Chương trình Bug Bounty

Tiết lộ có trách nhiệm

Bảo mật dữ liệu người dùng là vô cùng quan trọng đối với Vtiger. Để theo đuổi bảo mật tốt nhất có thể cho dịch vụ của chúng tôi, chúng tôi hoan nghênh tiết lộ có trách nhiệm về bất kỳ lỗ hổng nào bạn tìm thấy trong Vtiger. Nguyên tắc công bố trách nhiệm bao gồm, nhưng không giới hạn ở:

  • Truy cập hoặc chỉ hiển thị dữ liệu khách hàng là của riêng bạn.
  • Tránh các kỹ thuật quét có khả năng gây xuống cấp dịch vụ cho các khách hàng khác (ví dụ: do quá tải trang web).
  • Giữ trong các hướng dẫn của Điều khoản dịch vụ của chúng tôi.
  • Giữ bí mật chi tiết về các lỗ hổng cho đến khi Vtiger được thông báo và có một khoảng thời gian hợp lý để khắc phục lỗ hổng.
  • Để đủ điều kiện nhận tiền thưởng, bài nộp của bạn phải được Vtiger chấp nhận là hợp lệ. Chúng tôi sử dụng các hướng dẫn sau để xác định tính hợp lệ của các yêu cầu và phần thưởng được cung cấp.

Khả năng tái lập

  1. Các kỹ sư của chúng tôi phải có khả năng tái tạo lỗ hổng bảo mật từ báo cáo của bạn. 
  2. Các báo cáo quá mơ hồ hoặc không rõ ràng không đủ điều kiện nhận phần thưởng. 
  3. Các báo cáo bao gồm giải thích rõ ràng bằng văn bản và mã làm việc có nhiều khả năng thu được phần thưởng.
  4. Đính kèm bằng chứng chi tiết về khái niệm (POC) trong khi báo cáo lỗ hổng cho Vtiger.

Mức độ nghiêm trọng

Lỗi nghiêm trọng hơn sẽ được đáp ứng với phần thưởng lớn hơn. Chúng tôi quan tâm nhất đến các lỗ hổng với * .od1.vtiger.com và * .od2.vtiger.com. Các tên miền phụ khác của vtiger thường không đủ điều kiện nhận phần thưởng trừ khi lỗ hổng được báo cáo bằng cách nào đó ảnh hưởng đến dữ liệu khách hàng * .od1.vtiger.com hoặc Vtiger.

Khu vực tập trung

  • Lỗi xác thực hoặc ủy quyền
  • Lỗi thực thi mã phía máy chủ
  • Tiếp xúc dữ liệu nhạy cảm
  • Giả mạo yêu cầu chéo trang web (CSRF)
  • Đặc biệt lỗ hổng thông minh hoặc các vấn đề độc đáo không thuộc các loại rõ ràng

Danh sách loại trừ từ tiền thưởng

  • Thông báo lỗi mô tả (ví dụ: Dấu vết ngăn xếp, lỗi ứng dụng hoặc máy chủ).
  • Mã / trang HTTP 404 hoặc mã HTTP không phải 200 mã / trang khác.
  • Vân tay / tiết lộ banner trên các dịch vụ chung / công cộng.
  • Tiết lộ các tệp hoặc thư mục công cộng đã biết, (ví dụ: robot.txt).
  • Clickjacking và các vấn đề chỉ có thể khai thác thông qua clickjacking, trừ khi đi kèm với một kịch bản tấn công trong thế giới thực và tác động có ý nghĩa.
  • CSRF trên các biểu mẫu có sẵn cho người dùng ẩn danh (ví dụ: biểu mẫu liên hệ), trừ khi đi kèm với kịch bản tấn công trong thế giới thực và tác động có ý nghĩa.
  • Đăng xuất Cross-Site Yêu cầu giả mạo.
  • Nhận được khối lượng quá mức của email đã gửi (ví dụ, ngập thư).
  • Sự hiện diện của ứng dụng hoặc chức năng trình duyệt web 'tự động hoàn thành' hoặc 'lưu mật khẩu'.
  • Đảo ngược tabnabbing
  • Thiếu cờ Secure / HTTPOnly trên Cookies không nhạy cảm
  • Yếu Captcha / Captcha Bypass
  • Đăng nhập hoặc Quên mật khẩu trang vũ lực và khóa tài khoản không được thi hành.
  • TÙY CHỌN Phương thức HTTP được bật
  • Tin nhắn nội dung hỗn hợp HTTPS
  • Tên người dùng / liệt kê email
  • Thiếu tiêu đề bảo mật HTTP
  • Các vấn đề SSL
  • Các trang lỗi mô tả tác động thấp và tiết lộ thông tin mà không có bất kỳ thông tin nhạy cảm nào
  • Bản ghi SPF / DMARC không hợp lệ hoặc bị thiếu
  • Kỹ thuật xã hội
  • Các lỗ hổng từ chối dịch vụ (DOS)
  • Vấn đề giới hạn tỷ lệ
  • Gửi thư rác
  • Chuyển hướng mở - trừ khi chúng có thể được sử dụng để chủ động đánh cắp mã thông báo
  • Mối quan tâm về thực tiễn tốt nhất mà không có sự chứng minh về khả năng khai thác thực tế
  • Các báo cáo cho biết phần mềm đã lỗi thời hoặc dễ bị tấn công mà không có bằng chứng về khái niệm
  • Chèn HTML
  • XSS được phản ánh, XSS dựa trên DOM và XSS tự

Thưởng

  • Chỉ có 1 tiền thưởng sẽ được trao cho mỗi lỗ hổng.
  • Nếu chúng tôi nhận được nhiều báo cáo cho cùng một lỗ hổng, chỉ người đưa ra báo cáo rõ ràng đầu tiên mới nhận được phần thưởng.
  • Chúng tôi duy trì tính linh hoạt với hệ thống phần thưởng của mình và không có số tiền tối thiểu / tối đa; phần thưởng được dựa trên mức độ nghiêm trọng, tác động và chất lượng báo cáo. Đây là một chương trình tùy ý và Vtiger có quyền hủy bỏ chương trình; quyết định có trả phần thưởng hay không là tùy theo quyết định của chúng tôi.

Tên miền / Sản phẩm trong phạm vi

  • * .od1.vtiger.com
  • * .od2.vtiger.com
  • Sản phẩm đám mây Vtiger

Tên miền / Sản phẩm được loại trừ khỏi tiền thưởng

  • vtiger.com
  • blog.vtiger.com
  • mã.vtiger.com
  • thảo luận.vtiger.com
  • demo.vtiger.com
  • Vtiger OpenSource (Tất cả các phiên bản)

Liên hệ

Xin vui lòng gửi email cho chúng tôi tại [email được bảo vệ] với bất kỳ báo cáo hoặc câu hỏi về lỗ hổng bảo mật nào về chương trình.