Bug Bounty-programmet

Ansvarig Disclosure

Säkerhet för användardata är av största vikt för Vtiger. I strävan efter bästa möjliga säkerhet för vår tjänst välkomnar vi ansvarsfullt avslöjande av alla sårbarheter du hittar i Vtiger. Principerna för ansvarsfull offentliggörande inkluderar, men är inte begränsade till:

  • Åtkomst till eller exponering av endast dina kunduppgifter.
  • Undvika skanningstekniker som sannolikt kan orsaka försämring av tjänsten till andra kunder (t.ex. genom överbelastning av webbplatsen).
  • Håller sig inom riktlinjerna för våra användarvillkor.
  • Att hålla detaljer om sårbarheter hemliga tills Vtiger har meddelats och hade en rimlig tid att fixa sårbarheten.
  • För att vara berättigad till en avgift måste din inlämning accepteras som giltig av Vtiger. Vi använder följande riktlinjer för att fastställa giltigheten av begäran och den erbjudna belöningskompensationen.

reproducerbarhet

  1. Våra ingenjörer måste kunna reproducera säkerhetsbristen i din rapport. 
  2. Rapporter som är för vaga eller oklara är inte berättigade till belöning. 
  3. Rapporter som innehåller tydligt skriftliga förklaringar och arbetskod är mer benägna att få belöningar.
  4. Bifoga ett detaljerat proof of concept (POC) när du rapporterar sårbarheten till Vtiger.

Svårighetsgraden

Mer allvarliga buggar möts med större belöningar. Vi är mest intresserade av sårbarheter med * .od1.vtiger.com och * .od2.vtiger.com. Andra underdomäner för vtiger är i allmänhet inte berättigade till belöning såvida inte den rapporterade sårbarheten på något sätt påverkar * .od1.vtiger.com eller Vtiger kunddata.

Fokusområden

  • Autentiserings- eller godkännandefel
  • Bugg för körning av serversidan
  • Känslig dataexponering
  • Förfalskning på olika platser (CSRF)
  • Särskilt smarta sårbarheter eller unika problem som inte ingår i uttryckliga kategorier

Lista med utesluten från premien

  • Beskrivande felmeddelanden (t.ex. Stack Spår, applikations- eller serverfel).
  • HTTP 404-koder / sidor eller andra HTTP-koder / sidor som inte är 200.
  • Fingeravtryck / avslöjande av banner på vanliga / offentliga tjänster.
  • Offentliggörande av kända offentliga filer eller kataloger, (t.ex. robots.txt).
  • Clickjacking och problem som endast kan utnyttjas genom clickjacking, såvida det inte åtföljs av ett verkligt attackscenario och meningsfull inverkan.
  • CSRF på formulär som är tillgängliga för anonyma användare (t.ex. kontaktformuläret), såvida det inte åtföljs av ett verkligt attackscenario och en meningsfull inverkan.
  • Logga ut förfalskning över hela webbplatsen.
  • Upplevde alltför stora volymer skickad e-post (t.ex. översvämning av e-post).
  • Närvaro av applikations- eller webbläsarens funktion "autofullständig" eller "spara lösenord".
  • Omvänd tabnabbning
  • Brist på säkra / HTTPOnly-flaggor på icke-känsliga kakor
  • Svag Captcha / Captcha Bypass
  • Logga in eller glömt lösenord sida Brute Force och konto lockout inte verkställs.
  • OPTIONS HTTP-metoden aktiverad
  • HTTPS meddelanden om blandat innehåll
  • Användarnamn / e-postuppräkning
  • Saknade HTTP-säkerhetsrubriker
  • SSL-problem
  • Beskrivande felsidor med låg inverkan och informationsmeddelanden utan känslig information
  • Ogiltiga eller saknade SPF / DMARC-poster
  • Samhällsteknik
  • Denial of Service sårbarheter (DOS)
  • Prisbegränsande problem
  • Skräppost
  • Öppna omdirigeringar - såvida de inte kan användas för att aktivt stjäla tokens
  • Bästa praxis gäller utan demonstration av praktisk exploatering
  • Rapporter som anger att programvaran är inaktuell eller sårbar utan proof of concept
  • HTML -injektion
  • Reflekterad XSS, DOM-baserad XSS och Self XSS

Belöningar

  • Endast 1 avgift tilldelas per sårbarhet.
  • Om vi ​​får flera rapporter för samma sårbarhet får endast den som erbjuder den första tydliga rapporten en belöning.
  • Vi upprätthåller flexibiliteten med vårt belöningssystem och har inget lägsta / högsta belopp; belöningar baseras på svårighetsgrad, påverkan och rapportkvalitet. Detta är ett diskretionärt program och Vtiger förbehåller sig rätten att avbryta programmet; beslutet om att betala en belöning är enligt vår bedömning.

Domäner / produkter inom räckvidd

  • * .od1.vtiger.com
  • * .od2.vtiger.com
  • Vtiger Cloud-produkter

Domäner / produkter exkluderade från premien

  • vtiger.com
  • blog.vtiger.com
  • code.vtiger.com
  • discussions.vtiger.com
  • demo.vtiger.com
  • Vtiger OpenSource (Alla versioner)

Kontakta oss

Vänligen maila oss på [e-postskyddad] med eventuella sårbarhetsrapporter eller frågor om programmet.