Neo4j 负责任的披露政策

您发现安全问题了吗?请告诉我们!

我们对信任采取战略性方法,其中产品和服务的安全性是重要组成部分。我们在设计、构建和运营时都考虑了安全性。尽管如此,我们知道错误或新研究发现之前未知的风险将始终是威胁环境的一部分。如果您发现了问题,我们希望能收到您的报告,以便尽快纠正问题。

报告漏洞

请发送电子邮件至 security@neo4j.com。为了保护我们之间的通信,我们建议您使用我们的 PGP 密钥

在发送电子邮件时,请务必包含以下信息,以便我们更快地响应

  • 漏洞的详细描述,包括目标系统的详细信息。
  • 如何重现问题。
  • 如果相关,提供任何有助于我们更快解决问题的截图或其他文档。
  • 我们可以用来联系您的联系方式。如果您有 PGP 密钥,也请提供链接。

您可以从我们这里获得什么

我们将在合理可能的情况下尽快与您确认收到您的报告,并努力向您通报验证和缓解的进展情况。

漏洞修复后,我们将通知您,并邀请您确认解决方案是否充分覆盖了该漏洞。

Neo4j 目前没有运行活跃的漏洞赏金计划,因此不接受报告漏洞的补偿请求。为了认可您的努力,我们愿意在公开致谢列表中列出您的发现。如果您希望获得致谢,请在报告中明确告知我们,并提供以下详细信息

  • 您希望出现在致谢列表中的姓名或别名
  • (可选)LinkedIn 或 GitHub 链接
  • (可选)您希望被致谢的组织名称
CVE 分配

如果该发现属于 Neo4j 作为 CNA 机构的范围并需要一个 CVE 记录,Neo4j 将创建一个并进行管理。所有记录都可以在此处追踪。

CVE 争议

作为漏洞报告者,您可能会对我们关于其状态或跟踪 CVE 的裁定提出异议。如果是这样,我们将遵循以下流程

  1. 在收到 CVE 争议时,我们将根据提供的数据评估论点。
  2. 争议得到确认
  3. Neo4j 遵循 CVE 计划 CNA 操作规则来对报告的漏洞和 CVE 记录管理做出决策。

如果作为报告者,您不同意 Neo4j 对未分配 CVE 或已分配 CVE 被拒绝的报告漏洞所做的评估,您可以通过 security@neo4j.com 告知我们。我们将遵循 CVE 计划 CVE 记录争议政策和程序来处理在我们 CNA 权限范围内的争议解决。

如果报告者提供了足够的证据和信息,Neo4j 将对协商任何争议持开放态度,并重新考虑我们之前评估的立场。

我们对您的期望

在维护负责任的披露实践方面,我们期望您能

  • 不违反任何适用的法律法规
  • 不利用潜在漏洞访问受限信息
  • 不修改或删除信息
  • 不使用高强度侵入性或破坏性扫描工具查找漏洞
  • 不通过拒绝服务攻击影响可用性
  • 不提交微不足道的问题(参见下方示例)
  • 不对 Neo4j 人员和/或客户进行社会工程、网络钓鱼或类似攻击
  • 首先向我们报告任何发现的潜在漏洞,并在公开披露之前给予我们评估和缓解的时间
我们认为微不足道且超出范围的问题示例
  • 需要物理访问受害者未锁定计算机或设备;受害者计算机或设备上已存在 root/系统权限或 MITM 的漏洞
  • 账户枚举攻击
  • 针对过时或不常见的浏览器的攻击
  • 非敏感 cookie 上不安全的 cookie 设置/标志
  • 弱 SSL/TLS 算法、协议或密码
  • 没有安全影响的 CSRF(未经认证/登录/退出 CSRF)
  • 偏离最佳实践(密码复杂度、过期、重复使用等)
  • 预认证页面上的点击劫持、缺少反点击劫持头或其他无法利用的点击劫持问题
  • 已知易受攻击的库,但没有新的有效概念验证
  • 反射文件下载
  • 内容欺骗和文本注入问题,但无法修改 HTML/CSS
  • 同形异义词链接
  • 绕过速率限制或没有速率限制但对平台没有影响(不要执行 DoS 来“证明”影响!)
  • 公共域上暴露内部域
  • 仅影响使用过时或未打补丁版本的用户,或配置从默认选项中弱化了的安装的漏洞
  • 过时的软件或库
  • 与凭证填充和账户接管相关的任何问题
  • 垃圾邮件或社会工程技术
  • 偏离最佳实践、信息泄露、冗长或独特的错误页面、堆栈跟踪(无实质性可利用性概念证明)
  • 启用了 HTTP TRACE 或 OPTIONS 方法
  • 缺少安全相关头信息
  • 自我 XSS 以及仅通过自我 XSS 可利用的问题
  • 不构成安全风险的 Bug
  • 关于设计/架构的意见
  • 应用程序中硬编码的 API 密钥(无实质性重大风险演示)
  • 依赖向用户呈现视觉上与 Neo4j UI 完全相同的虚假 UI 的攻击
  • 基于不太可能的假设攻击向量、需要大量用户交互或导致最小影响,被确定为低风险的任何其他提交

致谢

非常感谢以下人员帮助我们保持网站和产品安全可靠

Vikash Swami LinkedIn
Christopher Ellis LinkedIn
Nick Gonella @handled_sigint
Aaditya Kumar Sharma @Assass1nmarcos
Gourab Sadhukhan LinkedIn
Phoenix Whitehat @PhoenixMantis
Anurag Jain @csanuragjain
Julien Cretel @jub0bs
Sohail Ahmed LinkedIn
Nicolai Grødum LinkedIn
Pritam Dash LinkedIn
Faizan Ahmed LinkedIn
Gaurang Maheta LinkedIn
Ngo Wei Lin @Creastery 来自 @starlabs_sg
Or Sahar LinkedIn
Adam Reziouk - Airbus LinkedIn
Christopher Schneider – State Farm  
Taha Barhaam @TahaBarhaam
Ranjeet Kumar Singh 电子邮件
Shubham Sanjay Deshmukh LinkedIn