Programme Bug Bounty

Divulgation responsable

La sécurité des données des utilisateurs est de la plus haute importance pour Vtiger. Dans la recherche de la meilleure sécurité possible pour notre service, nous nous félicitons de la divulgation responsable de toute vulnérabilité que vous trouvez dans Vtiger. Les principes de divulgation responsable comprennent, sans s'y limiter:

  • Accéder ou exposer uniquement les données client qui sont les vôtres.
  • Éviter les techniques de scan susceptibles d'entraîner une dégradation du service aux autres clients (par exemple en surchargeant le site).
  • Respecter les directives de nos conditions d'utilisation.
  • Garder secrets les détails des vulnérabilités jusqu'à ce que Vtiger ait été notifié et ait eu un délai raisonnable pour corriger la vulnérabilité.
  • Afin d'être éligible à une prime, votre soumission doit être acceptée comme valide par Vtiger. Nous utilisons les directives suivantes pour déterminer la validité des demandes et la compensation de récompense offerte.

Reproductibilité

  1. Nos ingénieurs doivent être en mesure de reproduire la faille de sécurité de votre rapport. 
  2. Les rapports trop vagues ou peu clairs ne donnent pas droit à une récompense. 
  3. Les rapports qui incluent des explications clairement écrites et un code de travail sont plus susceptibles de rapporter des récompenses.
  4. Joignez une preuve de concept détaillée (POC) tout en signalant la vulnérabilité à Vtiger.

Gravité

Des bugs plus sévères recevront de plus grandes récompenses. Nous sommes les plus intéressés par les vulnérabilités avec * .od1.vtiger.com et * .od2.vtiger.com. Les autres sous-domaines de vtiger ne sont généralement pas éligibles aux récompenses, sauf si la vulnérabilité signalée affecte en quelque sorte * .od1.vtiger.com ou les données client de Vtiger.

Domaines de concentration

  • Défauts d'authentification ou d'autorisation
  • Bogues d'exécution de code côté serveur
  • Exposition de données sensibles
  • Falsification de demande intersite (CSRF)
  • Des vulnérabilités particulièrement intelligentes ou des problèmes uniques qui ne tombent pas dans des catégories explicites

Liste exclue de la prime

  • Messages d'erreur descriptifs (par exemple, traces de pile, erreurs d'application ou de serveur).
  • Codes / pages HTTP 404 ou autres codes / pages HTTP non 200.
  • Empreinte digitale / divulgation de bannière sur les services communs / publics.
  • Divulgation de fichiers ou répertoires publics connus (par exemple, robots.txt).
  • Le détournement de clics et les problèmes ne sont exploitables que par le détournement de clics, sauf s'ils sont accompagnés d'un scénario d'attaque réel et d'un impact significatif.
  • CSRF sur les formulaires disponibles pour les utilisateurs anonymes (par exemple, le formulaire de contact), sauf s'ils sont accompagnés d'un scénario d'attaque réel et d'un impact significatif.
  • Déconnexion contrefaçon de demande intersite.
  • Volumes excessifs perçus du courrier électronique envoyé (par exemple, envoi de courrier électronique).
  • Présence de la fonctionnalité de saisie semi-automatique ou de sauvegarde du mot de passe de l'application ou du navigateur Web.
  • Tabnabbing inversé
  • Absence d'indicateurs sécurisés / HTTPOnly sur les cookies non sensibles
  • Captcha / Bypass Captcha faible
  • La force brute de la page de connexion ou de mot de passe oublié et le verrouillage du compte ne sont pas appliqués.
  • OPTIONS Méthode HTTP activée
  • Messages de contenu mixte HTTPS
  • Nom d'utilisateur / énumération des e-mails
  • En-têtes de sécurité HTTP manquants
  • Problèmes SSL
  • Pages d'erreur descriptive à faible impact et divulgation d'informations sans aucune information sensible
  • Enregistrements SPF / DMARC invalides ou manquants
  • Ingénierie sociale
  • Vulnérabilités de déni de service (DOS)
  • Problèmes de limitation de débit
  • Spamming
  • Redirections ouvertes - sauf si elles peuvent être utilisées pour voler activement des jetons
  • Problèmes de bonnes pratiques sans démonstration d'exploitabilité pratique
  • Rapports indiquant que le logiciel est obsolète ou vulnérable sans preuve de concept
  • Injection HTML
  • XSS réfléchi, XSS basé sur DOM et Self XSS

Programme de fidélité

  • Une seule prime sera attribuée par vulnérabilité.
  • Si nous recevons plusieurs rapports pour la même vulnérabilité, seule la personne offrant le premier rapport clair recevra une récompense.
  • Nous maintenons la flexibilité de notre système de récompense et n'avons aucun montant minimum / maximum; les récompenses sont basées sur la gravité, l'impact et la qualité des rapports. Il s'agit d'un programme discrétionnaire et Vtiger se réserve le droit d'annuler le programme; la décision de payer ou non une récompense est à notre discrétion.

Domaines / Produits concernés

  • * .od1.vtiger.com
  • * .od2.vtiger.com
  • Produits Vtiger Cloud

Domaines / Produits exclus de la prime

  • vtiger.com
  • blog.vtiger.com
  • code.vtiger.com
  • discussions.vtiger.com
  • démo.vtiger.com
  • Vtiger OpenSource (toutes les versions)

Contact

Veuillez nous envoyer un e-mail à [email protected] avec des rapports de vulnérabilité ou des questions sur le programme.