Program Bug Bounty

Pengungkapan yang Bertanggung Jawab

Keamanan data pengguna sangat penting bagi Vtiger. Dalam mengejar keamanan terbaik untuk layanan kami, kami menerima pengungkapan yang bertanggung jawab atas setiap kerentanan yang Anda temukan di Vtiger. Prinsip-prinsip pengungkapan yang bertanggung jawab meliputi, tetapi tidak terbatas pada:

  • Mengakses atau memaparkan hanya data pelanggan yang merupakan milik Anda.
  • Menghindari teknik pemindaian yang cenderung menyebabkan degradasi layanan ke pelanggan lain (mis. Dengan membebani situs).
  • Tetap mengikuti pedoman Ketentuan Layanan kami.
  • Menjaga detail kerentanan tetap rahasia hingga Vtiger telah diberi tahu dan memiliki cukup waktu untuk memperbaiki kerentanan.
  • Agar memenuhi syarat untuk hadiah, kiriman Anda harus diterima sebagai valid oleh Vtiger. Kami menggunakan pedoman berikut untuk menentukan validitas permintaan dan kompensasi hadiah yang ditawarkan.

Reproduksibilitas

  1. Teknisi kami harus dapat mereproduksi kelemahan keamanan dari laporan Anda. 
  2. Laporan yang terlalu kabur atau tidak jelas tidak memenuhi syarat untuk hadiah. 
  3. Laporan yang menyertakan penjelasan tertulis dan kode kerja lebih mungkin untuk mendapatkan hadiah.
  4. Lampirkan bukti konsep yang terperinci (POC) sambil melaporkan kerentanan terhadap Vtiger.

Kerasnya

Bug yang lebih parah akan bertemu dengan hadiah yang lebih besar. Kami paling tertarik pada kerentanan dengan * .od1.vtiger.com dan * .od2.vtiger.com. Subdomain vtiger lain umumnya tidak memenuhi syarat untuk hadiah kecuali jika kerentanan yang dilaporkan entah bagaimana memengaruhi * .od1.vtiger.com atau data pelanggan Vtiger.

Area Fokus

  • Kelemahan autentikasi atau otorisasi
  • Bug eksekusi kode sisi server
  • Paparan data sensitif
  • Pemalsuan permintaan lintas situs (CSRF)
  • Terutama kerentanan pintar atau masalah unik yang tidak termasuk dalam kategori eksplisit

Daftar yang dikecualikan dari karunia

  • Pesan kesalahan deskriptif (misalnya Jejak Stack, kesalahan aplikasi atau server).
  • Kode / halaman HTTP 404 atau kode / halaman non-200 HTTP lainnya.
  • Pengungkapan sidik jari / spanduk pada layanan umum / publik.
  • Pengungkapan file atau direktori publik yang diketahui, (mis., Robots.txt).
  • Clickjacking dan masalah hanya dieksploitasi melalui clickjacking, kecuali disertai dengan skenario serangan dunia nyata dan dampak yang berarti.
  • CSRF pada formulir yang tersedia untuk pengguna anonim (misalnya, formulir kontak), kecuali disertai dengan skenario serangan dunia nyata dan dampak yang berarti.
  • Pemalsuan Permintaan Lintas Situs Keluar.
  • Persepsi volume berlebihan dari email terkirim (mis., Banjir surat).
  • Adanya fungsi aplikasi atau peramban web 'autocomplete' atau 'save password'.
  • Membalik tabnabbing
  • Kurangnya Aman / HTTPHanya ditandai pada Cookie yang tidak sensitif
  • Captcha / Captcha Bypass yang lemah
  • Masuk atau Lupa Kata Sandi halaman brute force dan penguncian akun tidak dipaksakan.
  • OPSI Metode HTTP diaktifkan
  • Pesan HTTPS Konten Campuran
  • Enumerasi nama pengguna / email
  • Header keamanan HTTP tidak ada
  • Masalah SSL
  • Halaman kesalahan deskriptif dampak rendah dan pengungkapan informasi tanpa informasi sensitif
  • Catatan SPF / DMARC tidak valid atau hilang
  • Rekayasa sosial
  • Kerentanan Denial of Service (DOS)
  • Masalah pembatasan nilai
  • Spamming
  • Pengalihan terbuka - kecuali jika dapat digunakan untuk mencuri token secara aktif
  • Kekhawatiran praktik terbaik tanpa demonstrasi eksploitasi praktis
  • Laporan yang menyatakan perangkat lunak kedaluwarsa atau rentan tanpa bukti konsep
  • injeksi HTML
  • XSS Tercermin, XSS berbasis DOM, dan XSS Mandiri

Hadiah

  • Hanya 1 karunia yang akan diberikan per kerentanan.
  • Jika kami menerima beberapa laporan untuk kerentanan yang sama, hanya orang yang menawarkan laporan jelas pertama yang akan menerima hadiah.
  • Kami menjaga fleksibilitas dengan sistem hadiah kami, dan tidak memiliki jumlah minimum / maksimum; hadiah didasarkan pada tingkat keparahan, dampak, dan kualitas laporan. Ini adalah program bebas dan Vtiger berhak untuk membatalkan program; keputusan untuk membayar atau tidak adalah kebijakan kami.

Domain / Produk dalam lingkup

  • * .od1.vtiger.com
  • * .od2.vtiger.com
  • Produk Awan Vtiger

Domain / Produk dikecualikan dari karunia

  • vtiger.com
  • blog.vtiger.com
  • kode.vtiger.com
  • diskusi.vtiger.com
  • demo.vtiger.com
  • Vtiger OpenSource (Semua versi)

Kontak

Silakan email kami di [email dilindungi] dengan laporan kerentanan atau pertanyaan tentang program.