安全
找到窃听器就能拿到赏金。
通过让我们知道您在使用Matomo时可能发现的任何重要安全问题,发挥重要作用。您可以通过参加Matomo安全漏洞赏金计划来做到这一点。旨在鼓励对Matomo软件的安全研究,并奖励那些帮助创建最安全的网络分析平台的人。
如果您认为在我们的产品或服务中发现了安全问题,我们鼓励您通知我们。我们欢迎与您合作,尽快解决问题。
信息披露政策
- 一旦发现潜在的安全问题,请尽快通知我们,我们将尽一切努力迅速解决该问题。
- 在向公众或第三方披露之前,为我们提供合理的时间来解决问题。
- 报告的安全问题必须是原始的和以前未报告的
- 作出真诚的努力,以避免侵犯隐私、破坏数据以及中断或降低我们的服务。仅与您拥有的帐户或帐户持有人明确许可的帐户进行交互。
- 请不要运行自动化工具在不事先联系我们的情况下,攻击正在运行的服务器。如果你想测试Matomo,你可以很容易设置自己的实例
- 请不要测试联系人表单和发送电子邮件的类似操作
- 请不要在InnoCraft云上注册超过一次的免费试用。
检查的漏洞
以下问题不在我们的奖励计划范围内:
- 路径信息披露
- “点击劫持”
- 信息披露
- 版本信息披露
- 的
token_auth
充当用户的密码,并用于API请求中的身份验证(看到常见问题解答). - 开放目录列表
- 与CORS相关的问题
* .www.hju8.com
网站。 - 页面上的应用程序错误
- 犯罪/野兽攻击和缺乏HTTP安全报头(CSP, X-XSS等)
- 在没有HTTPS的情况下运行Matomo实例导致的安全问题
- 暴力破解、DoS、DDoS、网络钓鱼、文本注入或社会工程攻击。
- 自动扫描的输出-请手动验证问题,并包括有效的概念证明
- 非敏感cookie上缺少cookie标志。
- 拥有超级用户权限的用户可以发布任意JavaScript
- 影响过时浏览器或平台用户的漏洞。
- 共享托管环境中与全局可写文件相关的问题
- 绕过限制/配额的竞争条件。
- 服务器端盲请求伪造
- HSTS或CSP头
- SPF、DMARC记录缺失
- 由于旧版本的PHP、MySQL(或MariaDB)、web服务器(Apache/Nginx)或操作系统(Linux/Windows)而导致的漏洞。
- 由于未应用而导致的漏洞Matomo安全最佳实践
- 第三方插件中的漏洞(不是由Matomo或InnoCraft撰写的)
- 请确保引用的文件因此也存在于我们的最终版本。未打包在Matomo安装压缩包中的代码中的漏洞(例如测试),除非它们影响最终版本。
- CLI超出了范围(包括Matomo控制台命令)
请直接向我们提交任何开源安全问题,不公开GitHub公共存储库的安全相关问题。
感谢您帮助Matomo和我们的用户安全!
如何报告安全问题
我们鼓励您通过我们的黑客一号上的Matomo漏洞赏金计划(你也可以发邮件给我们security@www.hju8.com)
协助我们提供尽可能多的详细信息,您的环境,Matomo版本,使用的插件(如果相关),以及任何其他相关信息。
团队成员的回复通常会在24小时内确认收到您的电子邮件。如果你没有收到回复,请知道我们并不是无视你——很有可能你的邮件没有通过垃圾邮件过滤器。
我们感谢您的耐心,理解一些错误需要时间来纠正,这个过程可能涉及对类似问题的代码库的审查。跨时区和工作时间表的协调可能会很耗时,所以你在这件事上的投入和努力会受到热烈欢迎。同样重要的是,我们相信你不会向任何人透露这个漏洞直到稳定的Matomo发布几天之后,在警告发布之后。
安全在我们的发展过程中
核心开发人员都致力于达到最高的安全标准。所有Matomo PHP代码都应该遵循安全检查表.所有承诺Matomo Git存储库是综述了至少两个核心开发者。
定期进行外部安全审查,其中一些提供了一些安全建议。我们还进行了三次付费安全审查(2010年、2012年及2014年)顶级PHP安全研究人员.
Matomo项目还使用了一套不断扩展的全面的自动化测试和自动web测试,在服务器上的每次代码更改后运行,作为其持续集成和软件质量保证的一部分。这补充了我们的软件开发实践,如代码审查。
我们还维护了一个请求列表安全改进.
我们希望Matomo不容易受到任何关键的安全漏洞的攻击,我们致力于确保这种情况仍然存在。谢谢大家的支持!
提高您的Matomo服务器安全性并设置您的隐私选项
安装Matomo并跟踪访问者是快速和简单的,但是一旦你安装了Matomo并开始在MySQL数据库中收集访问者数据,你可能会担心其他人访问你的服务器。您如何确保几乎不可能侵入您的服务器,或保护您的数据库数据不被外部方访问?
使您的Matomo服务器更安全
您可以采取一些简单的步骤来确保在现有软件环境(CMS、CRM等)中添加Matomo是尽可能安全的。
为了让您的服务器和数据库更安全,请查看我们的一步一步指南:保护Matomo服务器:保护Matomo安全的步骤
数据隐私和访问者隐私
Matomo致力于为您,Matomo用户,以及在您的Matomo中被跟踪的访问者提供优秀的隐私功能。看到Matomo和用户隐私获取更多信息。