漏洞報告
舉報可疑的漏洞
- Amazon Web Services (AWS):若要報告有關 AWS 雲端服務或開放原始碼專案的漏洞或安全問題,請造訪我們在 HackerOne 上的漏洞披露計畫頁面。如需提交 H1 範圍/平台以外的內容,或解決任何問題,請聯絡 aws-security@amazon.com (PGP 密鑰)。
- Amazon:有關 Amazon 零售服務或產品的漏洞或安全問題,請通知零售安全部門。
- 滲透測試:歡迎 AWS 客戶對其 AWS 基礎架構進行安全評估或滲透測試,無需事先取得所列服務的核准。如需其他指引,請檢閱滲透測試政策。
- AWS 濫用:若您懷疑 AWS 資源 (例如 EC2 執行個體或 S3 儲存貯體) 正被用於可疑活動,請填寫 AWS 濫用表單或聯絡 trustandsafety@support.aws.com。
請提供任何支援資料 (概念證明代碼、工具輸出等),以便我們更有效地回覆您的報告。這些資料對協助我們了解該漏洞的性質和嚴重性非常有用。
Amazon CNA 適用範圍
The Amazon CNA 將發行 CVE,以支援客戶解決下列類別中的有效安全漏洞:
- AWS 服務由 AWS 交付,並供客戶公開使用。(例如 Amazon EC2、Amazon RDS)。
- Amazon 服務由 Amazon 交付,並供客戶公開使用。(例如 Amazon.com、Seller API Service)。
- GitHub 組織中的開放原始碼軟體由 Amazon 或 AWS 管理。
- 用戶端軟體由 Amazon 或 AWS 發布,並且可透過我們擁有和經營的網站或下載位置下載 (例如 Amazon Appstore SDK、Amazon Input SDK、Amazon Kindle App、Amazon MShop App、Amazon WorkSpaces 用戶端)。
- 裝置由 Amazon 或 AWS 製造,並且可供客戶購買和使用 (例如 Amazon Fire TV、Amazon Echo 裝置、Amazon Kindle、AWS Outpost)。
此外,必須滿足以下所有要求:
- 客戶影響:問題必須存在於 Amazon 或 AWS 擁有的產品類別,並且公開提供給客戶使用;以及
- 客戶代理:修復支援產品或 EOL/EOS 產品問題需要客戶採取行動,包括針對修復處理 (或客戶需要評估可能的影響),或當有效安全漏洞公開時 (或可能公開) 做出以風險為基礎的決定;以及
- CVSS 分數:4.0 (中) 或更高。
被視為非漏洞的服務、軟體或硬體問題包括但不限於:
- 非預設組態或使用正確授權的有效憑證做出的變更
- 以 AWS 基礎設施上託管的 Amazon 或 AWS 客戶 (或非 AWS 網站) 的資產為目標
- 透過破壞 Amazon 或 AWS 客戶或員工帳戶而獲得的任何漏洞
- 針對 Amazon 或 AWS 產品 (或者 Amazon 或 AWS 客戶) 的任何拒絕服務 (DoS) 攻擊
- 針對 Amazon 或 AWS 員工、辦公室和資料中心的實體攻擊
- 針對 Amazon 或 AWS 員工、承包商、供應商或服務提供商的社交工程
- 故意發佈、傳輸、上傳、連結或傳送惡意軟體
- 尋求傳送來路不明的批量訊息 (垃圾郵件) 的漏洞
AWS 漏洞報告
AWS 會儘速回覆,並讓您隨時了解進度。您將收到一封非自動郵件回覆,確認已於 24 小時內收到您的初始報告,及時更新,以及在整個參與過程中每月簽入。您可隨時要求更新,我們也歡迎您與我們進行對話,以便釐清任何疑慮或披露協調。
被視為非上述漏洞的活動也超出 AWS 漏洞披露計畫的範圍。進行上述任何活動均將永久取消該參與計畫的資格。
