Programa Bug Bounty

Divulgação Responsável

A segurança dos dados do usuário é de extrema importância para o Vtiger. Na busca da melhor segurança possível para nosso serviço, agradecemos a divulgação responsável de qualquer vulnerabilidade encontrada no Vtiger. Os princípios de divulgação responsável incluem, mas não estão limitados a:

  • Acessando ou expondo apenas os dados do cliente que são seus.
  • Evitar técnicas de verificação que provavelmente causem degradação do serviço a outros clientes (por exemplo, sobrecarregando o site).
  • Manter-se dentro das diretrizes de nossos Termos de Serviço.
  • Manter em segredo os detalhes das vulnerabilidades até que o Vtiger seja notificado e tenha um tempo razoável para corrigi-la.
  • Para se qualificar para uma recompensa, seu envio deve ser aceito como válido pela Vtiger. Usamos as diretrizes a seguir para determinar a validade dos pedidos e a remuneração oferecida.

Reprodutibilidade

  1. Nossos engenheiros devem poder reproduzir a falha de segurança do seu relatório. 
  2. Relatórios muito vagos ou pouco claros não são elegíveis para uma recompensa. 
  3. Relatórios que incluem explicações claramente escritas e código de trabalho têm mais chances de receber recompensas.
  4. Anexe uma prova de conceito detalhada (POC) ao relatar a vulnerabilidade ao Vtiger.

Gravidade

Erros mais graves serão encontrados com maiores recompensas. Estamos mais interessados ​​em vulnerabilidades com * .od1.vtiger.com e * .od2.vtiger.com. Outros subdomínios do vtiger geralmente não são elegíveis para recompensas, a menos que a vulnerabilidade relatada afete de alguma forma os dados do cliente * .od1.vtiger.com ou Vtiger.

Áreas de foco

  • Falhas de autenticação ou autorização
  • Erros de execução de código no servidor
  • Exposição sensível a dados
  • Falsificação de solicitação entre sites (CSRF)
  • Vulnerabilidades particularmente inteligentes ou problemas únicos que não se enquadram em categorias explícitas

Lista excluída da recompensa

  • Mensagens de erro descritivas (por exemplo, rastreamento de pilha, erros de aplicativo ou servidor).
  • Códigos / páginas HTTP 404 ou outros códigos / páginas HTTP que não sejam 200.
  • Divulgação de impressões digitais / faixas em serviços comuns / públicos.
  • Divulgação de arquivos ou diretórios públicos conhecidos (por exemplo, robots.txt).
  • O clickjacking e os problemas só podem ser explorados através do clickjacking, a menos que sejam acompanhados por um cenário de ataque do mundo real e impacto significativo.
  • CSRF em formulários disponíveis para usuários anônimos (por exemplo, o formulário de contato), a menos que seja acompanhado por um cenário de ataque no mundo real e impacto significativo.
  • Falsificação de solicitação entre sites de logout.
  • Percebeu volumes excessivos de email enviado (por exemplo, inundação de email).
  • Presença da funcionalidade de preenchimento automático ou de salvar senha do aplicativo ou navegador da web.
  • Tabnabbing reverso
  • Falta de sinalizadores Secure / HTTPOnly em cookies não sensíveis
  • Captcha fraco / desvio de Captcha
  • Página de login ou senha esquecida, força bruta e bloqueio de conta não impostos.
  • OPÇÕES Método HTTP ativado
  • Mensagens de conteúdo misto HTTPS
  • Enumeração de nome de usuário / email
  • Cabeçalhos de segurança HTTP ausentes
  • Problemas de SSL
  • Páginas de erro descritivo de baixo impacto e divulgação de informações sem nenhuma informação sensível
  • Registros SPF / DMARC inválidos ou ausentes
  • A engenharia social
  • Vulnerabilidades de negação de serviço (DOS)
  • Problemas de limitação de taxa
  • Spam
  • Redirecionamentos abertos - a menos que possam ser usados ​​para roubar tokens ativamente
  • Preocupações com as melhores práticas sem uma demonstração de explorabilidade prática
  • Relatórios informando que o software está desatualizado ou vulnerável sem uma prova de conceito
  • Injeção de HTML
  • XSS refletido, XSS baseado em DOM e XSS próprio

Recompensas

  • Apenas 1 recompensa será concedida por vulnerabilidade.
  • Se recebermos vários relatórios pela mesma vulnerabilidade, apenas a pessoa que oferecer o primeiro relatório claro receberá uma recompensa.
  • Mantemos flexibilidade com nosso sistema de recompensa e não temos valor mínimo / máximo; as recompensas são baseadas na gravidade, impacto e qualidade do relatório. Este é um programa discricionário e a Vtiger se reserva o direito de cancelar o programa; a decisão de pagar ou não uma recompensa fica a nosso critério.

Domínios / produtos no escopo

  • * .od1.vtiger.com
  • * .od2.vtiger.com
  • Produtos Vtiger Cloud

Domínios / produtos excluídos da recompensa

  • vtiger.com
  • blog.vtiger.com
  • code.vtiger.com
  • discussions.vtiger.com
  • demo.vtiger.com
  • Vtiger OpenSource (todas as versões)

Contato

Envie um email para [email protegido] com quaisquer relatórios de vulnerabilidade ou perguntas sobre o programa.