前联系我们
安全联络
联系人@pikly.pro
Send report
应包含的内容
你的报告越清楚,我们就越能证实和解决这个问题。
- ✓明确阐述问题和潜在影响.
- ✓分步指示再现问题.
- ✓受影响的页面,app版本,操作系统,浏览器,设备,或特性.
- ✓屏幕截图,屏幕录音,日志,或有用时的概念证明.
- ✓引发问题所需的任何条件,如权限,设备设置,或订阅状态等.
请勿
测试必须尊重、有限并避免对Pikly、用户或基础设施造成伤害。
- ×访问,修改,删除,复制,或者曝光另一个用户的数据.
- ×进行拒绝服务、压力、垃圾邮件、费率限制或资源耗竭测试。
- ×使用社会工程,钓鱼,人身攻击,或试图攻击Pikly员工,用户,或提供商.
- ×安装恶意软件、持续访问、绕行支付系统或中断订阅。
- ×在我们审查之前公开披露这一问题,并有合理的机会加以解决。
测试范围
关注您被授权使用的 Pikly 拥有的表面和特征 。
通常范围
Pikly公共网站网页,Pikly移动应用功能,条码扫描流程,本地库存功能,CSV导出行为,以及订阅访问逻辑.
通常超出范围
第三方平台如苹果,谷歌,支付供应商,托管供应商,电子邮件供应商,以及需要进行有害或高容量测试的问题.
我们的审查进程
我们的目标是根据严重程度和可复制性仔细和按比例处理报告。
1
Receive
我们审查你的报告,如果需要的话,我们可能会要求提供更多的细节。
2
Validate
我们试图重复这一问题,评估风险,并优先采取补救措施。
3
Fix
我们致力于校正、缓解、改变配置或酌情更新用户信息。
4
Coordinate
我们请你与我们协调任何信息披露 以便首先保护用户
诚信研究
我们珍视遵循这些准则的负责任的安全研究。
如果你诚意行事,避免侵犯隐私,避免服务中断,并给我们一个合理的机会在披露之前解决问题,我们不会故意就研究本身对你提起法律诉讼. 这不准许非法活动、进入第三方系统、敲诈、威胁、数据过滤或损害用户或基础设施的行动。
Pikly目前没有运行付费bug赏金程序. 提交报告不能保证赔偿、信贷或公众承认。
联系
用于安全报告 联系人@pikly.pro对于隐私问题,请审查隐私政策,或通过同一地址与我们联系。
建议的电子邮件主题
Security Report for Pikly