公開通知
如果適用,AWS 將與您協調傳送任何經過驗證的漏洞公開通知。如果可能,我們希望同時發佈各個公開披露的公告。
為了保護我們的客戶,AWS 請求您在我們對報告的漏洞做出處理及通知客戶 (如有必要) 之前,不要在任何公共場合發佈或分享有關潛在漏洞的資訊。同樣請不要發佈或分享屬於我們客戶的任何資料。請注意,緩解漏洞所需的時間取決於漏洞的嚴重程度和受影響的系統。
AWS 公開通知是以安全公告的形式在 AWS Security 網站公佈。個人、公司和安全團隊一般會在自己的網站和其他論壇上發佈自己的公告,當內容相關時,我們會在 AWS 安全公告中包含這些第三方資源的連結。
安全港
我們認為,應該為誠實開展的安全研究提供安全港。為了使安全港進行安全研究和報告漏洞,我們已採用黃金標準安全港。我們期待與安全研究人員合作,他們對於保護我們的客戶有想通的熱情。
黃金標準安全港提供支援,來保護參與「誠實安全研究」的組織和駭客。「誠實安全研究」僅出於誠實測試、調查及/或修正安全瑕疵或漏洞等目的來存取電腦,此類活動的開展方式旨在避免對個人或公眾造成任何傷害,並且活動中衍生的資訊主要用於促進存取電腦所屬類別的裝置、機器或線上服務,或使用此類裝置、機器或線上服務的人員的安全與保障。
我們認為,「誠實安全研究」是受到保護,免於對抗性法律訴訟的授權活動。我們放棄服務條款 (“TOS”) 及/或可接受使用政策 (“AUP”) 中與此處概述的「誠實安全研究」標準相衝突的任何相關限制。
這意味著,針對本計畫啟用期間開展的活動,我們:
- 不會向您提起法律訴訟或向您報告「誠實安全研究」,包括繞過我們用於保護適用範圍內應用程式的技術措施;以及,
- 如果其他人向您提出法律訴訟,會採取措施告知您開展了「誠實安全研究」。
在參與開展您認為可能不符合「誠實安全研究」,或進行我們的政策未解決的行為之前,您應聯絡我們進行澄清。
請記住,我們無法授權對第三方基礎設施進行安全研究,而第三方不受此安全港聲明的約束。
披露政策
提交報告後,我們將驗證所舉報的漏洞。如果需要其他資訊才能驗證或重現該問題,我們將與您合作取得該資訊。完成初期調查後,會將結果發送給您並提供解決問題的計劃和討論公開披露。
關於程序的幾個注意事項:
- 第三方產品︰若該漏洞影響第三方產品,我們將通知受影響技術的擁有者。我們將持續在您和第三方之間進行協調。未經您的許可,我們不會將您的身分透露給第三方。
- 無漏洞確認︰若無法驗證該問題,或者認為它不在適用範圍內,我們將與您分享該結果。
- 漏洞分類︰我們使用 3.1 版的通用漏洞評分系統 (CVSS) 來評估潛在漏洞。產生的分數有助於量化問題的嚴重性以決定我們的回應順序。有關 CVSS 的更多資訊,請參考 NVD 網站。
在誠實參與我們的漏洞披露計畫時,我們要求您:
- 遵守規則,包括遵守本政策和任何其他相關協議。如果本政策與任何其他適用條款之間存在任何不一致,則應以本政策的條款為準;
- 立即報告您已發現的任何漏洞;
- 避免侵犯他人的隱私權,中斷我們的系統,破壞資料及/或損害使用者體驗;
- 僅使用之前提及的渠道與我們討論漏洞資訊;
- 在您公開披露問題之前,請為我們提供一段合理的時間,以便我們從初次報告便解決問題;
- 僅對範圍內的系統執行測試,並尊重超出範圍的系統和活動;
- 如果漏洞導致意外存取資料:將您存取的資料量限制為有效證明概念驗證所需的最低要求;如果您在測試期間遇到任何使用者資料 (例如個人身分識別資訊 (PII)、個人醫療保健資訊 (PHI)、信用卡資料或專有資訊),請立即停止測試並提交報告;
- 僅與您擁有的或經帳戶持有人明確許可的測試賬戶進行互動;以及
- 切勿參與勒索。