范围
本披露政策仅适用于国家统计局(ONS)产品和服务在以下情况下的漏洞:
“范围内”漏洞必须是原始的、以前未报告的,并且尚未被内部程序发现。
容量漏洞不在范围内;这意味着简单地用大量请求压倒服务不在范围内。
报告不可利用的漏洞,或报告表明我们的服务不完全符合“最佳实践”(例如缺少安全头部)不在范围内。
TLS配置弱点,例如“弱”密码套件支持或TLS 1.0支持,不在讨论范围之内。
这项政策适用于所有人,包括ONS工作人员、第三方供应商和ONS公共服务的一般用户。
报告
如果您发现了一些您认为是范围内安全漏洞的内容(如范围部分所列),您可以这样做提交报告.在你提交的资料中,请包括:
- 可以看到漏洞的网站或页面的详细信息
- 对漏洞类型的简要描述,例如“XSS漏洞”
你的报告应该提供客观的、非破坏性的剥削证据。这有助于确保能够快速和准确地评估报告。它还降低了重复报告或恶意利用某些漏洞(如子域接管)的可能性。
会发生什么
在您提交报告后,我们会在五个工作天内作出回应,并在十个工作天内评估您的报告。如果您已注册帐户,我们将通过HackerOne向您通报我们的进展。
错误修复或缓解的优先级是通过查看它们的复杂性和可能的后果有多严重来评估的。漏洞报告可能需要一些时间来评估和处理。欢迎你查询有关程序的情况,但应避免每14天查询超过一次。这将使我们的团队能够专注于报告。
当报告的漏洞得到解决或安排了补救工作时,漏洞披露团队将通知您并邀请您确认解决方案是否充分覆盖了漏洞。
法律上的义务
此策略旨在与常见的漏洞披露良好实践兼容。它不允许您以任何不符合法律的方式行事,或可能导致国家统计局(ONS)违反其任何法律义务,包括但不限于:
- 计算机滥用法案(1990年)
- 《通用数据保护条例2016/679》(GDPR)和《2018年数据保护法》
- 版权、外观设计和专利法(1988年)
- 《官方保密法》(1989)
英国国家统计局不会对任何报告国家统计局服务或系统存在安全漏洞的安全研究人员提起诉讼,而该研究人员的行为是善意的,并符合本披露政策。
指导
你不得:
- 访问不必要的数据量;两到三条记录就足以说明大多数漏洞,例如枚举或直接对象引用漏洞
- 使用高强度侵入性或破坏性技术安全扫描工具查找漏洞
- 侵犯国家统计局用户、员工、承包商、服务或系统的隐私,例如,通过共享、重新分发和/或不适当保护从我们的系统或服务检索到的数据
- 使用本策略中未描述的方法通报任何漏洞或相关细节
- 修改任何ONS系统或服务中的数据
- 破坏任何国家统计局的服务或系统
- 社会工程师,“网络钓鱼”,或者对国家统计局的工作人员或基础设施进行人身攻击
在ONS确认这些漏洞已被缓解或纠正之前,您也不得向第三方或公众披露ONS系统或服务中的任何漏洞;这并不是为了阻止您将漏洞通知给与该漏洞直接相关的第三方。例如,报告的漏洞位于第三方软件库或框架中。此类报告中不得引用适用于ONS的特定漏洞的详细信息。