サイボウズが脆弱性情報を報告いただいた際に、脆弱性の認定可否を判断する際に使用するガイドラインを公開するレポジトリです。
ガイドラインの公開前後で認定基準が変更になる場合は、ガイドラインの公開以降に着信したご報告から適用します。
- Cross Site Request Forgery (CSRF)
- センシティブな情報の漏洩
- Reflected File Download
- サードパーティ製品の脆弱性
- WordPressの脆弱性
- X-Frame-Options:SAMEORIGIN の出力不備
- Content Spoofing
- XSS(クロスサイトスクリプティング)
- オープンリダイレクト
上記以外に認定対象としている脆弱性については、以下のドキュメントを参照ください。
脆弱性情報ハンドリングポリシー
詳細な認定条件については、今後追加を予定しております。
- CSV Injection
- PDF FormCalc Attack
- Tabnabbing
- Cross Site Port Attack (XSPA)
- Webブラウザーのリソースに起因する問題
- 大量のデータやリクエストを必要とするDenial of Service(DoS)
- 中間者攻撃が前提となる脆弱性
- エスケープシーケンスインジェクション
Copyright (C) Cybozu, Inc