Program Bug Bounty

Zodpovedné zverejnenie

Bezpečnosť údajov používateľa má pre spoločnosť Vtiger zásadný význam. V snahe o čo najlepšiu bezpečnosť našich služieb vítame zodpovedné odhalenie akejkoľvek zraniteľnosti, ktorú nájdete vo Vtigeri. Zásady zodpovedného zverejnenia zahŕňajú, ale nie sú obmedzené na:

  • Prístup alebo odhalenie iba vašich zákazníckych údajov.
  • Vyhýbanie sa technikám skenovania, ktoré pravdepodobne spôsobia zhoršenie služieb iným zákazníkom (napr. Preťažením stránky).
  • Dodržiavanie pokynov v našich zmluvných podmienkach.
  • Udržiavanie podrobností o chybách zabezpečenia v tajnosti, až kým spoločnosť Vtiger nebude upovedomená a nebude mať dostatok času na odstránenie tejto chyby.
  • Na to, aby bolo možné získať odmenu, musí byť váš príspevok akceptovaný spoločnosťou Vtiger. Nasledujúce pokyny používame na určenie platnosti žiadostí a ponúkanej kompenzácie odmeny.

reprodukovateľnosť

  1. Naši technici musia byť schopní zopakovať bezpečnostnú chybu z vašej správy. 
  2. Za príliš vágne alebo nejasné správy nie je možné získať odmenu. 
  3. Správy, ktoré obsahujú zreteľné písomné vysvetlenia a pracovný kód, s väčšou pravdepodobnosťou získajú odmeny.
  4. Pri hlásení zraniteľnosti spoločnosti Vtiger priložte podrobný dôkaz koncepcie (POC).

Prísnosť

Vážnejšie chyby sa stretnú s väčšími odmenami. Najviac nás zaujímajú zraniteľné miesta s adresami * .od1.vtiger.com a * .od2.vtiger.com. Iné subdomény vtiger zvyčajne nie sú oprávnené na získanie odmien, pokiaľ nahlásená zraniteľnosť nejakým spôsobom neovplyvní údaje o zákazníkoch * .od1.vtiger.com alebo Vtiger.

Oblasti zamerania

  • Chyby v overovaní alebo autorizácii
  • Chyby vykonávania kódu na strane servera
  • Citlivé vystavenie údajom
  • Falšovanie žiadostí na viacerých stránkach (CSRF)
  • Obzvlášť chytré chyby alebo jedinečné problémy, ktoré nespadajú do explicitných kategórií

Vylúčený zoznam z odmeny

  • Popisné chybové hlásenia (napr. Stack Traces, chyby aplikácií alebo servera).
  • HTTP 404 kódy / stránky alebo iné HTTP non-200 kódy / stránky.
  • Odtlačky prstov / zverejňovanie bannerov o bežných / verejných službách.
  • Zverejnenie známych verejných súborov alebo adresárov (napr. Robots.txt).
  • Clickjacking a problémy využiteľné iba prostredníctvom clickjackingu, pokiaľ nie sú sprevádzané scenárom útoku v reálnom svete a zmysluplným dopadom.
  • CSRF na formulároch, ktoré sú dostupné anonymným používateľom (napr. Kontaktný formulár), pokiaľ nie sú sprevádzané scenárom útoku v reálnom svete a zmysluplným dopadom.
  • Odhlásiť sa falšovanie žiadostí na viacerých stránkach.
  • Vnímané nadmerné množstvo odoslaných e-mailov (napr. Záplavy e-mailov).
  • Prítomnosť funkcie automatického dopĺňania aplikácie alebo webového prehľadávača alebo uloženia hesla.
  • Reverzné tabnabbing
  • Nedostatok príznakov Secure / HTTPOlyly na cookies, ktoré nie sú citlivé
  • Slabá obchádzka Captcha / Captcha
  • Prihlasovacie alebo zabudnuté stránky s heslami sa nevynucujú hrubou silou a blokovaním účtu.
  • MOŽNOSTI HTTP metóda povolená
  • HTTPS správy so zmiešaným obsahom
  • Vymenovanie používateľského mena / e-mailu
  • Chýbajú hlavičky zabezpečenia HTTP
  • Problémy s SSL
  • Popisné chybové stránky a zverejňovanie informácií s malým dosahom a bez citlivých informácií
  • Neplatné alebo chýbajúce záznamy SPF / DMARC
  • Sociálne inžinierstvo
  • Zraniteľnosť odmietnutia služby (DOS)
  • Problémy s obmedzením sadzieb
  • Spamovaniu
  • Otvorené presmerovania – pokiaľ ich nemožno použiť na aktívne kradnutie tokenov
  • Najlepšia prax sa týka bez preukázania praktickej využiteľnosti
  • Hlásenia uvádzajúce, že softvér je zastaraný alebo zraniteľný bez overenia koncepcie
  • HTML injekcia
  • Zrkadlené XSS, XSS založené na DOM a vlastné XSS

Odmeny

  • Za zraniteľnosť bude udelená iba 1 odmena.
  • Ak dostaneme viac správ za rovnakú chybu zabezpečenia, odmenu dostane iba osoba ponúkajúca prvú jasnú správu.
  • Udržiavame flexibilitu s naším systémom odmeňovania a nemáme minimálnu / maximálnu sumu; odmeny sú založené na závažnosti, vplyve a kvalite správy. Toto je diskrečný program a spoločnosť Vtiger si vyhradzuje právo program zrušiť; rozhodnutie, či zaplatiť alebo nie, zaplatiť odmenu je na našom uvážení.

Oblasti / produkty v rozsahu

  • * .od1.vtiger.com
  • * .od2.vtiger.com
  • Cloudové produkty spoločnosti Vtiger

Domény / produkty vylúčené z odmeny

  • vtiger.com
  • blog.vtiger.com
  • code.vtiger.com
  • discussions.vtiger.com
  • demo.vtiger.com
  • Vtiger OpenSource (všetky verzie)

Kontakt

Napíšte nám na [chránené e-mailom] s akýmikoľvek správami o zraniteľnosti alebo otázkami o programe.