Програма за Bug Bounty

Отговорно разкриване

Сигурността на потребителските данни е от изключително значение за Vtiger. В търсене на възможно най-добрата сигурност за нашата услуга, ние приветстваме отговорното разкриване на всяка уязвимост, която откриете във Vtiger. Принципите на отговорно разкриване включват, но не се ограничават до:

  • Достъп или излагане само на клиентски данни, които са ваши собствени.
  • Избягвайте техники за сканиране, които е възможно да причинят влошаване на обслужването на други клиенти (например чрез претоварване на сайта).
  • Спазвайки указанията на нашите Общи условия.
  • Пазете подробности за уязвимостите в тайна, докато Vtiger не бъде уведомен и има разумно време, за да коригира уязвимостта.
  • За да имате право на награда, вашето представяне трябва да се приеме като валидно от Vtiger. Използваме следните указания, за да определим валидността на заявките и предлаганото обезщетение за възнаграждение.

Възпроизводимост

  1. Нашите инженери трябва да могат да възпроизведат недостатъка на сигурността от вашия доклад. 
  2. Докладът, който е твърде неясен или неясен, не отговаря на условията за награда. 
  3. Докладите, които включват ясно написани обяснения и работен код, са по-склонни да спечелят награди.
  4. Прикачете подробно доказателство за концепцията (POC), докато докладвате уязвимостта на Vtiger.

Суровост

По-тежките бъгове ще бъдат посрещнати с по-големи награди. Най-много ни интересуват уязвимостите с * .od1.vtiger.com и * .od2.vtiger.com. Другите поддомейни на vtiger обикновено не отговарят на условията за награди, освен ако отчетената уязвимост по някакъв начин не влияе върху клиентските данни * .od1.vtiger.com или Vtiger.

Области на фокусиране

  • Пропуски в удостоверяването или упълномощаването
  • Грешки при изпълнение на код от страна на сървъра
  • Чувствително излагане на данни
  • Фалшифициране на заявка за различни сайтове (CSRF)
  • Особено умни уязвимости или уникални проблеми, които не попадат в категорични категории

Изключен списък от наградата

  • Описателни съобщения за грешки (напр. Следи в стека, грешки в приложението или сървъра).
  • HTTP 404 кодове / страници или други HTTP не-200 кодове / страници.
  • Отпечатване на пръсти / разкриване на банери за общи / публични услуги.
  • Разкриване на известни обществени файлове или директории (напр. Robots.txt).
  • Clickjacking и проблеми, които могат да се използват само чрез clickjacking, освен ако не са придружени от сценарий за атака в реалния свят и значимо въздействие.
  • CSRF във формуляри, които са достъпни за анонимни потребители (напр. Формата за контакт), освен ако не са придружени от сценарий за атака в реални условия и значимо въздействие.
  • Изпращане на заявка за изпитване на страницата.
  • Възприема прекомерни обеми на изпратен имейл (напр. Наводняване на поща).
  • Наличие на функция за автоматично довършване или запазване на парола в уеб браузъра.
  • Обратно табване
  • Липса на сигурни / HTTPOnly флагове на нечувствителни бисквитки
  • Слаб Captcha / Captcha байпас
  • Влизане или забравена парола страница груба сила и блокиране на акаунта не се налага.
  • ОПЦИИ HTTP метод е активиран
  • HTTPS съобщения със смесено съдържание
  • Изброяване на потребителско име / имейл
  • Липсват HTTP заглавки за сигурност
  • SSL издания
  • Страници за грешки с описателно ниско въздействие и разкриване на информация без чувствителна информация
  • Невалидни или липсващи SPF / DMARC записи
  • Социално инженерство
  • Уязвимости при отказ на услуга (DOS)
  • Проблеми с ограничаване на скоростта
  • Спам
  • Отворени пренасочвания - освен ако не могат да се използват за активно кражба на токени
  • Най-добрите практики засягат без демонстрация на практическа експлоатируемост
  • Доклади, в които се посочва, че софтуерът е остарял или уязвим без доказателство за концепция
  • HTML инжектиране
  • Отразен XSS, DOM базиран XSS и Self XSS

Награди

  • Само 1 награда ще бъде присъдена за уязвимост.
  • Ако получим множество отчети за една и съща уязвимост, само лицето, което предлага първия ясен отчет, ще получи награда.
  • Ние поддържаме гъвкавост с нашата система за възнаграждения и нямаме минимална / максимална сума; наградите се основават на тежестта, въздействието и качеството на отчета. Това е дискреционна програма и Vtiger си запазва правото да анулира програмата; решението дали да изплатим награда или не, е по наша преценка.

Домейни / Продукти в обхвата

  • * .od1.vtiger.com
  • * .od2.vtiger.com
  • Облачни продукти Vtiger

Домейни / продукти, изключени от бонуса

  • vtiger.com
  • blog.vtiger.com
  • code.vtiger.com
  • discussions.vtiger.com
  • demo.vtiger.com
  • Vtiger OpenSource (Всички версии)

Контакти

Моля, пишете ни на [имейл защитен] с всякакви доклади за уязвимости или въпроси относно програмата.