برنامج باغ باونتي

الإفصاح المسؤول

أمن بيانات المستخدم هو في غاية الأهمية ل Vtiger. سعياً لتحقيق أفضل أمان ممكن لخدمتنا ، نرحب بالكشف المسؤول عن أي ثغرة تجدها في Vtiger. تشمل مبادئ الإفشاء المسؤول ، على سبيل المثال لا الحصر ، ما يلي:

  • الوصول إلى أو كشف بيانات العملاء الخاصة بك فقط.
  • تجنب تقنيات المسح التي من المحتمل أن تتسبب في تدهور الخدمة للعملاء الآخرين (على سبيل المثال من خلال التحميل الزائد على الموقع).
  • الالتزام بإرشادات شروط الخدمة الخاصة بنا.
  • الحفاظ على سرية تفاصيل الثغرات حتى يتم إخطار Vtiger ولديها فترة زمنية معقولة لإصلاح الثغرات الأمنية.
  • لكي تكون مؤهلاً للحصول على مكافأة ، يجب أن يقبل Vtiger ما ترسله على أنه صالح. نستخدم الإرشادات التالية لتحديد صلاحية الطلبات وتعويضات المكافآت المقدمة.

قابلية اعادة الأنتاج

  1. يجب أن يكون مهندسونا قادرين على إعادة إنتاج العيب الأمني ​​من تقريرك. 
  2. التقارير التي تكون غامضة للغاية أو غير واضحة ليست مؤهلة للحصول على مكافأة. 
  3. من المرجح أن تحصل التقارير التي تتضمن تفسيرات مكتوبة بوضوح ورمز العمل على المكافآت.
  4. إرفاق إثبات مفصل للمفهوم (POC) أثناء الإبلاغ عن الضعف ل Vtiger.

خطورة

سيتم مواجهة الأخطاء الأكثر شدة بمكافآت أكبر. نحن أكثر اهتمامًا بمواطن الضعف مع * .od1.vtiger.com و * .od2.vtiger.com. بشكل عام ، لا تكون النطاقات الفرعية الأخرى لـ vtiger مؤهلة للحصول على مكافآت ما لم تؤثر الثغرة المُبلغ عنها بطريقة ما على * .od1.vtiger.com أو بيانات عملاء Vtiger.

مناطق التركيز

  • عيوب المصادقة أو التخويل
  • أخطاء تنفيذ التعليمات البرمجية من جانب الخادم
  • التعرض للبيانات الحساسة
  • تزييف الطلبات عبر المواقع (CSRF)
  • نقاط الضعف الذكية بشكل خاص أو القضايا الفريدة التي لا تندرج في فئات صريحة

قائمة مستبعدة من المكافأة

  • رسائل خطأ وصفية (مثل آثار المكدس أو أخطاء التطبيق أو الخادم).
  • أكواد / صفحات HTTP 404 أو أكواد / صفحات HTTP أخرى غير 200.
  • بصمات الأصابع / الكشف عن اللافتات على الخدمات العامة / العامة.
  • الكشف عن الملفات أو الأدلة العامة المعروفة (مثل robots.txt).
  • Clickjacking والقضايا القابلة للاستغلال فقط من خلال Clickjacking ، ما لم يرافقه سيناريو هجوم في العالم الحقيقي وتأثير ذو مغزى.
  • CSRF على النماذج المتاحة للمستخدمين المجهولين (على سبيل المثال ، نموذج الاتصال) ، ما لم يرافقه سيناريو هجوم في العالم الحقيقي وتأثير ذو معنى.
  • طلب تسجيل الخروج عبر الموقع.
  • إدراك الأحجام المفرطة للبريد الإلكتروني المرسل (مثل تدفق البريد).
  • وجود وظيفة "الإكمال التلقائي" أو "حفظ كلمة المرور" في مستعرض الويب أو التطبيق.
  • الطبق العكسي
  • عدم وجود إشارات آمنة / HTTPOnly على ملفات تعريف الارتباط غير الحساسة
  • ضعف كلمة التحقق / اختبار CAPTCHA
  • صفحة تسجيل الدخول أو نسيت كلمة المرور القوة الغاشمة وإغلاق الحساب لم يتم فرضهما.
  • OPTIONS تم تمكين طريقة HTTP
  • رسائل المحتوى المختلط HTTPS
  • تعداد اسم المستخدم / البريد الإلكتروني
  • رؤوس أمان HTTP مفقودة
  • مشكلات SSL
  • صفحات خطأ وصفية منخفضة التأثير وإفشاءات المعلومات دون أي معلومات حساسة
  • سجلات SPF / DMARC غير صالحة أو مفقودة
  • الهندسة الاجتماعية
  • ثغرات أمنية لرفض الخدمة (DOS)
  • قضايا الحد من معدل
  • البريد الالكتروني غير المرغوب
  • عمليات إعادة التوجيه المفتوحة - ما لم يكن من الممكن استخدامها لسرقة الرموز المميزة بشكل نشط
  • مخاوف تتعلق بأفضل الممارسات دون إظهار قابلية الاستغلال العملية
  • التقارير التي تفيد بأن البرنامج قديم أو ضعيف بدون إثبات المفهوم
  • حقن HTML
  • انعكاس XSS و XSS المستند إلى DOM و XSS الذاتي

الجوائز

  • سيتم منح مكافأة واحدة فقط لكل ثغرة أمنية.
  • إذا تلقينا تقارير متعددة لنفس الثغرة الأمنية ، فلن يحصل على مكافأة سوى الشخص الذي يقدم أول تقرير واضح.
  • نحافظ على المرونة مع نظام المكافآت لدينا ، وليس لدينا حد أدنى / أقصى للمبلغ ؛ تعتمد المكافآت على درجة الخطورة والتأثير وجودة التقرير. هذا برنامج تقديري ويحتفظ Vtiger بالحق في إلغاء البرنامج ؛ قرار دفع أو عدم دفع مكافأة هو تقديرنا.

المجالات / المنتجات في النطاق

  • * .od1.vtiger.com
  • * .od2.vtiger.com
  • منتجات Vtiger Cloud

المجالات / المنتجات المستثناة من المكافأة

  • vtiger.com
  • blog.vtiger.com
  • vtiger.com
  • discussions.vtiger.com
  • demo.vtiger.com
  • Vtiger OpenSource (جميع الإصدارات)

اتصل بنا

يرجى مراسلتنا على البريد الإلكتروني [البريد الإلكتروني محمي] مع أي تقارير عن نقاط الضعف أو أسئلة حول البرنامج.