Баг Баунти программа

Ответственное раскрытие

Безопасность пользовательских данных имеет первостепенное значение для Vtiger. В целях обеспечения максимально возможной безопасности нашего сервиса мы приветствуем ответственное раскрытие информации о любой уязвимости, обнаруженной вами в Vtiger. Принципы ответственного раскрытия включают, но не ограничиваются:

  • Доступ или предоставление только тех данных клиента, которые принадлежат вам.
  • Избегайте методов сканирования, которые могут вызвать ухудшение качества обслуживания других клиентов (например, из-за перегрузки сайта).
  • Соблюдение правил наших Условий обслуживания.
  • Хранение секретных сведений об уязвимостях до тех пор, пока Vtiger не получит уведомление и у него не будет достаточно времени для устранения уязвимости.
  • Чтобы иметь право на получение награды, ваша заявка должна быть принята Vtiger как действительная. Мы используем следующие рекомендации для определения обоснованности запросов и предлагаемой компенсации вознаграждения.

Воспроизводимость

  1. Наши инженеры должны быть в состоянии воспроизвести недостаток безопасности из вашего отчета. 
  2. Отчеты, которые слишком расплывчаты или неясны, не могут быть вознаграждены. 
  3. Отчеты с четкими письменными пояснениями и рабочим кодом с большей вероятностью будут вознаграждены.
  4. Приложите подробное подтверждение концепции (POC), сообщая об уязвимости Vtiger.

Строгость

Более серьезные ошибки будут встречаться с большими наградами. Нас больше всего интересуют уязвимости в * .od1.vtiger.com и * .od2.vtiger.com. Другие субдомены vtiger, как правило, не имеют права на вознаграждения, если только сообщенная уязвимость каким-то образом не повлияет на данные клиентов * .od1.vtiger.com или Vtiger.

Фокусные площади

  • Недостатки аутентификации или авторизации
  • Ошибки выполнения кода на стороне сервера
  • Чувствительные данные воздействия
  • Подделка межсайтовых запросов (CSRF)
  • Особенно умные уязвимости или уникальные проблемы, которые не попадают в явные категории

Исключенный список из награды

  • Описательные сообщения об ошибках (например, трассировка стека, ошибки приложения или сервера).
  • Коды / страницы HTTP 404 или другие коды / страницы HTTP, отличные от 200.
  • Снятие отпечатков пальцев / раскрытие баннера на общих / общественных услугах.
  • Раскрытие известных общедоступных файлов или каталогов (например, robots.txt).
  • Clickjacking и проблемы могут быть использованы только путем clickjacking, если они не сопровождаются реальным сценарием атаки и значимым воздействием.
  • CSRF в формах, которые доступны анонимным пользователям (например, форма контакта), если они не сопровождаются сценарием реальной атаки и значимым воздействием.
  • Выйти Подделка межсайтовых запросов.
  • Воспринимаемые чрезмерные объемы отправленной электронной почты (например, переполнение почты).
  • Наличие функции «автозаполнение» или «сохранить пароль» приложения или веб-браузера.
  • Обратный вкладок
  • Отсутствие флагов Secure / HTTPOnly на нечувствительных файлах cookie
  • Слабый обход
  • Страница логина или забытого пароля, грубая сила и блокировка аккаунта не применяются.
  • ОПЦИИ HTTP метод включен
  • HTTPS-сообщения со смешанным содержимым
  • Имя пользователя / адрес электронной почты
  • Отсутствуют заголовки безопасности HTTP
  • Проблемы с SSL
  • Низкое воздействие описательных ошибок страниц и раскрытия информации без какой-либо конфиденциальной информации
  • Неверные или отсутствующие записи SPF / DMARC
  • Социальная инженерия
  • Уязвимости типа "отказ в обслуживании" (DOS)
  • Проблемы с ограничением скорости
  • Спам
  • Открытые перенаправления - если они не могут быть использованы для активного кражи токенов.
  • Проблемы передовой практики без демонстрации практической применимости
  • Отчеты о том, что программное обеспечение устарело или уязвимо без подтверждения концепции
  • HTML-инъекция
  • Отраженный XSS, XSS на основе DOM и Self XSS

Награды

  • Только 1 награда будет присуждена за каждую уязвимость.
  • Если мы получим несколько отчетов об одной и той же уязвимости, вознаграждение получит только тот, кто предложит первый отчет.
  • Мы сохраняем гибкость с нашей системой вознаграждений, и не имеем минимальной / максимальной суммы; награды основаны на серьезности, воздействии и качестве отчета. Это дискреционная программа, и Vtiger оставляет за собой право отменить программу; решение о выплате вознаграждения принимается по нашему усмотрению.

Домены / Продукты в сфере

  • * .od1.vtiger.com
  • * .od2.vtiger.com
  • Облачные продукты Vtiger

Домены / Продукты исключены из награды

  • vtiger.com
  • blog.vtiger.com
  • code.vtiger.com
  • discussions.vtiger.com
  • demo.vtiger.com
  • Vtiger OpenSource (Все версии)

Контакты

Пожалуйста, напишите нам по адресу [электронная почта защищена] с любыми сообщениями об уязвимостях или вопросами о программе.