安全

找到一只虫子,拿到赏金。

通过让我们知道您在使用Matomo时可能发现的任何重要安全问题,发挥重要作用。你可以通过参加马托莫安全漏洞赏金计划来做到这一点。旨在鼓励对Matomo软件进行安全研究,并奖励那些帮助创建最安全的web分析平台的人。

悬赏有效的关键安全漏洞是5000澳元(美国)现金奖励。
Matomo中的关键问题是指我们最新官方版本中的问题,网址为:https://builds.www.hju8.com/latest.zip安装在典型服务器上(可能使用Matomo或InnoCraft从市场上提供的任何官方插件)。如果您可以在服务器上获得远程代码执行(即RCE),或者如果您能够通过HTTPS请求(即SQL注入)删除数据,则这可能是一个关键问题。

悬赏其他安全漏洞高达777美元(美国),通过贝宝或哈克龙支付。

自2011年1月启动该项目以来,我们已经奖励了60多名研究人员。这些研究人员在帮助提高代码质量和修复Matomo中所有已知的安全问题方面发挥了至关重要的作用。


如果您认为您在我们的产品或服务中发现了安全问题,我们鼓励您通知我们。我们欢迎与您合作,迅速解决问题。

披露政策

  • 一旦发现潜在的安全问题,请尽快通知我们,我们将尽一切努力迅速解决该问题。
  • 在向公众或第三方披露之前,为我们提供合理的时间解决问题。
  • 报告的安全问题必须是原始的且以前未报告
  • 真诚地努力避免侵犯隐私、破坏数据以及中断或降低我们的服务。仅与您拥有的帐户或经帐户持有人明确许可的帐户进行交互。
  • 不要运行自动化工具在没有与我们联系的情况下对实时服务器进行攻击。如果你想测试Matomo,你可以很容易地设置您自己的实例
  • 请不要测试发送电子邮件的联系人表单和类似操作
  • 请不要在InnoCraft云上注册一次以上的免费试用。

超出范围的漏洞

以下问题不属于我们奖励计划的范围:

  • 路径公开
  • 点击劫持
  • 信息披露
  • 版本披露
  • 这个令牌认证充当用户的密码,用于在API请求中进行身份验证(参见常见问题).
  • 开放目录列表
  • 与CORS相关的任何问题*.www.hju8.com网站。
  • 页面上的应用程序错误
  • 犯罪/野兽攻击和缺少HTTP安全头(CSP、X-XSS等)
  • 由于在没有HTTPS的情况下运行Matomo实例而导致的安全问题
  • 暴力、拒绝服务、DDoS、网络钓鱼、文本注入或社会工程攻击。
  • 自动扫描输出–请手动验证问题,并提供有效的概念证明
  • 非敏感cookie上缺少cookie标志。
  • 具有超级用户权限的用户可以发布任意JavaScript
  • 影响过时浏览器或平台用户的漏洞。
  • 与共享宿主环境中的全局可写文件相关的问题
  • 绕过限制/配额的竞赛条件。
  • 盲服务器端请求伪造
  • HST或CSP头
  • SPF、DMARC记录丢失
  • 请确保引用的文件也因此存在于我们的最终版本中。未打包在Matomo安装zip(如测试)中的代码中的漏洞,除非它们影响最终版本。

请直接向我们提交任何开源安全问题,不要打开公共GitHub存储库上的安全相关问题。

感谢您帮助确保Matomo和我们用户的安全!

如何报告安全问题

我们鼓励您通过我们的哈克龙马托莫臭虫赏金计划(或者您也可以发电子邮件至security@www.hju8.com)

通过提供尽可能多的关于您的环境、Matomo版本、使用的插件(如果相关)和任何其他相关信息的详细信息来帮助我们。

团队成员确认收到您的电子邮件的回复通常在24小时内。如果您没有收到回复,请知道我们没有忽略您–很可能您的电子邮件没有通过垃圾邮件过滤器。

我们感谢您耐心地理解一些错误需要时间来纠正,并且该过程可能涉及对类似问题的代码库进行审查。跨时区和工作计划的协调可能非常耗时,因此您在这方面的投入和努力会受到热烈的欢迎。同样重要的是,我们可以相信您不会披露错误在stable Matomo发布后的几天内以及发布咨询后,任何人都可能受到攻击。

作为感谢,你的名字将记入变更日志如果适用,安全漏洞奖金将通过PayPal支付。感谢您为制作自由软件世界更安全。

我们发展进程中的安全

果心开发者我们都致力于实现最高的安全标准。所有Matomo PHP代码都应遵循安全检查表. 所有人都致力于Matomo Git存储库检验过的至少有两个核心开发人员。

定期进行外部安全审查,其中一些审查提出了一些安全建议付费安全审查(2010年、2012年和2014年)由顶级php安全研究人员.

Matomo项目还使用一组不断扩展的自动化测试和自动化web测试,这些测试在服务器上每次代码更改后运行,作为其持续集成和软件质量保证的一部分。这补充了我们的软件开发实践,如代码评审。

我们还保存了一个请求列表安全改进.

我们希望Matomo不会受到任何严重安全漏洞的攻击,我们将致力于确保情况依然如此。谢谢你的支持!

提高Matomo服务器的安全性并设置隐私选项

安装Matomo和跟踪访问者既快捷又简单,但一旦安装了Matomo并开始在MySQL数据库中收集访问者数据,您可能会担心其他人访问您的服务器。您如何确保几乎不可能侵入您的服务器,或保护您的数据库数据不被外部方访问?

使您的Matomo服务器更安全

您可以采取一些简单的步骤来确保在现有软件环境(CMS、CRM等)中添加Matomo尽可能安全。

要使您的服务器和数据库更安全,请查看我们的分步指南:保护Matomo服务器:确保Matomo安全的步骤

数据隐私和访问者隐私

Matomo致力于为您(Matomo用户)以及在您的Matomo中被跟踪的访客提供出色的隐私功能。见Matomo与用户隐私了解更多信息。

安全公告

请订阅变更日志收到新版本(包括安全版本)的通知。