Bug Bounty programı

Sorumlu Açıklama

Kullanıcı verilerinin güvenliği Vtiger için son derece önemlidir. Hizmetimiz için mümkün olan en iyi güvenliği sağlamak adına, Vtiger'da bulduğunuz herhangi bir güvenlik açığının sorumlu bir şekilde ifşa edilmesini memnuniyetle karşılıyoruz. Sorumlu ifşa ilkeleri şunları içerir, ancak bunlarla sınırlı değildir:

  • Yalnızca size ait olan müşteri verilerine erişme veya bunları ifşa etme.
  • Diğer müşterilere verilen hizmetin bozulmasına neden olabilecek tarama tekniklerinden kaçınmak (ör. siteyi aşırı yükleyerek).
  • Hizmet Şartlarımızın yönergelerine uymak.
  • Vtiger bilgilendirilene ve güvenlik açığını düzeltmek için makul bir süreye sahip olana kadar güvenlik açıklarının ayrıntılarını gizli tutmak.
  • Bir ödüle hak kazanabilmek için, gönderiminizin Vtiger tarafından geçerli olarak kabul edilmesi gerekir. Taleplerin geçerliliğini ve sunulan ödül tazminatını belirlemek için aşağıdaki yönergeleri kullanırız.

Yeniden üretilebilirlik

  1. Mühendislerimiz, güvenlik kusurunu raporunuzdan yeniden oluşturabilmelidir. 
  2. Çok belirsiz veya net olmayan raporlar ödül için uygun değildir. 
  3. Açıkça yazılmış açıklamalar ve çalışma kodu içeren raporların ödül kazanma olasılığı daha yüksektir.
  4. Güvenlik açığını Vtiger'a bildirirken ayrıntılı bir kavram kanıtı (POC) ekleyin.

Şiddet

Daha ciddi hatalar daha büyük ödüllerle karşılanacak. En çok *.od1.vtiger.com ve *.od2.vtiger.com'daki güvenlik açıklarıyla ilgileniyoruz. Bildirilen güvenlik açığı *.od1.vtiger.com veya Vtiger müşteri verilerini bir şekilde etkilemediği sürece, vtiger'in diğer alt alanları genellikle ödül almaya uygun değildir.

Odak bölgeleri

  • Kimlik doğrulama veya yetkilendirme kusurları
  • Sunucu tarafı kod yürütme hataları
  • Hassas veri pozlaması
  • Siteler arası istek sahteciliği (CSRF)
  • Açık kategorilere girmeyen özellikle akıllı güvenlik açıkları veya benzersiz sorunlar

Ödülden hariç tutulanlar listesi

  • Açıklayıcı hata mesajları (örn. Yığın İzleri, uygulama veya sunucu hataları).
  • HTTP 404 kodları/sayfaları veya diğer HTTP 200 olmayan kodlar/sayfalar.
  • Ortak/kamu hizmetlerinde parmak izi/banner ifşası.
  • Bilinen genel dosya veya dizinlerin ifşası (örneğin, robots.txt).
  • Gerçek hayattan bir saldırı senaryosu ve anlamlı bir etki eşlik etmedikçe, tıklama korsanlığı ve yalnızca tıklama yoluyla yararlanılabilen sorunlar.
  • Gerçek hayattan bir saldırı senaryosu ve anlamlı bir etki eşlik etmedikçe, anonim kullanıcılara sunulan formlarda (örneğin, iletişim formu) CSRF.
  • Oturumu Kapat Siteler Arası İstek Sahteciliği.
  • Algılanan aşırı miktarda gönderilen e-posta (örneğin, posta sel).
  • Uygulamanın veya web tarayıcısının 'otomatik tamamlama' veya 'şifreyi kaydet' işlevinin varlığı.
  • Ters sekme
  • Hassas olmayan Çerezlerde Güvenli/HTTPOnly işaretlerinin olmaması
  • Zayıf Captcha / Captcha Bypass
  • Giriş veya Şifremi Unuttum sayfası kaba kuvvet ve hesap kilitleme uygulanmıyor.
  • SEÇENEKLER HTTP yöntemi etkinleştirildi
  • HTTPS Karma İçerik mesajları
  • Kullanıcı adı / e-posta numaralandırma
  • Eksik HTTP güvenlik üstbilgileri
  • SSL Sorunları
  • Düşük etkili açıklayıcı hata sayfaları ve hassas bilgiler içermeyen bilgi ifşaları
  • Geçersiz veya eksik SPF/DMARC kayıtları
  • Sosyal mühendislik
  • Hizmet Reddi güvenlik açıkları (DOS)
  • Hız sınırlama sorunları
  • Spam
  • Açık yönlendirmeler - belirteçleri aktif olarak çalmak için kullanılamayacakları sürece
  • En iyi uygulama, pratikten yararlanılabilirlik gösterimi olmadan endişeler
  • Kavram kanıtı olmadan yazılımın güncel olmadığını veya savunmasız olduğunu belirten raporlar
  • HTML enjeksiyonu
  • Yansıyan XSS, DOM tabanlı XSS ​​ve Self XSS

"Rewards"

  • Güvenlik açığı başına yalnızca 1 ödül verilecektir.
  • Aynı güvenlik açığı için birden fazla rapor alırsak, yalnızca ilk açık raporu sunan kişi ödül alacaktır.
  • Ödül sistemimizle esnekliği koruyoruz ve minimum/maksimum miktarımız yok; ödüller önem, etki ve rapor kalitesine dayalıdır. Bu isteğe bağlı bir programdır ve Vtiger programı iptal etme hakkını saklı tutar; bir ödül ödeyip ödememe kararı bizim takdirimize bağlıdır.

Kapsamdaki Etki Alanları/Ürünler

  • *.od1.vtiger.com
  • *.od2.vtiger.com
  • Vtiger Bulut Ürünleri

Ödülden hariç tutulan Alanlar/Ürünler

  • vtiger.com
  • blog.vtiger.com
  • kod.vtiger.com
  • tartışmalar.vtiger.com
  • demo.vtiger.com
  • Vtiger OpenSource (Tüm sürümler)

İletişim

Bize e-posta lütfen [e-posta korumalı] programla ilgili herhangi bir güvenlik açığı raporu veya soru ile.