协调披露
欢迎使用MongoDB的漏洞披露政策!如果您认为自己在MongoDB产品中发现了安全漏洞,或者遇到了与MongoDB相关的安全事件,请报告这个问题以帮助解决问题。下面,您将能够找到有关提交安全漏洞和我们名人堂的更多信息。
虽然我们非常感谢有关安全问题的社区报告,但MongoDB目前不为漏洞报告提供金钱补偿。
请注意,我们最近修改了我们的政策,因此如果您以前向我们提交过报告,请使用这种新格式。
产品和服务
任何安全漏洞或漏洞如果被成功证明会危害CIA(机密性、完整性或可用性)有关我们客户和我们机密的信息,都将被视为赔偿。
所有MongoDB产品和工具上发现的安全漏洞都可以通过提交表格。在提交新漏洞之前,请参阅下面的安全相关信息和配置指南。
MongoDB数据库
MongoDB云管理器
隐私
查看我们的法律声明服务条款和隐私政策。
超出范围
不合格的安全漏洞包括:
- 创建外部链接的能力
- 暴力袭击
- 静态网站上的点击劫持
- 服务器端安全的客户端实施
- 内容注入
- 无端点的跨站点跟踪易受XSS攻击
- 最低安全影响的CSRF,即。
- CSV注入
- robots.txt文件泄漏
- 电子邮件欺骗
- 错误消息
- 良好实践设置:
- CSP使用不安全的在线服务
- 缺少证书颁发机构授权规则
- 缺少HSTS
- 缺少安全标头
- developer.mongodb.com上没有X-Frame选项标题
- 使用主机标头打开重定向
- GMap API密钥泄漏
- IDN同形词攻击
- JavaScript错误
- 无速率限制,即。
- 非敏感文件泄漏
- 打开Jenkins实例(权限配置错误)
- 公共jira门票,除非意外发布重大个人信息或机密数据
- 反向卡纸
- SCRAM-SHA1身份验证机制的登录凭据泄漏
- 自我拒绝服务
- 10gen.com或mongodb.com上的SPF记录配置
- 服务器版本泄漏
- 已启用特定HTTP方法
- 弱密码策略
- 为我们过时的浏览器和用户提供服务的弱SSL/TLS密码套件
任何具有这些安全漏洞的报告都将被自动拒绝,不予考虑。
隐私
查看我们的法律声明服务条款和隐私政策。
披露
MongoDB,Inc.要求您这样做不公开披露有关漏洞的任何信息或利用问题,直到有机会分析漏洞、响应通知并通知关键用户、客户和合作伙伴。
验证报告的漏洞所需的时间取决于问题的复杂性和严重性。MongoDB,Inc.非常认真地对待所有必需的安全漏洞,并将始终确保与记者有一个清晰、公开的沟通渠道。在确认问题后,MongoDB,Inc.按照双方商定的时间表和格式与记者协调问题的公开披露。
要获得支持,请使用我们的支持联系人。