CHÍNH SÁCH VÀ ĐIỀU KHOẢN

Trong quá trình thiết kế và phát triển các sản phẩm công nghệ, GHTK luôn đề cao các vấn đề an ninh nhằm đảm bảo sự an toàn của hệ thống và dữ liệu của khách hàng. Vì vậy, nếu bạn tìm thấy một lỗ hổng bảo mật liên quan đến hệ thống của chúng tôi, vui lòng hãy cho chúng tôi biết theo thông tin sau:

Đầu mối tiếp nhận thông tin security_team@ghtk.co.

Nội dung tiếp nhận:

  • Tóm tắt về lỗ hổng:
  • URL bị ảnh hưởng:
  • Loại lỗ hổng:
  • Mô tả chi tiết cách tái hiện lỗ hổng.
  • Mức độ nguy hiểm:
  • Cách khắc phục:
  • Ảnh bằng chứng kèm theo.

Tùy theo mức độ nguy hiểm của lỗ hổng và mức độ ảnh hưởng tới hệ thống, chúng tôi sẽ có những phần quà cảm ơn gửi đến các bạn.
Xin cảm ơn!

Lưu ý:

  • Phạm vi áp dụng: Tất cả các sản phẩm phần mềm của GHTK.
  • Các lỗ hổng được thông báo tới GHTK phải là lỗ hổng security và chưa từng được công bố. Việc xác định mức độ nguy hiểm của lỗ hổng sẽ do các chuyên gia của GHTK thực hiện (Đánh giá mức nguy hiểm dựa trên mức độ ảnh hưởng đến hệ thống và khách hàng của GHTK).
  • Không phát tán thông tin về lỗ hổng cho các cá nhân/tổ chức khác dưới mọi hình thức khi chưa được sự cho phép của GHTK.

DANH SÁCH CÁC LỖ HỔNG KHÔNG ĐƯỢC CHẤP NHẬN:

  • Kết quả của các công cụ scan lỗ hổng tự động.
  • Email Spoofing.
  • Content Spoofing.
  • No Rate Limiting on Form.
  • DOS/DDoS.
  • XSS không có impact rõ ràng.
  • CSRF.
  • Username/email enumeration.
  • Open redirect.
  • Thiếu cấu hình security cho HTTP header:
  • Strict-Transport-Security.
  • X-Frame-Options.
  • X-XSS-Protection.
  • X-Content-Type-Options.
  • Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP.
  • Content-Security-Policy-Report-Only.
  • Cache-Control and Pragma.
  • CORS.
  • Thiếu/sai sót cấu hình SPF records.
  • SSL/TLS issues.
  • Clickjacking.
  • Các lỗ hổng mobile cần tiếp xúc vật lý.
  • Social Engineering, bruce force tài khoản.

DANH SÁCH CÁ NHÂN ĐƯỢC VINH DANH:

2022

ng`bthg

Hồ Hải Đăng

Huỳnh Minh Duy

2021

Hà Bách Nam

Nguyễn Bảo Ngọc

Ngô Văn Thiện

nh0h4nh via Whitehub.net

Đỗ Đình Huân - VNG Corporation

Hoàng Phú Hoan via Whitehub.net

ng`bthg