Program Bug Bounty

Odgovorno otkrivanje

Sigurnost korisničkih podataka od najveće je važnosti za Vtiger. U potrazi za najboljom mogućom sigurnošću za našu uslugu, očekujemo odgovorno otkrivanje svake ranjivosti koju nađete u Vtigeru. Načela odgovornog otkrivanja uključuju, ali nisu ograničena na:

  • Pristupanje ili otkrivanje samo podataka o klijentima koji su vaši.
  • Izbjegavanje tehnika skeniranja koje bi mogle prouzročiti propadanje usluge drugim kupcima (npr. Preopterećenje web mjesta).
  • Pridržavanje uputa naših Uvjeta pružanja usluge.
  • Držati detalje ranjivosti u tajnosti dok Vtiger nije obaviješten i nije imao dovoljno vremena da popravi ranjivost.
  • Da biste imali pravo na ulog, Vtiger mora prihvatiti vašu prijavu kao valjanu. Sljedeće smjernice koristimo za određivanje valjanosti zahtjeva i ponuđene naknade nagrada.

obnovljivost

  1. Naši inženjeri moraju biti sposobni reproducirati sigurnosni propust iz vašeg izvješća. 
  2. Izvješća koja su previše nejasna ili nejasna ne ispunjavaju uvjete za nagradu. 
  3. Izvješća koja uključuju jasno napisana objašnjenja i radni kod vjerojatnije će dobiti nagrade.
  4. Priložite detaljan dokaz koncepta (POC), dok Vtigeru prijavljujete ranjivost.

Ozbiljnost

Teže bube dočekat će s većim nagradama. Nas najviše zanimaju ranjivosti s * .od1.vtiger.com i * .od2.vtiger.com. Ostale poddomene vtigera općenito nisu prihvatljive za nagrade osim ako prijavljena ranjivost na neki način ne utječe na korisničke podatke * .od1.vtiger.com ili Vtiger.

Područja fokusiranja

  • Nedostatci autentifikacije ili autorizacije
  • Greške u izvršavanju koda na strani poslužitelja
  • Osjetljiva izloženost podataka
  • Krivotvorenje zahtjeva na više web lokacija (CSRF)
  • Posebno pametne ranjivosti ili jedinstveni problemi koji ne spadaju u eksplicitne kategorije

Popis izuzetih iz banke

  • Opisne poruke o pogreškama (npr. Tragovi snopa, pogreške u aplikacijama ili poslužitelju).
  • HTTP 404 kodovi / stranice ili drugi HTTP kodovi koji nisu 200 / stranica.
  • Otiskivanje otisaka prstiju / bannera na zajedničkim / javnim uslugama.
  • Otkrivanje poznatih javnih datoteka ili direktorija (npr., Robots.txt).
  • Klikanje i problemi mogu se iskoristiti samo kroz klikking, osim ako ih ne prati scenarij napada u stvarnom svijetu i značajni utjecaj.
  • CSRF na obrascima koji su dostupni anonimnim korisnicima (npr. Obrazac za kontakt), osim ako nije popraćen scenarijem napada u stvarnom svijetu i značajnim utjecajem.
  • Krivotvorenje zahtjeva za križanje stranica.
  • Zamijetili su preveliku količinu poslanih poruka e-pošte (npr. Preplavljivanje pošte).
  • Prisutnost aplikacije ili automatskog dovršavanja aplikacije ili web preglednika, spremi lozinku.
  • Obrnuta pločica
  • Nedostatak sigurnih / HTTPOno oznaka na neosjetljivim kolačićima
  • Slaba Captcha / Captcha obilaznica
  • Stranica za prijavu ili zaboravljeni lozinku gruba sila i zaključavanje računa se ne provode.
  • OPCIJE omogućena HTTP metoda
  • Poruke mješovitog sadržaja HTTPS
  • Nabrajanje korisničkog imena / e-pošte
  • Nedostaju zaglavlja HTTP sigurnosti
  • SSL izdanja
  • Stranice s pogreškama u opisu s malim učinkom i otkrivanja informacija bez osjetljivih podataka
  • Nevažeći ili nedostajući SPF / DMARC zapisi
  • Socijalni inženjering
  • Ranjivosti uskraćivanja usluge (DOS)
  • Problemi s ograničavanjem stope
  • Spam
  • Otvorena preusmjeravanja - osim ako se mogu koristiti za aktivnu krađu tokena
  • Najbolja praksa se tiče bez demonstracije praktične iskoristivosti
  • Izvješća u kojima se navodi da je softver zastario ili ranjiv bez dokaza o konceptu
  • HTML injekcija
  • Reflektirani XSS, XSS temeljen na DOM-u i vlastiti XSS

Nagrade

  • Samo jedna nagrada bit će dodijeljena po ranjivosti.
  • Ako primimo više izvještaja o istoj ranjivosti, samo osoba koja ponudi prvo jasno izvješće dobit će nagradu.
  • S našim sustavom nagrađivanja održavamo fleksibilnost i nemamo minimalni / maksimalni iznos; nagrade se temelje na ozbiljnosti, utjecaju i kvaliteti izvještaja. Ovo je diskrecijski program, a Vtiger zadržava pravo otkazati program; Odluka o tome hoćemo li platiti nagradu ili ne ovisimo o našem nahođenju.

Domene / Proizvodi u opsegu

  • * .od1.vtiger.com
  • * .od2.vtiger.com
  • Vtiger Cloud proizvodi

Domene / Proizvodi isključeni iz nagrade

  • vtiger.com
  • blog.vtiger.com
  • kod.vtiger.com
  • discussions.vtiger.com
  • demo.vtiger.com
  • Vtiger OpenSource (sve verzije)

Kontakt

Molimo pošaljite e-poštu na [e-pošta zaštićena] sa svim izvješćima o ranjivosti ili pitanjima o programu.