联系安全团队

Ivanti 负责任的披露政策

Ivanti 承诺为我们的客户和社区利益维护安全的产品和基础设施。 Ivanti 感谢并支持安全社区的努力,他们通过向我们报告潜在的问题来帮助我们履行上述承诺。

我们负责任的披露政策适用于所有 Ivanti 产品和 Ivanti 网络,包括被 Ivanti 收购的产品和网络公司。 有些 Ivanti 产品属于漏洞报告赏金计划的覆盖范围(如下所示)。

报告

对于 Ivanti 产品或解决方案的所有问题,包括 Ivanti 收购公司的产品(如 Pulse Secure 和 MobileIron 产品),请通过我们的 HackerOne 报告问题。

https://hackerone.com/ivanti

对于 Ivanti 基础设施和所有其他非产品报告的问题,请通过我们负责任的
披露电子邮件联系我们。

Responsible.Disclosure@ivanti.com

如果您担心您想要分享的信息存在敏感性,您可以:

  • 使用我们在此提供的 PGP 密钥(指纹:5A86 C77C A361 B145 8A2C D672 DBF5 C7A9 FE96 C03D)。 如果您想要验证以上指纹,请给我们发送电子邮件。
  • 通过上述地址向我们发送电子邮件,请求启动一个 O365 加密电子邮件会话。

我们要求您提供一份高质量的报告,包括概念验证。 如果您针对一个面向互联网
的系统执行了测试,我们要求您提供执行测试所使用的 IP 地址,以便我们能够
快速验证您的活动。

范围排除条款

以下类型的攻击不视为我们负责任披露计划的管辖范围:

  • 拒绝服务攻击,包括资源消耗攻击、导致拒绝服务的漏洞利用攻击,或针对 Ivanti Corporate 或 Ivanti Hosted Solutions 可能导致服务中断的其他类型的“恢复能力测试”。
  • 对 Ivanti 办公室、数据中心、托管设施等场所开展的物理测试。
  • 我们的员工、客户、合作伙伴等的社会工程。
  • 针对客户在其自身网络中部署的 Ivanti 产品或解决方案且未经事先批准就执行测试的任何攻击或事件。

除上述情况外,以下漏洞和弱点也不在范围之内:

  • 没有敏感动作也没有影响的页面点击劫持。
  • 在未经认证的表单或没有敏感操作的表单上发生的跨网站请求伪造 (CSRF)。
  • 需要对用户设备、应用或环境进行 MITM 或物理访问的攻击将被逐案审查。
  • 之前已知易受攻击但尚未提供有效概念证明的库。
  • 没有显示出漏洞的逗号分隔值 (CSV) 注入攻击。
  • 缺少 SSL/TLS 配置上的最佳做法,包括弱密码。
  • 内容欺骗和文本注入问题,但未显示攻击途径/未能够修改 HTML/CSS。
  • 非验证端点的速率限制或暴力破解问题。
  • 缺少内容安全策略方面的最佳做法。
  • cookie 上缺少 HttpOnly 或 Secure 标志。
  • 缺少电子邮件最佳做法,如无效、不完整或缺少 SPF/DKIM/DMARC 记录。
  • 漏洞只影响过时或未打补丁的浏览器或操作系统的用户。
  • 软件版本披露或横幅识别问题。
  • 标签钓鱼攻击。
  • 开放的重定向,除非能证明有额外的安全影响。
  • 发布官方补丁不足 1 个月的公共零日漏洞将逐案审查。

Ivanti 可能的回应措施

针对您的报告,Ivanti 将会:

  • 在两个工作日内回复你,告知我们已收到您的报告。
  • 在确认收到报告后两个工作日内确认您的报告是否确实属于问题。
  • 向您提供一份报告,说明我们将如何修复以及何时修复该问题。
  • 修复后予以告知。
  • 适当时候发布公开报告。 遵循负责任披露政策的报告者可能会得到公开赞扬。

对于那些报告了前所未知的问题的报告者,我们会寄送 Ivanti Swag 以表感谢!

Ivanti 的漏洞报告赏金计划

Ivanti 很自豪地为以下产品设立 HackerOne 漏洞赏金计划:

漏洞报告赏金计划在此负责任的披露政策(包括上述排除条款)下运行,赏金将根据漏洞的严重程度和报告的质量予以奖励。

其他上报的安全问题在经过验证后将得到一份 Ivanti Swag 奖励。 请勿要求提供其他报酬。

安全港与法律事宜

真诚努力地遵守本公开披露政策的研究人员将被视为经授权的 Ivanti 测试人员。 Ivanti 将以同样真诚的努力与依据此计划报告相关问题的研究人员合作。 如果第三方对您根据政策所开展的活动提起法律诉讼,我们将采取措施,让人知道您的所作所为是
符合本政策的。

Ivanti 有权对不在本政策范围内工作、违反 ToS、EULA 或当地法律法规的个人采取法律行动。 Ivanti 不承认本政策未涉及的其他负责任披露政策、时间表、计划或框架。 如果个人在没有先得到 Ivanti 许可的情况下在多个计划下报告潜在问题,将不被认为是根据本政策开展工作。

问题

如果您对上述方法有任何问题,或者有疑问,可以通过 security@ivanti.com 联系 Ivanti 信息安全团队。

Version 1.1 / 2020。 负责任的披露政策也可供下载