バグバウンティプログラム

責任ある開示

ユーザーデータのセキュリティは、Vtigerにとって最も重要です。 当社のサービスに可能な限り最高のセキュリティを追求して、Vtigerで見つけた脆弱性の責任ある開示を歓迎します。 責任ある開示の原則には、以下が含まれますが、これらに限定されません。

  • 自分の顧客データのみにアクセスまたは公開する。
  • 他の顧客へのサービスの低下を引き起こす可能性のあるスキャン手法の回避(例:サイトの過負荷による)。
  • 利用規約のガイドラインを遵守する。
  • Vtigerに通知され、脆弱性を修正するための妥当な時間があるまで、脆弱性の詳細を秘密にしてください。
  • 賞金の対象となるためには、あなたの提出物がVtigerによって有効であると認められなければなりません。 以下のガイドラインを使用して、リクエストの有効性と提供される報酬補償を決定します。

再現性

  1. 私たちのエンジニアはあなたの報告からセキュリティ欠陥を再現できなければなりません。 
  2. あいまいまたは不明確なレポートは、報酬の対象にはなりません。 
  3. 明確に書かれた説明と実際のコードを含むレポートは、報酬を獲得する可能性が高くなります。
  4. Vtigerに脆弱性を報告する際に、詳細な概念実証(POC)を添付します。

重大度

より深刻なバグには、より大きな報酬が与えられます。 * .od1.vtiger.comおよび* .od2.vtiger.comの脆弱性に最も関心があります。 報告された脆弱性が何らかの理由で* .od1.vtiger.comまたはVtigerの顧客データに影響を与えない限り、vtigerの他のサブドメインは通常、報酬の対象にはなりません。

フォーカスエリア

  • 認証または承認の欠陥
  • サーバー側のコード実行のバグ
  • 機密データの漏洩
  • クロスサイトリクエストフォージェリ(CSRF)
  • 明確なカテゴリに分類されない、特に巧妙な脆弱性または固有の問題

バウンティからの除外リスト

  • 説明的なエラーメッセージ(スタックトレース、アプリケーション、サーバーエラーなど)。
  • HTTP 404コード/ページまたは他のHTTP非200コード/ページ。
  • 共通/公共サービスに関するフィンガープリント/バナー開示。
  • 既知の公開ファイルまたはディレクトリの開示(例:robots.txt)。
  • クリックジャックと問題は、実際の攻撃シナリオと意味のある影響を伴わない限り、クリックジャックを介してのみ悪用可能です。
  • 現実の攻撃シナリオと意味のある影響が伴わない限り、匿名ユーザーが使用できるフォーム(連絡先フォームなど)のCSRF。
  • ログアウトクロスサイトリクエストフォージェリ。
  • 送信された電子メールの過剰な量(たとえば、メールのフラッディング)を感知した。
  • アプリケーションまたはWebブラウザーの「オートコンプリート」または「パスワードの保存」機能の存在。
  • 逆タブナブ
  • 機密性の低いCookieにSecure / HTTPOnlyフラグがない
  • 弱いキャプチャ/キャプチャバイパス
  • ログインまたはパスワードを忘れたページのブルートフォースおよびアカウントロックアウトは強制されていません。
  • OPTIONS HTTPメソッドが有効
  • HTTPS混合コンテンツメッセージ
  • ユーザー名/メール列挙
  • HTTPセキュリティヘッダーがありません
  • SSLの問題
  • 影響の少ない説明的なエラーページと機密情報のない情報開示
  • SPF / DMARCレコードが無効または欠落している
  • ソーシャルエンジニアリング
  • サービス拒否の脆弱性(DOS)
  • レート制限の問題
  • スパミング
  • オープンリダイレクト-トークンを積極的に盗むために使用できる場合を除く
  • 実用的な悪用可能性のデモンストレーションなしのベストプラクティスの懸念
  • ソフトウェアが古くなっている、または概念実証なしで脆弱であると述べているレポート
  • HTMLインジェクション
  • Reflected XSS、DOM ベースの XSS、Self XSS

報酬

  • 脆弱性ごとに1つの賞金が授与されます。
  • 同じ脆弱性に関する複数のレポートを受け取った場合、最初の明確なレポートを提供した人だけが報酬を受け取ります。
  • 私たちは報酬システムで柔軟性を維持し、最小/最大金額はありません。 報酬は、重大度、影響、およびレポートの品質に基づいています。 これは任意のプログラムであり、Vtigerはプログラムをキャンセルする権利を留保します。 報酬を支払うかどうかの決定は、私たちの裁量です。

範囲内のドメイン/製品

  • * .od1.vtiger.com
  • * .od2.vtiger.com
  • Vtiger Cloud製品

バウンティから除外されたドメイン/製品

  • vtiger.com
  • blog.vtiger.com
  • code.vtiger.com
  • discussions.vtiger.com
  • デモ.vtiger.com
  • Vtiger OpenSource(すべてのバージョン)

お問い合わせ

メールでお問い合わせください [メール保護] プログラムに関する脆弱性の報告や質問があります。