Donne autant d'informations que possible, car cela nous aidera à reproduire le problème et à le corriger. Le mieux serait de nous décrire ce que tu as découvert, avec les adresses IP, les protocoles, les captures d'écran et ainsi de suite.
Indique également tes coordonnées (numéro de téléphone ou adresse e-mail) afin que nous puissions te contacter si nous voulons en savoir plus.
Autres points importants
Ne dis à personne ce que tu as trouvé
Détruis toutes les données que tu as trouvées
Ne pénètre pas dans nos systèmes plus profondément que nécessaire pour montrer qu'il y a un problème
N'exploite pas une faille de sécurité que tu as découverte. Si tu le fais, nous informerons la police
Ce que tu n'as pas besoin de signaler
Ingénierie sociale
Epuisement des ressources / déni de service (distribué)
Tests d'accès physique
Situations qui ne sont pas reproductibles ; exploits qui ne sont pas validés avec un deuxième outil/une deuxième méthode, c'est-à-dire mauvais résultat dans l'outil A, bon résultat dans l'outil B
Problèmes au niveau cosmétique, c'est-à-dire que cela n'a pas l'air bien dans le navigateur A (tu peux nous envoyer un message à contact@gobase.net)
Situations où le problème se situe au niveau de l'utilisateur (conscience), c'est-à-dire qu'il peut être exploité si le poste de travail n'est pas protégé, des combinaisons de clics ou de touches
Empreintes simples ou listes de versions de systèmes d'exploitation, de services ou de ports
Signalement de fichiers accessibles au public et contenant des informations publiques
Absence d'indicateur Secure/HTTP-only pour les cookies ne contenant que des informations publiques
Mauvaise configuration TLS sans preuve de concept pour exploiter la vulnérabilité
Entrées SPF, DKIM ou DMARC incomplètes ou manquantes
Services fonctionnant chez des fournisseurs tiers (vérifie d'abord leur déclaration de divulgation responsable)
Adresses e-mail trouvées par des tiers lors d'une violation de données
Failles de sécurité rendues publiques et corrigées au cours des deux dernières semaines
Redirection d'URL (vers un site web valide)
Problèmes connus
Il y a aussi des problèmes que nous connaissons déjà et sur lesquels nous travaillons ou que nous reconnaissons comme des risques acceptés. Ces problèmes ne sont pas mentionnés sur le site. Notre équipe d'assistance en est consciente et les signalera. En conséquence, le problème ne sera pas traité.
Ce que nous allons faire
Nous t'envoyons un e-mail dans un délai d'un jour ouvrable pour confirmer la réception de ton message
Dans les cinq jours ouvrables, nous répondons au contenu de ton message et t'informons de la date à laquelle le problème sera résolu. Les points faibles sont corrigés le plus rapidement possible, et en tout cas dans les trois mois.
Nous te tiendrons au courant de la progression de la résolution du problème
Avec ton aide, nous déciderons si les informations concernant le problème doivent être publiées. Nous ne te mentionnerons comme la personne qui a découvert le problème que si tu le souhaites.
