安全

找到窃听器,就能拿到赏金。

发挥重要作用,让我们知道任何关键的安全问题,您可能会发现使用Matomo。你可以通过参加Matomo安全漏洞赏金计划来做到这一点。旨在鼓励对Matomo软件的安全研究,并奖励那些帮助创建尽可能安全的网络分析平台的人。

的赏金有效的关键安全漏洞是10000美元(美国)现金奖励。

在Matomo的关键问题意味着在我们的最新官方发布:https://builds.www.hju8.com/latest.zip安装在一个典型的服务器上(可能使用我们的官方插件由Matomo或InnoCraft从市场)。

如果你可以获得服务器上的远程代码执行(即RCE),或者如果你能够通过HTTPS请求删除数据(即SQL注入),这可能是一个关键问题。(注意:如果远程代码执行(RCE)仅在作为超级用户登录时可用,该问题将符合“高”而不是“严重”。)
的赏金其他安全漏洞高达1000美元(美国),通过PayPal或Hackerone支付。

如果您认为您在我们的产品或服务中发现了安全问题,我们鼓励您通知我们。我们欢迎与您合作,及时解决问题。

信息披露政策

  • 一旦发现潜在的安全问题,请尽快告知我们,我们将尽一切努力快速解决问题。
  • 在向公众或第三方披露任何信息之前,请给我们一段合理的时间来解决问题。
  • 报告的安全问题必须是原始的和以前没有报告
  • 作出真诚的努力,避免隐私侵犯、数据破坏、服务中断或退化。只与您拥有的帐户或帐户持有人的明确许可互动。
  • 不要运行自动化工具在不联系我们的情况下攻击活动服务器。如果你想测试Matomo,很容易设置您自己的实例
  • 请不要测试联系人表单和发送电子邮件的类似操作
  • 请不要在InnoCraft上注册超过一次的免费试用。

检查的漏洞

以下问题不在我们的奖励范围之内:

  • 路径信息披露
  • “点击劫持”
  • 信息披露
  • 版本信息披露
  • token_auth充当用户的密码,并用于在API请求(看到常见问题解答).
  • 开的目录清单
  • CORS相关的问题* .www.hju8.com网站。
  • 页面上的应用程序错误
  • 犯罪/野兽攻击和缺乏HTTP安全头(CSP, X-XSS等)
  • 运行没有HTTPS的Matomo实例导致的安全问题
  • 暴力、DoS、DDoS、网络钓鱼、文本注入或社会工程攻击。
  • 自动扫描的输出-请手动验证问题,并包含有效的概念证明
  • 在不敏感的cookie上缺少cookie标志。
  • 拥有超级用户权限的用户可以发布任意JavaScript
  • 影响过时浏览器或平台用户的漏洞。
  • 与共享托管环境中的世界可写文件相关的问题
  • 绕过限制/配额的竞争条件。
  • 盲服务器端请求伪造
  • HSTS或CSP headers
  • SPF、DMARC记录缺失
  • 由于较老版本的PHP,或MySQL(或MariaDB),或在web服务器(Apache/Nginx),或操作系统(Linux/Windows)的漏洞。
  • 不应用导致的漏洞Matomo安全最佳实践
  • 第三方插件的漏洞(不是由Matomo或InnoCraft编写的)
  • 请确保引用的文件在我们的最终版本中也存在。代码中的漏洞没有打包到Matomo安装压缩包中(例如测试),除非它们影响最终版本。
  • CLI超出范围(包括Matomo控制台命令)

请直接向我们提交任何开源安全问题,在公共GitHub存储库上开放安全相关问题。

感谢您帮助保护Matomo和我们的用户的安全!

如何报告安全问题

我们鼓励您通过我们的黑客一号上的Matomo漏洞赏金程序(或者你也可以发邮件给我们security@www.hju8.com

协助我们提供尽可能多的细节,关于您的环境,Matomo版本,使用的插件(如果相关),以及任何其他相关信息。

团队成员通常会在24小时内回复,确认收到您的电子邮件。如果你没有收到回复,请知道我们并没有忽略你——很有可能你的邮件没有通过垃圾邮件过滤器。

我们感谢您的耐心理解,一些错误需要时间来纠正,这个过程可能涉及到对类似问题的代码库的审查。跨时区和工作安排的协调可能是耗时的,所以你在这个问题上的投入和努力是热烈欢迎的。同样重要的是,我们可以相信你不会向任何人透露漏洞,直到稳定的Matomo发布几天后,以及在警告发布后。

作为感谢,你的名字将被记入更新日志如果适用,安全漏洞赏金将通过贝宝支付。感谢您为公司的发展做出的贡献自由软件世界安全。

安全在我们的开发过程中

核心开发人员都致力于实现最高标准的安全。所有的Matomo PHP代码都应该遵循安全检查表.所有提交到Matomo Git存储库综述了至少两个核心开发者。

定期进行外部安全审查,其中一些提供了一些安全建议。我们还进行了三次支付安全审查(2010年、2012年、2014年)顶级PHP安全研究人员

作为持续集成和软件质量保证的一部分,Matomo项目还使用了一套不断扩展的全面自动化测试和自动web测试,在服务器上每次代码更改后运行。这补充了我们的软件开发实践,比如代码审查。

我们还维护请求列表安全改进

我们希望Matomo不会受到任何重大安全漏洞的攻击,我们致力于确保这一情况继续下去。感谢您的支持!

提高您的Matomo服务器的安全性,并设置您的隐私选项

安装Matomo并跟踪访问者是快速而简单的,但是一旦安装了Matomo并开始在MySQL数据库中收集访问者数据,您可能会担心其他人访问您的服务器。如何确保几乎不可能入侵服务器,或保护数据库数据不被外部访问?

让您的Matomo服务器更安全

您可以采取一些简单的步骤来确保在现有软件环境(CMS、CRM等)中添加Matomo将是尽可能安全的。

要使您的服务器和数据库更安全,请查看我们的逐步指南:保护Matomo服务器:确保Matomo安全的步骤

数据隐私和访问者隐私

Matomo努力为您提供优秀的隐私功能,Matomo用户,也为在您的Matomo中被跟踪的访问者。看到Matomo和用户隐私为更多的信息。

安全公告

请订阅更新日志获得新版本(包括安全版本)的通知。

Baidu