Bienvenue sur la Divulgation Responsable de Domino’s
Politique du programme de divulgation responsable:
Cette page est destinée aux chercheurs en sécurité souhaitant signaler une ou plusieurs vulnérabilités de sécurité des applications. Elle vise uniquement les vulnérabilités de sécurité des applications.
Les détails que vous fournirez via le formulaire seront soumis à ResponsibleDisclosure.com (dirigé par Synack, un tiers indépendant). Si vous signalez un problème qui relève du champ d'application du programme et qui représente un problème de sécurité valide, ResponsibleDisclosure.com validera votre découverte et vous serez autorisé à divulguer la vulnérabilité après l'émission d'un correctif. Ce processus est géré exclusivement par ResponsibleDisclosure.com par le biais de sa plate-forme. Par conséquent, vous devez accepter les conditions de service de ResponsibleDisclosure.com si vous souhaitez poursuivre. Toute question doit être adressée à ResponsibleDisclosure.com et gérée exclusivement par le portail en ligne ResponsibleDisclosure.com.
Directives du programme de divulgation responsable:
En soumettant votre requête, vous consentez à:
- Accepter les conditions de service de ResponsibleDisclosure.com
- Travailler directement avec ResponsibleDisclosure.com sur les signalements de vulnérabilités en toute bonne foi
- Fournir la description détaillée d'une preuve de concept pour décrire comment reproduire les vulnérabilités
- Ne pas réaliser de tests perturbateurs tel DoS ou toute action susceptible de nuire à la confidentialité, à l'intégrité ou à la disponibilité des informations et des systèmes
- Ne pas entreprendre d'ingénierie sociale ou de phishing de clients ou d'employés
- Vous n'avez pas droit à une compensation et vous ne demanderez pas de compensation pour le temps passé, le matériel employé ou les vulnérabilités découvertes
- Comprendre la complexité du processus d'évaluation : L'adjudication d'une vulnérabilité se fait en tenant compte de la portée du programme ainsi que des facteurs de réduction qui peuvent supprimer ou réduire les risques spécifiques à des niveaux acceptables. Les décisions se prennent de manière réfléchie et sont définitives
Vulnérabilités typiques acceptées:
- Top 10 des catégories de vulnérabilités pour l'OWASP
- Autres vulnérabilités ayant un impact démontré
Typiquement hors de portée:
- Vulnérabilités théoriques
- Divulgation informative de données non sensibles
- Problèmes de gestion de sessions à faible impact
- Self XSS (carga útil definida por el usuario)
- Self XSS (payload défini par l'utilisateur)
Pour obtenir la liste complète de la portée du programme, consultez la page qui détaille la divulgation responsable.
Consignes pour la divulgation responsable:
- Adhérez à toutes les conditions d'utilisation légales données sur responssibledisclosure.com
- Collaborez directement avec ResponsibleDisclosure.com pour les soumissions de vulnérabilités
- Décrivez en détail une preuve de concept pour détailler comment reproduire les vulnérabilités
- Ne faites pas de tests perturbateurs comme des DOS ou toute action susceptible d'avoir une incidence sur la confidentialité, l'intégrité ou la disponibilité de l'information et des systèmes
- Ne recourez pas à l'ingénierie sociale ni au phishing des clients ou des employés
- Ne demandez pas de compensation en échange de votre temps, matériel ou vulnérabilités découvertes