Bug Bounty Programm

Verantwortliche Offenlegung

Die Sicherheit von Benutzerdaten ist für Vtiger von größter Bedeutung. Um die bestmögliche Sicherheit für unseren Service zu gewährleisten, begrüßen wir die verantwortungsvolle Offenlegung von Sicherheitslücken, die Sie in Vtiger finden. Zu den Grundsätzen einer verantwortungsvollen Offenlegung gehören unter anderem:

  • Zugriff auf oder Offenlegung nur von Kundendaten, die Ihre eigenen sind.
  • Vermeiden Sie Scan-Techniken, die wahrscheinlich zu einer Verschlechterung des Service für andere Kunden führen (z. B. durch Überlastung der Site).
  • Halten Sie sich an die Richtlinien unserer Nutzungsbedingungen.
  • Halten Sie Details zu Sicherheitslücken geheim, bis Vtiger benachrichtigt wurde und ausreichend Zeit hatte, um die Sicherheitsanfälligkeit zu beheben.
  • Um sich für ein Kopfgeld zu qualifizieren, muss Ihre Einsendung von Vtiger als gültig akzeptiert werden. Wir verwenden die folgenden Richtlinien, um die Gültigkeit von Anfragen und die angebotene Prämienentschädigung zu bestimmen.

Reproduzierbarkeit

  1. Unsere Ingenieure müssen in der Lage sein, die Sicherheitslücke aus Ihrem Bericht zu reproduzieren. 
  2. Zu vage oder unklare Berichte können nicht belohnt werden. 
  3. Berichte, die klar geschriebene Erklärungen und Arbeitscode enthalten, werden eher belohnt.
  4. Fügen Sie einen detaillierten Proof of Concept (POC) bei, während Sie die Sicherheitsanfälligkeit an Vtiger melden.

Schwere

Schwerwiegendere Fehler werden mit größeren Belohnungen beantwortet. Wir sind am meisten an Schwachstellen mit * .od1.vtiger.com und * .od2.vtiger.com interessiert. Andere Subdomains von vtiger können im Allgemeinen nicht belohnt werden, es sei denn, die gemeldete Sicherheitsanfälligkeit wirkt sich auf * .od1.vtiger.com- oder Vtiger-Kundendaten aus.

Schwerpunkte

  • Authentifizierungs- oder Autorisierungsfehler
  • Fehler bei der Ausführung des serverseitigen Codes
  • Sensible Datenexposition
  • Cross-Site Request Forgery (CSRF)
  • Besonders clevere Schwachstellen oder einzigartige Probleme, die nicht in explizite Kategorien fallen

Ausgeschlossene Liste von der Prämie

  • Beschreibende Fehlermeldungen (z. B. Stapelspuren, Anwendungs- oder Serverfehler).
  • HTTP 404-Codes / Seiten oder andere HTTP-Nicht-200-Codes / Seiten.
  • Fingerabdruck / Offenlegung von Bannern bei allgemeinen / öffentlichen Diensten.
  • Offenlegung bekannter öffentlicher Dateien oder Verzeichnisse (z. B. robots.txt).
  • Clickjacking und Probleme, die nur durch Clickjacking ausgenutzt werden können, sofern sie nicht von einem realen Angriffsszenario und bedeutenden Auswirkungen begleitet werden.
  • CSRF für Formulare, die anonymen Benutzern zur Verfügung stehen (z. B. das Kontaktformular), sofern dies nicht von einem realen Angriffsszenario und bedeutenden Auswirkungen begleitet wird.
  • Abmelden Cross-Site Request Forgery.
  • Wahrgenommenes übermäßiges Volumen an gesendeten E-Mails (z. B. Mail-Flooding).
  • Vorhandensein der Funktion "Autocomplete" oder "Passwort speichern" der Anwendung oder des Webbrowsers.
  • Reverse Tabnabbing
  • Fehlende sichere / HTTPOnly-Flags für nicht sensible Cookies
  • Schwacher Captcha / Captcha-Bypass
  • Anmeldungs- oder Passwort vergessen Seite Brute Force und Kontosperrung nicht erzwungen.
  • OPTIONEN HTTP-Methode aktiviert
  • HTTPS-Nachrichten mit gemischtem Inhalt
  • Aufzählung von Benutzername und E-Mail
  • Fehlende HTTP-Sicherheitsheader
  • SSL-Probleme
  • Beschreibende Fehlerseiten mit geringen Auswirkungen und Offenlegung von Informationen ohne vertrauliche Informationen
  • Ungültige oder fehlende SPF / DMARC-Datensätze
  • Social Engineering
  • Denial-of-Service-Schwachstellen (DOS)
  • Probleme mit der Ratenbegrenzung
  • Spamming
  • Offene Weiterleitungen – es sei denn, sie können zum aktiven Stehlen von Token verwendet werden
  • Bedenken hinsichtlich bewährter Verfahren ohne Nachweis der praktischen Verwertbarkeit
  • Berichte, die besagen, dass Software veraltet oder anfällig ist, ohne dass ein Machbarkeitsnachweis vorliegt
  • HTML-Injection
  • Reflektiertes XSS, DOM-basiertes XSS und Selbst-XSS

Belohnung

  • Pro Sicherheitslücke wird nur 1 Kopfgeld vergeben.
  • Wenn wir mehrere Berichte für dieselbe Sicherheitsanfälligkeit erhalten, erhält nur die Person, die den ersten eindeutigen Bericht anbietet, eine Belohnung.
  • Wir behalten Flexibilität mit unserem Belohnungssystem bei und haben keinen minimalen / maximalen Betrag; Die Belohnungen basieren auf Schweregrad, Auswirkung und Berichtsqualität. Dies ist ein Ermessensprogramm und Vtiger behält sich das Recht vor, das Programm abzubrechen. Die Entscheidung, ob eine Belohnung gezahlt wird oder nicht, liegt in unserem Ermessen.

Domains / Produkte im Geltungsbereich

  • * .od1.vtiger.com
  • * .od2.vtiger.com
  • Vtiger Cloud Produkte

Von der Prämie ausgeschlossene Domains / Produkte

  • vtiger.com
  • blog.vtiger.com
  • cowww.vtiger.com/de
  • discussion.vtiger.com
  • Demo.vtiger.com
  • Vtiger OpenSource (Alle Versionen)

Kontakt

Bitte mailen Sie an [E-Mail geschützt] bei Schwachstellenmeldungen oder Fragen zum Programm.