错误赏金计划

负责任的披露

用户数据的安全性对Vtiger至关重要。 为了追求我们服务的最佳安全性,我们欢迎对您在Vtiger中发现的任何漏洞进行负责任的披露。 负责任的公开原则包括但不限于:

  • 仅访问或公开您自己的客户数据。
  • 避免使用可能导致对其他客户的服务质量下降的扫描技术(例如,使站点超载)。
  • 遵守我们的服务条款的准则。
  • 对漏洞的详细信息保密,直到已通知Vtiger并有合理的时间来修复该漏洞。
  • 为了有资格获得赏金,Vtiger必须接受您提交的内容为有效。 我们使用以下准则来确定请求的有效性和所提供的奖励补偿。

再生性

  1. 我们的工程师必须能够从您的报告中重现安全漏洞。 
  2. 过于含糊或不清楚的报告不符合奖励条件。 
  3. 包含清晰书面解释和工作守则的报告更有可能获得回报。
  4. 向Vtiger报告漏洞时,请附上详细的概念证明(POC)。

严重性

更严重的错误将获得更大的回报。 我们对* .od1.vtiger.com和* .od2.vtiger.com的漏洞最感兴趣。 除非报告的漏洞以某种方式影响* .od1.vtiger.com或Vtiger客户数据,否则vtiger的其他子域通常不符合奖励条件。

重点领域

  • 认证或授权缺陷
  • 服务器端代码执行错误
  • 敏感数据公开
  • 跨站请求伪造(CSRF)
  • 特别聪明的漏洞或不属于明确类别的独特问题

从赏金中排除的名单

  • 描述性错误消息(例如,堆栈跟踪,应用程序或服务器错误)。
  • HTTP 404代码/页面或其他HTTP非200代码/页面。
  • 通用/公共服务上的指纹/标语披露。
  • 公开已知的公共文件或目录(例如,robots.txt)。
  • 点击劫持和问题只能通过点击劫持来利用,除非伴随着真实的攻击场景和有意义的影响。
  • 匿名用户可用的表单上的CSRF(例如,联系表单),除非伴随着真实的攻击场景和有意义的影响。
  • 注销跨站点请求伪造。
  • 感知到过多的已发送电子邮件(例如,邮件泛洪)。
  • 应用程序或Web浏览器具有“自动完成”或“保存密码”功能。
  • 反向tab
  • 非敏感Cookie上缺少安全/ HTTPOnly标志
  • 弱验证码/验证码旁路
  • “登录”或“忘记密码”页面没有强制执行并且没有帐户锁定。
  • 选项启用HTTP方法
  • HTTPS混合内容消息
  • 用户名/电子邮件枚举
  • 缺少HTTP安全标头
  • SSL问题
  • 低影响的描述性错误页面和信息披露,没有任何敏感信息
  • 无效或缺少SPF / DMARC记录
  • 社会工程学
  • 拒绝服务漏洞 (DOS)
  • 速率限制问题
  • 垃圾邮件
  • 开放重定向 - 除非它们可用于主动窃取令牌
  • 最佳实践关注没有实际可利用性的证明
  • 报告指出软件已过时或易受攻击而没有概念证明
  • HTML注入
  • 反射型 XSS、基于 DOM 的 XSS 和自身 XSS

奖励

  • 每个漏洞仅奖励1个赏金。
  • 如果我们收到同一漏洞的多个报告,则只有提供第一个清晰报告的人员才能获得奖励。
  • 我们维持奖励制度的灵活性,没有最低/最高金额; 奖励基于严重性,影响和报告质量。 这是一个全权委托程序,Vtiger保留取消该程序的权利; 是否支付奖励的决定由我们自行决定。

范围内的域/产品

  • * .od1.vtiger.com
  • * .od2.vtiger.com
  • Vtiger云产品

悬赏中排除的域/产品

  • vtiger.com
  • 博客.vtiger.com
  • 代码.vtiger.com
  • discussions.vtiger.com
  • 演示.vtiger.com
  • Vtiger OpenSource(所有版本)

联系我们

请发邮件给我们 [电子邮件保护] 有关该程序的任何漏洞报告或问题。