范围
本披露政策仅适用于国家统计局(ONS)产品和服务在以下情况下的漏洞:
“范围内”的漏洞必须是原始的、以前未报告的,并且尚未被内部过程发现的。
容量漏洞不在范围内;这意味着,简单地用大量请求淹没服务是不可能的。
关于不可利用的漏洞的报告,或者表明我们的服务没有完全符合“最佳实践”(例如缺少安全头)的报告不在范围内。
TLS配置弱点,例如“弱”加密套件支持或TLS 1.0支持的存在,不在范围内。
这项政策适用于所有人,包括国家统计局的工作人员、第三方供应商和国家统计局公共服务的一般用户。
报告
如果您发现了一些您认为是范围内安全漏洞的东西(如Scope部分所列),您可以这样做提交报告.在你的意见书中,包括:
- 可以看到漏洞的网站或页面的详细信息
- 漏洞类型的简要描述,例如“跨站漏洞”。
你的报告应该提供客观的、非破坏性的剥削证据。这有助于确保报告能够迅速和准确地得到评估。它还降低了重复报告或恶意利用某些漏洞(如子域接管)的可能性。
期待什么
在你提交报告后,我们会在五个工作天内回复你的报告,并计划在十个工作天内评估你的报告。如果您已注册帐户,我们将通过HackerOne向您通报我们的进展。
通过查看bug修复或缓解的复杂程度和后果可能的严重程度,来评估它们的优先级。漏洞报告可能需要一些时间来评估和处理。欢迎你查询有关程序的情况,但应避免每14天查询超过一次。这将使我们的团队专注于报告。
当报告的漏洞得到解决,或补救工作被安排时,漏洞披露团队将通知您,并邀请您确认解决方案充分覆盖了漏洞。
法律上的义务
此策略旨在与常见的漏洞披露良好实践相兼容。它不会允许您以任何违反法律的方式行事,或可能导致国家统计局(ONS)违反其任何法律义务,包括但不限于:
- 计算机滥用法(1990年)
- 《通用数据保护条例2016/679》(GDPR)和《2018年数据保护法》
- 《版权、设计和专利法》(1988年)
- 《官方保密法》(1989)
英国国家统计局不会寻求起诉任何报告国家统计局服务或系统安全漏洞的安全研究员,如果该研究员是本着善意并按照本披露政策行事的。
指导
你不可以:
- 访问不必要的数据量;两个或三个记录足以演示大多数漏洞,例如枚举或直接对象引用漏洞
- 使用高强度侵入性或破坏性的技术安全扫描工具查找漏洞
- 侵犯国家统计局用户、员工、承包商、服务或系统的隐私,例如,通过共享、重新分发和/或不适当保护从我们的系统或服务检索到的数据
- 使用此策略中未描述的方法沟通任何漏洞或相关细节
- 修改任何国家统计局系统或服务中的数据
- 破坏国家统计局的任何服务或系统
- 社会工程师,“网络钓鱼”,或对国家统计局工作人员或基础设施进行人身攻击
在ONS确认这些漏洞已被缓解或纠正之前,您也不得向第三方或公众披露ONS系统或服务中的任何漏洞;这并不打算阻止您将漏洞通知与该漏洞直接相关的第三方。例如,报告的漏洞位于第三方软件库或框架中。在此类报告中不得提及适用于国家统计局的特定漏洞的详细信息。