Programa Bug Bounty

Divulgación Responsable

La seguridad de los datos del usuario es de suma importancia para Vtiger. En la búsqueda de la mejor seguridad posible para nuestro servicio, agradecemos la divulgación responsable de cualquier vulnerabilidad que encuentre en Vtiger. Los principios de divulgación responsable incluyen, entre otros:

  • Acceder o exponer solo los datos del cliente que son suyos.
  • Evitar técnicas de escaneo que puedan causar degradación del servicio a otros clientes (por ejemplo, sobrecargando el sitio).
  • Mantenerse dentro de las pautas de nuestros Términos de servicio.
  • Mantener en secreto los detalles de las vulnerabilidades hasta que Vtiger haya sido notificado y haya tenido un tiempo razonable para solucionar la vulnerabilidad.
  • Para ser elegible para una recompensa, su envío debe ser aceptado como válido por Vtiger. Utilizamos las siguientes pautas para determinar la validez de las solicitudes y la compensación de recompensa ofrecida.

Reproducibilidad

  1. Nuestros ingenieros deben poder reproducir la falla de seguridad de su informe. 
  2. Los informes que son demasiado vagos o poco claros no son elegibles para una recompensa. 
  3. Los informes que incluyen explicaciones claramente escritas y un código de trabajo tienen más probabilidades de obtener recompensas.
  4. Adjunte una prueba de concepto detallada (POC) mientras informa la vulnerabilidad a Vtiger.

Gravedad

Los errores más graves se encontrarán con mayores recompensas. Estamos más interesados ​​en vulnerabilidades con * .od1.vtiger.com y * .od2.vtiger.com. Otros subdominios de vtiger generalmente no son elegibles para recompensas a menos que la vulnerabilidad reportada de alguna manera afecte * .od1.vtiger.com o los datos del cliente de Vtiger.

Áreas de enfoque

  • Defectos de autenticación o autorización
  • Errores de ejecución de código del lado del servidor
  • Exposición de datos sensibles
  • Falsificación de solicitudes entre sitios (CSRF)
  • Vulnerabilidades particularmente inteligentes o problemas únicos que no se incluyen en categorías explícitas
  • Scripting entre sitios (XSS almacenado)

Lista excluida de la recompensa

  • Uno mismo XSS
  • Mensajes de error descriptivos (por ejemplo, Stack Traces, errores de aplicación o servidor).
  • Códigos / páginas HTTP 404 u otros códigos / páginas HTTP que no sean 200.
  • Revelación de huellas digitales / pancartas en servicios comunes / públicos.
  • Divulgación de archivos o directorios públicos conocidos (por ejemplo, robots.txt).
  • Clickjacking y problemas solo explotables a través de clickjacking, a menos que estén acompañados por un escenario de ataque en el mundo real y un impacto significativo.
  • CSRF en formularios que están disponibles para usuarios anónimos (por ejemplo, el formulario de contacto), a menos que estén acompañados de un escenario de ataque del mundo real y un impacto significativo.
  • Cerrar sesión falsificación de solicitud entre sitios.
  • Volúmenes percibidos excesivos de correo electrónico enviado (por ejemplo, inundación de correo).
  • Presencia de aplicación o navegador web 'autocompletar' o funcionalidad 'guardar contraseña'.
  • Tabnabbing inverso
  • Falta de marcas seguras / HTTPOnly en cookies no sensibles
  • Captcha débil / Bypass de Captcha
  • La página de inicio de sesión o contraseña olvidada no se aplica la fuerza bruta y el bloqueo de cuenta.
  • OPCIONES Método HTTP habilitado
  • Mensajes de contenido mixto HTTPS
  • Nombre de usuario / enumeración de correo electrónico
  • Faltan encabezados de seguridad HTTP
  • Problemas de SSL
  • Páginas de error descriptivas de bajo impacto y divulgaciones de información sin ninguna información confidencial.
  • Registros SPF / DMARC no válidos o faltantes
  • Ingeniería social

Puntos

  • Solo se otorgará 1 recompensa por vulnerabilidad.
  • Si recibimos múltiples informes para la misma vulnerabilidad, solo la persona que ofrece el primer informe claro recibirá una recompensa.
  • Mantenemos flexibilidad con nuestro sistema de recompensas y no tenemos una cantidad mínima / máxima; Las recompensas se basan en la gravedad, el impacto y la calidad del informe. Este es un programa discrecional y Vtiger se reserva el derecho de cancelar el programa; la decisión de pagar o no una recompensa queda a nuestra discreción.

Dominios / Productos en alcance

  • * .od1.vtiger.com
  • * .od2.vtiger.com
  • Productos Vtiger Cloud

Dominios / Productos excluidos de la recompensa

  • vtiger.com
  • blog.vtiger.com
  • code.vtiger.com
  • debatwww.vtiger.com/es
  • demo.vtiger.com
  • Vtiger OpenSource (todas las versiones)

Contacto

Envíenos un correo electrónico a support@vtiger.com con cualquier informe de vulnerabilidad o preguntas sobre el programa.