Détection de vulnérabilités

Politique de détection de vulnérabilités

Si vous avez des informations concernant les vulnérabilités de sécurité de TalentLMS ou autres produits et services Epignosis, n’hésitez pas à nous en faire part. Veuillez soumettre un rapport en tenant compte des directives ci-dessous. Nous estimons à sa juste valeur l'impact positif de votre travail et vous remercions d’avance pour votre contribution.

Nous récompenserons les personnes qui soumettent des rapports sur la détection de vulnérabilités qui sont en accord avec les directives et le cadre définis sur cette page et qui sont jugés valides par l'équipe de sécurité de TalentLMS.

Directives

Epignosis consent à ne pas intenter de poursuite contre les chercheurs en lien avec les informations divulguées soumises par l'intermédiaire de ce site web, lesquels :

  • ne causent pas de préjudice à Epignosis, à nos clients et autres ;
  • fournissent un résumé détaillé des vulnérabilités, y compris la cible, les étapes, les outils et les objets utilisés lors de la découverte (le résumé détaillé nous permettra de reproduire la vulnérabilité) ;
  • ne compromettent pas la vie privée et la sécurité de nos clients et la prestation de nos services ;
  • n'enfreignent aucune loi ou réglementation ;
  • divulguent publiquement les détails des vulnérabilités seulement après qu'Epignosis ait confirmé la correction des dites vulnérabilités et qui ne divulguent pas publiquement les détails de la vulnérabilité s'il n'y a pas de date de correction ou si celle-ci n'est pas certaine ;
  • confirment qu'ils ne résident pas actuellement ou habituellement au Cuba, en Iran, en Corée du Nord, au Soudan, en Syrie ou en Crimée ; et
  • confirment qu'ils ne sont pas sur la liste des « nationaux spécifiquement désignés » du ministère des Finances des États-Unis.

Hors du domaine visé

  1. Rapports provenant d'outils automatiques ou des analyses
  2. Problèmes sans impact sécuritaire clairement identifié (tel que le détournement de clic sur un site web statique), des en-têtes de sécurité manquants ou des messages d'erreurs descriptifs
  3. Bonnes pratiques manquants, divulgations d'informations, utilisation des bibliothèques vulnérables connues ou de pages d'erreurs uniques / descriptives / verbeuses (sans fournir des informations substantielles indiquant l'exploitabilité)
  4. Rapports spéculatifs sur les dommages théoriques sans preuve concrète ou des informations suffisantes indiquant l'exploitabilité
  5. Des formulaires avec des jetons CSRF manquants sans preuve de la vulnérabilité réelle
  6. Auto-exploitation (par ex. la réutilisation de cookie)
  7. Rapports sur le chiffrement SSL / TLS (à moins que vous n'ayez une preuve de concept fonctionnelle, et non simplement un rapport d'un outil d'analyse comme SSL Labs)
  8. Des exigences en matière de complexité des mots de passe, le recensement des comptes / des e-mails ou tout rapport qui aborde comment savoir si un nom utilisateur donné ou une adresse e-mail donnée a un compte Epignosis
  9. Des en-têtes HTTP de sécurité manquants qui n'engendrent pas directement une vulnérabilité
  10. Des vulnérabilités de scripts intersites sans fournir la preuve de la façon dont ces vulnérabilités peuvent servir à attaquer un autre utilisateur
  11. L’ingénierie sociale des employés et contractants d'Epignosis
  12. La présence d'un attribut de saisie semi-automatique dans les formulaires web
  13. L'absence de drapeaux sécurisés sur les cookies non sensibles
  14. Attaques de déni de service
  15. Problèmes d’identification des bannières (par ex. identifier la version de serveur web utilisée)
  16. Des ports ouverts qui n'engendrent pas directement une vulnérabilité
  17. Vulnérabilités de redirection ouverte
  18. Panneaux de connexion accessibles publiquement
  19. Détournement de clic
  20. Usurpation de contenu / injection de textes

Pour soumettre votre rapport sur les vulnérabilités découvertes, veuillez nous contacter à l'adresse security @ talentlms point com. En nous contactant, vous consentez à ce que vos informations nous soient transférées et qu’elles soient stockées aux États-Unis et vous confirmez avoir lu et accepté les conditions d'utilisation et la politique de confidentialité de TalentLMS.