Program Bug Bounty

Odpowiedzialne ujawnienie

Bezpieczeństwo danych użytkowników ma ogromne znaczenie dla Vtiger. Dążąc do jak najlepszego bezpieczeństwa naszych usług, z zadowoleniem przyjmujemy odpowiedzialne ujawnienie wszelkich luk w zabezpieczeniach, które znajdziesz w Vtiger. Zasady odpowiedzialnego ujawnienia obejmują między innymi:

  • Uzyskiwanie dostępu lub ujawnianie tylko własnych danych klientów.
  • Unikanie technik skanowania, które mogą powodować pogorszenie jakości usług dla innych klientów (np. Przez przeciążenie witryny).
  • Przestrzeganie wytycznych naszych warunków świadczenia usług.
  • Przechowywanie szczegółów luk w zabezpieczeniach do momentu powiadomienia Vtiger i uzyskania odpowiedniego czasu na usunięcie usterki.
  • Aby kwalifikować się do nagrody, zgłoszenie musi zostać zaakceptowane przez Vtiger jako ważne. Korzystamy z poniższych wskazówek, aby określić ważność wniosków i oferowaną rekompensatę nagrody.

Odtwarzalność

  1. Nasi inżynierowie muszą być w stanie odtworzyć lukę w zabezpieczeniach z Twojego raportu. 
  2. Raporty, które są zbyt niejasne lub niejasne, nie kwalifikują się do nagrody. 
  3. Raporty zawierające jasno napisane objaśnienia i działający kod częściej zdobywają nagrody.
  4. Dołącz szczegółowy dowód koncepcji (POC), zgłaszając lukę w zabezpieczeniach Vtiger.

Dotkliwość

Bardziej poważne błędy zostaną spełnione z większymi nagrodami. Najbardziej interesują nas luki w zabezpieczeniach * .od1.vtiger.com i * .od2.vtiger.com. Inne poddomeny vtiger zasadniczo nie kwalifikują się do nagród, chyba że zgłoszona luka w jakiś sposób wpływa na * .od1.vtiger.com lub dane klienta Vtiger.

Obszary skupienia

  • Wady uwierzytelnienia lub autoryzacji
  • Błędy wykonania kodu po stronie serwera
  • Narażenie na wrażliwe dane
  • Fałszowanie żądań w różnych witrynach (CSRF)
  • Szczególnie sprytne luki w zabezpieczeniach lub unikalne problemy, które nie należą do wyraźnych kategorii

Lista wykluczona z nagrody

  • Opisowe komunikaty o błędach (np. Ślady stosu, błędy aplikacji lub serwera).
  • Kody / strony HTTP 404 lub inne kody / strony HTTP inne niż 200.
  • Odcisk palca / ujawnianie banerów na wspólnych / publicznych usługach.
  • Ujawnienie znanych publicznych plików lub katalogów (np. Robots.txt).
  • Clickjacking i problemy, które można wykorzystać tylko przez kliknięcie, chyba że towarzyszy im scenariusz ataku w prawdziwym świecie i znaczący wpływ.
  • CSRF w formularzach dostępnych dla anonimowych użytkowników (np. Formularz kontaktowy), chyba że towarzyszy im rzeczywisty scenariusz ataku i znaczący wpływ.
  • Wyloguj się Fałszowanie żądań krzyżowych.
  • Dostrzeżono nadmierną liczbę wysłanych wiadomości e-mail (np. Zalewanie poczty).
  • Obecność funkcji „autouzupełniania” lub „zapisz hasło” w aplikacji lub przeglądarce internetowej.
  • Odwróć tabnabbing
  • Brak flag Secure / HTTPOnly na niewrażliwych plikach cookie
  • Słaba Captcha / Captcha Bypass
  • Strona logowania lub zapomnienia hasła brutalna siła i blokada konta nie są egzekwowane.
  • OPCJE Włączona metoda HTTP
  • Wiadomości mieszane HTTPS
  • Wyliczenie nazwy użytkownika / e-maila
  • Brak nagłówków bezpieczeństwa HTTP
  • Problemy z SSL
  • Opisowe strony błędów i ujawnienia informacji o niskim wpływie bez żadnych poufnych informacji
  • Nieprawidłowe lub brakujące rekordy SPF / DMARC
  • Inżynieria społeczna
  • Luki w zabezpieczeniach typu Denial of Service (DOS)
  • Problemy z ograniczeniem szybkości
  • Spamowanie
  • Otwarte przekierowania – o ile nie można ich użyć do aktywnej kradzieży tokenów
  • Dotyczy najlepszych praktyk bez wykazania praktycznej możliwości wykorzystania
  • Raporty stwierdzające, że oprogramowanie jest nieaktualne lub podatne na ataki bez potwierdzenia koncepcji
  • Wstrzyknięcie HTML
  • Odbity XSS, XSS oparty na DOM i Self XSS

Nagrody

  • Za każdą lukę zostanie przyznana tylko 1 nagroda.
  • Jeśli otrzymamy wiele zgłoszeń dotyczących tej samej podatności, tylko osoba oferująca pierwsze jasne zgłoszenie otrzyma nagrodę.
  • Utrzymujemy elastyczność dzięki naszemu systemowi nagród i nie mamy minimalnej / maksymalnej kwoty; nagrody zależą od ważności, wpływu i jakości raportu. Jest to program uznaniowy i Vtiger zastrzega sobie prawo do anulowania programu; decyzja, czy wypłacić nagrodę, zależy od nas.

Domeny / Produkty w zakresie

  • * .od1.vtiger.com
  • * .od2.vtiger.com
  • Produkty chmurowe Vtiger

Domeny / Produkty wyłączone z nagrody

  • vtiger.com
  • blog.vtiger.com
  • kod.vtiger.com
  • Discusions.vtiger.com
  • demo.vtiger.com
  • Vtiger OpenSource (wszystkie wersje)

Kontakt

Napisz do nas [email chroniony] z wszelkimi raportami o lukach w zabezpieczeniach lub pytaniami dotyczącymi programu.