Programma Bug Bounty

Divulgazione responsabile

La sicurezza dei dati degli utenti è della massima importanza per Vtiger. Alla ricerca della migliore sicurezza possibile per il nostro servizio, accogliamo con favore la divulgazione responsabile di qualsiasi vulnerabilità che riscontri in Vtiger. I principi di divulgazione responsabile includono, ma non sono limitati a:

  • Accedere o esporre solo i dati dei clienti che sono tuoi.
  • Evitare tecniche di scansione che potrebbero causare il degrado del servizio ad altri clienti (ad esempio sovraccaricando il sito).
  • Rispettare le linee guida dei nostri Termini di servizio.
  • Mantenere segreti i dettagli delle vulnerabilità fino a quando Vtiger non è stato informato e ha avuto un ragionevole lasso di tempo per risolvere la vulnerabilità.
  • Per poter beneficiare di una taglia, la tua richiesta deve essere accettata come valida da Vtiger. Utilizziamo le seguenti linee guida per determinare la validità delle richieste e il compenso offerto.

Riproducibilità

  1. I nostri ingegneri devono essere in grado di riprodurre il difetto di sicurezza del rapporto. 
  2. I rapporti troppo vaghi o poco chiari non possono beneficiare di un premio. 
  3. I rapporti che includono spiegazioni chiaramente scritte e codice di lavoro hanno maggiori probabilità di ottenere ricompense.
  4. Allegare una prova dettagliata del concetto (POC) mentre si segnala la vulnerabilità a Vtiger.

Gravità

Bug più gravi verranno accolti con maggiori ricompense. Siamo maggiormente interessati alle vulnerabilità con * .od1.vtiger.com e * .od2.vtiger.com. Altri sottodomini di vtiger non sono generalmente ammissibili per i premi a meno che la vulnerabilità segnalata non influisca in qualche modo sui dati dei clienti di * .od1.vtiger.com o Vtiger.

Aree di interesse

  • Difetti di autenticazione o autorizzazione
  • Bug di esecuzione del codice lato server
  • Esposizione dati sensibili
  • Falsificazione di richieste tra siti (CSRF)
  • Vulnerabilità particolarmente intelligenti o problemi unici che non rientrano in categorie esplicite

Elenco escluso dalla taglia

  • Messaggi di errore descrittivi (ad es. Stack stack, errori dell'applicazione o del server).
  • Codici / pagine HTTP 404 o altri codici / pagine HTTP non 200.
  • Impronta digitale / divulgazione di banner su servizi comuni / pubblici.
  • Divulgazione di file o directory pubblici noti (ad es. Robots.txt).
  • Clickjacking e problemi sfruttabili solo tramite clickjacking, a meno che non siano accompagnati da uno scenario di attacco del mondo reale e da un impatto significativo.
  • CSRF su moduli disponibili per utenti anonimi (ad esempio il modulo di contatto), a meno che non siano accompagnati da uno scenario di attacco del mondo reale e da un impatto significativo.
  • Logout Richiesta falsa su più siti.
  • Percepiti volumi eccessivi di e-mail inviata (ad es. Inondazioni di posta)
  • Presenza dell'applicazione 'completamento automatico' del browser web o funzionalità 'salva password'.
  • Tabnabbing inverso
  • Mancanza di flag Secure / HTTPSolo su cookie non sensibili
  • Bypass Captcha / Captcha debole
  • Pagina di login o password dimenticata brute force e blocco dell'account non applicati.
  • OPZIONI Metodo HTTP abilitato
  • Messaggi a contenuto misto HTTPS
  • Enumerazione nome utente / email
  • Intestazioni di sicurezza HTTP mancanti
  • Problemi SSL
  • Pagine di errore descrittive a basso impatto e divulgazione di informazioni senza informazioni sensibili
  • Record SPF / DMARC non validi o mancanti
  • Ingegneria sociale
  • Vulnerabilità Denial of Service (DOS)
  • Problemi di limitazione della velocità
  • Spamming
  • Reindirizzamenti aperti - a meno che non possano essere utilizzati per rubare attivamente token
  • Problemi di buone pratiche senza una dimostrazione di sfruttabilità pratica
  • Rapporti che affermano che il software è obsoleto o vulnerabile senza una prova di concetto
  • Iniezione HTML
  • XSS riflesso, XSS basato su DOM e Self XSS

Rewards

  • Verrà assegnato 1 solo premio per vulnerabilità.
  • Se riceviamo più segnalazioni per la stessa vulnerabilità, solo la persona che offre la prima segnalazione chiara riceverà un premio.
  • Manteniamo la flessibilità con il nostro sistema di premi e non abbiamo un importo minimo / massimo; i premi si basano su gravità, impatto e qualità dei report. Questo è un programma discrezionale e Vtiger si riserva il diritto di annullare il programma; la decisione se pagare o meno un premio è a nostra discrezione.

Domini / prodotti nell'ambito

  • * .od1.vtiger.com
  • * .od2.vtiger.com
  • Prodotti Vtiger Cloud

Domini / prodotti esclusi dalla taglia

  • vtiger.com
  • blog.vtiger.com
  • code.vtiger.com
  • discussions.vtiger.com
  • demo.vtiger.com
  • Vtiger OpenSource (Tutte le versioni)

Contatti

Si prega di inviare un'email all'indirizzo [email protected] con eventuali segnalazioni di vulnerabilità o domande sul programma.