Quan trọng
Các vấn đề nghiêm trọng nghiêm trọng mang đến rủi ro trực tiếp và tức thì cho nhiều người dùng của chúng tôi hoặc cho chính Kraken. Chúng thường ảnh hưởng đến các thành phần cơ bản/cấp tương đối thấp trong một trong các cơ sở hạ tầng hoặc ngăn xếp ứng dụng của chúng tôi. Ví dụ:
- thực thi mã/lệnh tùy ý trên máy chủ trong mạng sản xuất của chúng tôi.
- truy vấn tùy ý trên cơ sở dữ liệu sản xuất.
- bỏ qua quy trình đăng nhập của chúng tôi, mật khẩu hoặc 2FA.
- truy cập vào dữ liệu người dùng sản xuất nhạy cảm hoặc truy cập vào hệ thống sản xuất nội bộ.
Cao
Các sự cố nghiêm trọng cao cho phép kẻ tấn công đọc hoặc sửa đổi dữ liệu nhạy cảm cao mà chúng không được phép truy cập. Nhìn chung, chúng có phạm vi hẹp hơn các vấn đề quan trọng, mặc dù chúng vẫn có thể cấp cho kẻ tấn công quyền truy cập rộng rãi. Ví dụ:
- XSS bỏ qua CSP
- Khám phá dữ liệu nhạy cảm của người dùng trong tài nguyên được công khai
- Truy cập vào hệ thống không quan trọng, mà tài khoản người dùng cuối không được phép truy cập
Trung Bình
Các vấn đề có mức độ nghiêm trọng trung bình cho phép kẻ tấn công đọc hoặc sửa đổi lượng dữ liệu hạn chế mà chúng không được phép truy cập. Họ thường cấp quyền truy cập thông tin ít nhạy cảm hơn là các vấn đề nghiêm trọng. Ví dụ:
- Tiết lộ thông tin không nhạy cảm từ hệ thống sản xuất mà người dùng không nên có quyền truy cập vào
- XSS không bỏ qua CSP hoặc không thực hiện các hành động nhạy cảm trong phiên của người dùng khác
- CSRF cho các hành động rủi ro thấp
Thấp
Các vấn đề có mức độ nghiêm trọng thấp cho phép kẻ tấn công truy cập vào lượng dữ liệu cực kỳ hạn chế. Họ có thể vi phạm kỳ vọng về cách thức hoạt động của một thứ gì đó, nhưng điều đó cho phép kẻ tấn công gần như không leo thang đặc quyền hoặc khả năng kích hoạt hành vi không mong muốn. Ví dụ:
- Kích hoạt các trang lỗi dài dòng hoặc gỡ lỗi mà không có bằng chứng về khả năng khai thác hoặc lấy thông tin nhạy cảm.
Không đủ điều kiện
Các báo cáo mà chúng tôi không quan tâm bao gồm:
- Các lỗ hổng bảo mật trên các trang web do bên thứ ba lưu trữ (support.kraken.com, v.v.) trừ khi chúng dẫn đến một lỗ hổng trên trang web chính. Các lỗ hổng và lỗi trên blog Kraken (blog.kraken.com)
- Các lỗ hổng phụ thuộc vào tấn công vật lý, kỹ thuật xã hội, gửi thư rác, tấn công DDOS, v.v.
- Các lỗ hổng bảo mật ảnh hưởng đến các trình duyệt đã lỗi thời hoặc chưa được vá.
- Các lỗ hổng trong các ứng dụng của bên thứ ba sử dụng API của Kraken.
- Các lỗ hổng chưa được điều tra và báo cáo một cách có trách nhiệm.
- Các lỗ hổng đã được chúng tôi biết hoặc đã được người khác báo cáo (phần thưởng sẽ thuộc về người báo cáo đầu tiên). Các vấn đề không thể tái tạo.
- Các lỗ hổng đòi hỏi mức độ tương tác của người dùng không thể tránh khỏi.
- Các lỗ hổng yêu cầu root/jailbreak trên thiết bị di động.
- Thiếu tiêu đề bảo mật mà không có bằng chứng về khả năng khai thác.
- Cung cấp Bộ mật mã TLS.
- Đề xuất về các phương pháp hay nhất.
- Tiết lộ phiên bản phần mềm.
- Bất kỳ báo cáo nào không kèm theo bằng chứng về khái niệm việc khai thác
- Những vấn đề mà chúng tôi không thể mong đợi một cách hợp lý để giải quyết.
- Kết quả từ các công cụ / máy quét tự động.
- Các vấn đề mà không có bất kỳ tác động bảo mật nào.
Các vấn đề không liên quan đến Bảo mật
Bạn có thể cho chúng tôi biết về các vấn đề không liên quan đến bảo mật tại https://support.kraken.com.