錯誤賞金計劃

負責任的披露

用戶數據的安全對Vtiger來說至關重要。 為了追求我們服務的最佳安全性,我們歡迎負責任地披露您在 Vtiger 中發現的任何漏洞。 負責任的披露原則包括但不限於:

  • 僅訪問或公開您自己的客戶數據。
  • 避免可能導致其他客戶服務質量下降的掃描技術(例如通過站點超載)。
  • 遵守我們的服務條款的準則。
  • 對漏洞詳細信息保密,直到 Vtiger 收到通知並有合理的時間來修復漏洞。
  • 為了有資格獲得獎金,您提交的內容必須被 Vtiger 接受為有效。 我們使用以下準則來確定請求的有效性和所提供的獎勵補償。

重現性

  1. 我們的工程師必須能夠從您的報告中重現安全缺陷。 
  2. 過於模糊或不清楚的報告沒有資格獲得獎勵。 
  3. 包含清晰書面解釋和工作代碼的報告更有可能獲得獎勵。
  4. 在向 Vtiger 報告漏洞時附上詳細的概念證明 (POC)。

嚴重性

更嚴重的錯誤將獲得更大的獎勵。 我們對 *.od1.vtiger.com 和 *.od2.vtiger.com 的漏洞最感興趣。 vtiger 的其他子域通常沒有資格獲得獎勵,除非報告的漏洞以某種方式影響 *.od1.vtiger.com 或 Vtiger 客戶數據。

重點領域

  • 認證或授權缺陷
  • 服務器端代碼執行錯誤
  • 敏感數據公開
  • 跨站點偽造請求(CSRF)
  • 特別聰明的漏洞或不屬於明確類別的獨特問題

從賞金中排除的名單

  • 描述性錯誤消息(例如堆棧跟踪、應用程序或服務器錯誤)。
  • HTTP 404 代碼/頁面或其他 HTTP 非 200 代碼/頁面。
  • 共同/公共服務的指紋識別/橫幅披露。
  • 已知公共文件或目錄的披露(例如,robots.txt)。
  • 點擊劫持和問題只能通過點擊劫持來利用,除非伴隨著真實的攻擊場景和有意義的影響。
  • 匿名用戶可用的表單(例如聯繫表單)上的 CSRF,除非伴隨著現實世界的攻擊場景和有意義的影響。
  • 註銷跨站點請求偽造。
  • 發現發送的電子郵件量過多(例如,郵件氾濫)。
  • 存在應用程序或網絡瀏覽器“自動完成”或“保存密碼”功能。
  • 反向tab
  • 非敏感 Cookie 上缺少 Secure/HTTPOnly 標誌
  • 弱驗證碼/驗證碼旁路
  • 登錄或忘記密碼頁面不強制執行暴力破解和帳戶鎖定。
  • 選項啟用HTTP方法
  • HTTPS混合內容消息
  • 用戶名/電子郵件枚舉
  • 缺少HTTP安全標頭
  • SSL問題
  • 低影響的描述性錯誤頁面和信息披露,沒有任何敏感信息
  • 無效或缺少SPF / DMARC記錄
  • 社會工程
  • 拒絕服務漏洞 (DOS)
  • 速率限制問題
  • 垃圾郵件
  • 開放重定向 - 除非它們可用於主動竊取令牌
  • 最佳實踐關注但沒有實際可利用性的證明
  • 報告指出軟件已過時或在沒有概念證明的情況下容易受到攻擊
  • HTML注入
  • 反射型 XSS、基於 DOM 的 XSS 和自身 XSS

獎勵計劃

  • 每個漏洞僅獎勵1個賞金。
  • 如果我們收到針對同一漏洞的多個報告,則只有第一個提供明確報告的人才會獲得獎勵。
  • 我們的獎勵制度保持靈活性,並且沒有最低/最高金額; 獎勵基於嚴重性、影響和報告質量。 這是一個酌情計劃,Vtiger 保留取消該計劃的權利; 是否支付獎勵由我們自行決定。

範圍內的域/產品

  • * .od1.vtiger.com
  • * .od2.vtiger.com
  • Vtiger雲產品

懸賞中排除的域/產品

  • vtiger.com
  • 博客.vtiger.com
  • 代碼.vtiger.com
  • discussions.vtiger.com
  • 演示.vtiger.com
  • Vtiger OpenSource(所有版本)

聯絡我們

請給我們發電子郵件 [電子郵件保護] 任何漏洞報告或有關該程序的問題。