安全

• 一旦发现潜在的安全问题，请尽快通知我们，我们将尽一切努力迅速解决该问题。
• 在向公众或第三方披露之前，为我们提供合理的时间来解决问题。
• 报告的安全问题必须是原始的和以前未报告的
• 作出真诚的努力，以避免侵犯隐私、破坏数据以及中断或降低我们的服务。仅与您拥有的帐户或帐户持有人明确许可的帐户进行交互。
• 请不要运行自动化工具在不事先联系我们的情况下，攻击正在运行的服务器。如果你想测试Matomo，你可以很容易设置自己的实例
• 请不要测试联系人表单和发送电子邮件的类似操作
• 请不要在InnoCraft云上注册超过一次的免费试用。

检查的漏洞

以下问题不在我们的奖励计划范围内:

• 路径信息披露
• “点击劫持”
• 信息披露
• 版本信息披露
• 的token_auth充当用户的密码，并用于API请求中的身份验证(看到常见问题解答）.
• 开放目录列表
• 与CORS相关的问题* .www.hju8.com网站。
• 页面上的应用程序错误
• 犯罪/野兽攻击和缺乏HTTP安全报头(CSP, X-XSS等)
• 在没有HTTPS的情况下运行Matomo实例导致的安全问题
• 暴力破解、DoS、DDoS、网络钓鱼、文本注入或社会工程攻击。
• 自动扫描的输出-请手动验证问题，并包括有效的概念证明
• 非敏感cookie上缺少cookie标志。
• 拥有超级用户权限的用户可以发布任意JavaScript
• 影响过时浏览器或平台用户的漏洞。
• 共享托管环境中与全局可写文件相关的问题
• 绕过限制/配额的竞争条件。
• 服务器端盲请求伪造
• HSTS或CSP头
• SPF、DMARC记录缺失
• 由于旧版本的PHP、MySQL(或MariaDB)、web服务器(Apache/Nginx)或操作系统(Linux/Windows)而导致的漏洞。
• 由于未应用而导致的漏洞Matomo安全最佳实践
• 第三方插件中的漏洞(不是由Matomo或InnoCraft撰写的)
• 请确保引用的文件因此也存在于我们的最终版本。未打包在Matomo安装压缩包中的代码中的漏洞(例如测试)，除非它们影响最终版本。
• CLI超出了范围(包括Matomo控制台命令)

请直接向我们提交任何开源安全问题，不公开GitHub公共存储库的安全相关问题。

感谢您帮助Matomo和我们的用户安全!