Bug Bounty-programma

Verantwoordelijke openbaarmaking

Beveiliging van gebruikersgegevens is voor Vtiger van het grootste belang. Met het oog op de best mogelijke beveiliging van onze service, verwelkomen wij een verantwoorde bekendmaking van alle kwetsbaarheden die u in Vtiger aantreft. De principes van verantwoorde openbaarmaking omvatten, maar zijn niet beperkt tot:

  • Alleen klantgegevens openen of weergeven die van u zijn.
  • Scantechnieken vermijden die de service aan andere klanten waarschijnlijk verslechteren (bijvoorbeeld door de site te overbelasten).
  • Binnen de richtlijnen van onze Servicevoorwaarden blijven.
  • Details van kwetsbaarheden geheim houden totdat Vtiger op de hoogte is gebracht en een redelijke hoeveelheid tijd heeft gehad om de kwetsbaarheid op te lossen.
  • Om in aanmerking te komen voor een premie, moet je inzending door Vtiger als geldig worden geaccepteerd. We gebruiken de volgende richtlijnen om de geldigheid van verzoeken en de aangeboden beloningscompensatie te bepalen.

reproduceerbaarheid

  1. Onze ingenieurs moeten de beveiligingsfout uit uw rapport kunnen reproduceren. 
  2. Te vage of onduidelijke meldingen komen niet in aanmerking voor een beloning. 
  3. Rapporten met duidelijk geschreven uitleg en werkende code zullen eerder beloond worden.
  4. Voeg een gedetailleerd proof of concept (POC) toe terwijl u de kwetsbaarheid aan Vtiger meldt.

Strengheid

Ernstigere bugs zullen met grotere beloningen worden beantwoord. We zijn het meest geïnteresseerd in kwetsbaarheden met * .od1.vtiger.com en * .od2.vtiger.com. Andere subdomeinen van vtiger komen over het algemeen niet in aanmerking voor beloningen, tenzij de gemelde kwetsbaarheid op de een of andere manier van invloed is op * .od1.vtiger.com of Vtiger-klantgegevens.

Aandachtsgebieden

  • Verificatie- of autorisatiefouten
  • Bugs bij het uitvoeren van code op de server
  • Gevoelige gegevensblootstelling
  • Cross-site aanvraagvervalsing (CSRF)
  • Bijzonder slimme kwetsbaarheden of unieke problemen die niet in expliciete categorieën vallen

Uitgesloten lijst van de premie

  • Beschrijvende foutmeldingen (bijv. Stack Traces, applicatie- of serverfouten).
  • HTTP 404-codes / pagina's of andere HTTP niet-200-codes / pagina's.
  • Vingerafdrukken / openbaarmaking van banners op gemeenschappelijke / openbare diensten.
  • Openbaarmaking van bekende openbare bestanden of mappen (bijv. Robots.txt).
  • Clickjacking en problemen die alleen kunnen worden misbruikt door clickjacking, tenzij vergezeld van een real-world aanvalsscenario en zinvolle impact.
  • CSRF op formulieren die beschikbaar zijn voor anonieme gebruikers (bijv. Het contactformulier), tenzij vergezeld van een real-world aanvalsscenario en zinvolle impact.
  • Afmelden Cross-Site Request Forgery.
  • Ervaren buitensporige hoeveelheden verzonden e-mail (bijv. Mailoverstroming).
  • Aanwezigheid van de functie 'automatisch aanvullen' of 'wachtwoord opslaan' van de browser.
  • Omgekeerde tabnabbing
  • Gebrek aan Secure / HTTP Alleen vlaggen op niet-gevoelige cookies
  • Zwakke Captcha / Captcha Bypass
  • Login of Wachtwoord vergeten pagina brute force en accountvergrendeling niet afgedwongen.
  • OPTIES HTTP-methode ingeschakeld
  • HTTPS Mixed Content-berichten
  • Opsomming van gebruikersnaam / e-mail
  • Ontbrekende HTTP-beveiligingsheaders
  • SSL-problemen
  • Beschrijvende foutpagina's met lage impact en informatieverschaffing zonder gevoelige informatie
  • Ongeldige of ontbrekende SPF / DMARC-records
  • Social engineering
  • Denial of Service-kwetsbaarheden (DOS)
  • Problemen met snelheidsbeperking
  • Spamming
  • Open omleidingen - tenzij ze kunnen worden gebruikt voor het actief stelen van tokens
  • Beste praktijken zorgen zonder een demonstratie van praktische exploiteerbaarheid
  • Rapporten waarin staat dat software verouderd of kwetsbaar is zonder een proof of concept
  • HTML-injectie
  • Gereflecteerde XSS, op DOM gebaseerde XSS en zelf XSS

Beloningen

  • Er wordt slechts 1 premie toegekend per kwetsbaarheid.
  • Als we meerdere rapporten ontvangen voor dezelfde kwetsbaarheid, ontvangt alleen de persoon die de eerste duidelijke melding doet een beloning.
  • We behouden flexibiliteit met ons beloningssysteem en hebben geen minimum / maximum bedrag; beloningen zijn gebaseerd op ernst, impact en rapportkwaliteit. Dit is een discretionair programma en Vtiger behoudt zich het recht voor om het programma te annuleren; de beslissing om al dan niet een beloning te betalen is naar eigen goeddunken.

Domeinen / producten binnen bereik

  • * .od1.vtiger.com
  • * .od2.vtiger.com
  • Vtiger Cloud-producten

Domeinen / producten uitgesloten van de premie

  • vtiger.com
  • blog.vtiger.com
  • code.vtiger.com
  • discussions.vtiger.com
  • demo.vtiger.com
  • Vtiger OpenSource (alle versies)

Neem contact op

Kunt u mailen naar [e-mail beveiligd] met eventuele kwetsbaarheidsrapporten of vragen over het programma.