安全
找到一个bug,获得赏金。
起着关键作用,让我们知道任何安全问题你可能会发现使用Matomo至关重要。你可以通过参加Matomo安全漏洞赏金计划。旨在鼓励安全研究Matomo软件和奖励那些帮助创造安全的网络分析平台。
如果你相信你已经找到了一个安全问题在我们的产品或服务,我们鼓励您通知我们。我们欢迎与你合作,及时解决问题。
信息披露政策
- 尽快让我们知道发现一个潜在的安全问题,我们会尽一切努力来快速解决问题。
- 为我们提供一个合理的时间内解决这个问题之前,任何向公众披露或第三方。
- 安全问题必须是原始和以前未报告的报道
- 做一个诚信为了避免侵犯隐私,破坏的数据,和我们的服务中断或退化。只有与账户你自己或和明确的帐户持有人的许可。
- 请不要运行自动化工具对现场服务器先不联系我们。如果你想测试Matomo您可以很容易地建立自己的实例
- 请不要测试接触形式和类似的行动,发送电子邮件
- 请不要注册多个免费试用InnoCraft云上。
检查的漏洞
以下问题超出了我们的范围奖励计划:
- 路径信息披露
- “点击劫持”
- 信息披露
- 版本信息披露
- 的
token_auth作为用户的密码,用于验证API请求(看到常见问题解答)。 - 开的目录清单
- 在任何我们的歌珥相关问题
* .m.hju8.com网站。 - 应用程序错误页
- 犯罪/野兽攻击和缺乏安全HTTP标头(CSP、X-XSS等)。
- 运行的安全问题由于没有HTTPS Matomo实例
- 蛮力,DoS, DDoS、钓鱼、文本注入,或社会工程攻击。
- 输出自动扫描,请手动验证问题和包括一个有效的概念证明
- 失踪的敏感饼干饼干旗帜。
- 具有超级用户权限的用户可以发布任意JavaScript
- 漏洞影响过时的浏览器或用户的平台。
- 相关问题人人可写的文件在共享托管环境
- 竞态条件/配额绕过限制。
- 盲端请求伪造
- hst或CSP头
- 防晒指数,DMARC记录不见了
- 漏洞将一个旧版本的PHP、MySQL(或MariaDB),或在web服务器(Apache / Nginx),或操作系统(Linux / Windows)。
- 漏洞造成的应用Matomo安全最佳实践
- 漏洞在第三方插件(不是由Matomo也InnoCraft)
- 请确保引用文件也因此存在在我们的最终版本。漏洞的代码中没有打包Matomo安装压缩(如测试),除非他们影响最终版本。
- CLI出了范围(包括Matomo控制台命令)
请提交任何开源安全问题直接给我们,不开放公共GitHub库与安全相关的问题。
谢谢你帮助保持Matomo和我们的用户安全!
如何报告安全问题
我们鼓励你通过我们负责任地报告问题Matomo Bug赏金HackerOne项目(或者你也可以给我们发电子邮件security@m.hju8.com)
帮助我们通过提供尽可能多的细节,你可以对你的环境,Matomo版本,使用插件(如果相关),以及任何其他相关信息。
响应从团队成员承认收到你的电子邮件,通常是在24小时。如果你没有收到回复,请知道我们不是忽视你,很可能你的邮件没能通过一个垃圾邮件过滤器。
我们感谢你的耐心的理解,一些错误需要时间来纠正和流程可能包括审查代码库的类似的问题。协调跨时区和工作安排可以耗时的输入和精力在这件事上是热烈欢迎。也是至关重要的,我们可以相信你不向任何人披露漏洞,直到几天后的释放Matomo稳定,和后咨询。
安全在我们的发展过程
提高你的Matomo服务器安全设置你的隐私选项
安装Matomo和跟踪访问者快速和容易,但是一旦你安装Matomo MySQL数据库并开始收集访客数据,你可能会担心别人访问你的服务器。你怎么能确保它是几乎不可能侵入您的服务器,或保护数据库的数据访问外部党派?
让你Matomo服务器更安全
有简单的步骤可以确保在现有软件环境中添加Matomo (CMS、CRM等)将尽可能安全。
使你的服务器和数据库更安全,看看我们一步一步指南:安全Matomo服务器:保持Matomo安全措施
数据隐私和游客的隐私
Matomo努力为你提供优秀的隐私保护功能,Matomo用户,还要Matomo游客被跟踪。看到Matomo和用户隐私为更多的信息。