תוכנית באג באונטי

גילוי אחראי

לאבטחת נתוני המשתמשים חשיבות עליונה עבור Vtiger. במרדף אחר האבטחה הטובה ביותר לשירותנו, אנו מקדמים בברכה חשיפה אחראית של כל פגיעות שתמצא ב- Vtiger. עקרונות הגילוי האחראי כוללים, אך אינם מוגבלים ל:

  • גישה או חשיפה של נתוני לקוחות בלבד משלך.
  • הימנעות מטכניקות סריקה העלולות לגרום להשפלת השירות ללקוחות אחרים (למשל על ידי עומס יתר על האתר).
  • תוך שמירה על ההנחיות של תנאי השירות שלנו.
  • שמירה על פרטי הפגיעויות בסוד עד להודעת Vtiger והיה לו זמן סביר לתקן את הפגיעות.
  • על מנת להיות זכאים לקבלת שכר, על אישור ההגשה שלך להיות תקף על ידי Vtiger. אנו משתמשים בהנחיות הבאות כדי לקבוע את תוקף הבקשות ואת תגמול התגמול המוצע.

הדדיות

  1. המהנדסים שלנו חייבים להיות מסוגלים לשחזר את פגם האבטחה מהדוח שלך. 
  2. דוחות מעורפלים מדי או לא ברורים אינם זכאים לתגמל. 
  3. דוחות הכוללים הסברים וכתיבה בבירור וקוד עבודה עשויים להשיג תגמולים.
  4. צרף הוכחת מושג מפורטת (POC) תוך כדי דיווח על הפגיעות ל- Vtiger.

חומרה

באגים חמורים יותר ייענו בתגמולים גדולים יותר. אנו מעוניינים ביותר בפגיעויות עם * .od1.vtiger.com ו- * .od2.vtiger.com. תת-דומיינים אחרים של vtiger בדרך כלל אינם זכאים לתגמולים אלא אם כן הפגיעות המדווחת משפיעה איכשהו על נתוני לקוחות * .od1.vtiger.com או Vtiger.

תחומי התמחות

  • פגמים באימות או בהרשאה
  • באגים לביצוע קוד בצד השרת
  • חשיפה לנתונים רגישים
  • זיוף בקשות חוצות-אתרים (CSRF)
  • פגיעויות חכמות במיוחד או סוגיות ייחודיות שאינן נכללות בקטגוריות מפורשות

רשימה שלא נכללה מהשפע

  • הודעות שגיאה תיאוריות (למשל שגיאות ערימה, שגיאות יישום או שרת).
  • HTTP 404 קודים / דפים או HTTP אחר שאינו 200 קודים / עמודים.
  • טביעות אצבעות / גילוי באנר על שירותים משותפים / ציבוריים.
  • חשיפה של קבצים או ספריות ציבוריות ידועות, (למשל, robots.txt).
  • לחיצה על קליקים וסוגיות ניתנות לניצול באמצעות jackjacking, אלא אם כן הם מלווים בתרחיש התקפה בעולם האמיתי ובהשפעה משמעותית.
  • CSRF על טפסים הזמינים למשתמשים אנונימיים (למשל, טופס יצירת הקשר), אלא אם כן הוא מלווה בתרחיש התקפה בעולם האמיתי ובהשפעה משמעותית.
  • ניתוק זיוף בקשת אתרים.
  • קלט נפח מוגזם של דוא"ל שנשלח (למשל, הצפות בדואר).
  • נוכחות של פונקציות 'השלמה אוטומטית' של 'אפליקציה או דפדפן אינטרנט' או 'שמור סיסמא'.
  • הכרטיסייה הפוכה
  • היעדר דגלים מאובטחים / HTTPOnly על עוגיות לא רגישות
  • קפטצ'ה חלשה / עקיפה של קפטצ'ה
  • כניסה או שכחת סיסמא עמוד כוח אכזרי ונעילת חשבונות לא נאכפת.
  • אפשרות שיטת HTTP מופעלת
  • הודעות תוכן מעורב HTTPS
  • ספירת שם משתמש / דוא"ל
  • חסר כותרות אבטחה של HTTP
  • סוגיות SSL
  • דפי שגיאה תיאוריים בעלי השפעה נמוכה וחשיפות מידע ללא מידע רגיש
  • רשומות SPF / DMARC לא חוקיות או חסרות
  • הנדסה חברתית
  • פרצות מניעת שירות (DOS)
  • בעיות מגבילות שיעור
  • דואר זבל
  • הפניות פתוחות - אלא אם כן ניתן להשתמש בהן לגניבה אקטיבית של אסימונים
  • נוגע לשיטות עבודה מומלצות ללא הדגמה של ניצול מעשי
  • דיווחים המציינים שהתוכנה לא מעודכנת או פגיעה ללא הוכחת רעיון
  • הזרקת HTML
  • משתקף XSS, XSS מבוסס DOM ו-Self XSS

תגמולים

  • לכל אחד מהפגיעות יוענק שובר אחד בלבד.
  • אם נקבל מספר דוחות עבור אותה פגיעות, רק מי שמציע את הדוח הברור הראשון יקבל תגמול.
  • אנו שומרים על גמישות במערכת התגמול שלנו, ואין לנו סכום מינימלי / מקסימאלי; התגמולים מבוססים על חומרת, השפעה ואיכות הדוחות. זוהי תוכנית שיקול דעת ו- Vtiger שומרת לעצמה את הזכות לבטל את התוכנית; ההחלטה אם לשלם פרס או לא עומדת על פי שיקול דעתנו.

דומיינים / מוצרים בהיקף

  • * .od1.vtiger.com
  • * .od2.vtiger.com
  • מוצרי ענן Vtiger

דומיינים / מוצרים שלא נכללו בשכר

  • vtiger.com
  • blog.vtiger.com
  • code.vtiger.com
  • דיונים .vtiger.com
  • demo.vtiger.com
  • Vtiger OpenSource (כל הגרסאות)

צרו קשר

אנא שלח לנו דוא"ל [מוגן בדוא"ל] עם כל דיווחי פגיעות או שאלות לגבי התוכנית.