Програма за разкриване на уязвимости на Jotform

Гарантирането на поверителността и сигурността на нашите потребителски данни е основен приоритет за Jotform. Следователно, ако смятате, че сте открили уязвимост в сигурността, която засяга който и да е продукт на Jotform, моля докладвайте за това в съответствие с указанията по-долу. Оценяваме положителното въздействие на вашата работа и ви благодарим предварително за вашия принос.

Прочетете за повече информация относно нашата програма за уязвимости, както и изискванията на програмата.

Вижте Правилата

Отговор

Jotform не предоставя никаква цел за отговорите за тази програма.

Политика за разкриване на информация

  • Уведомете ни, след като откриете реален или потенциален проблем със сигурността.
  • Изпратете ясно текстово описание на уязвимостта заедно със стъпки за възпроизвеждане на уязвимостта.
  • За да бъде отчета за уязвимостта да бъде разбираем, вие можете да включите прикачени файлове като видео, скрийншоти или код за доказателство на концепцията, ако е необходимо.
  • Не причинявайте повече вреда, отколкото полза. Не трябва да оставяте системи или потребители в по-уязвимо състояние от това, в което сте ги намерили. Вие не трябва да участвате в тестване или свързани дейности, които влошават, повреждат или унищожават информация в нашите системи или които могат да повлияят на нашите потребители. Докато проучвате уязвимост, ако не сте сигурни дали трябва да продължите, моля незабавно се консултирайте с екипа за сигурност на Jotform.

Обхват

Публично достъпни информационни системи, уеб собственост или данни, които са притежавани, управлявани или контролирани от Jotform.

Неквалифицирани уязвимости

  • Хващане на раздели.
  • Клик-джакинг/поправяне на потребителския интерфейс или проблеми, които могат да се експлоатират само чрез клик-джакинг.
  • Отворено пренасочване - освен ако не може да бъде демонстрирано допълнително въздействие върху сигурността (като кражба на идентификационен маркер, API ключове и т.н.).
  • Атаки за отказ от услуга.
  • Self-XSS без смислен сценарий за атака.
  • Инжектиране на HTML към имейлите, които ще бъдат изпратени чрез Jotform.
  • Пръстови отпечатъци за обичайни/обществени услуги.
  • Разкриване на известни публични файлове или директории (напр. robots.txt, sitemap.xml).
  • Разкриване на информация без значително въздействие.
  • Проблеми с версията и конфигурацията на SSL/TLS, слаби шифри или изтекли сертификати.
  • Фалшифициране на междусайтови заявки (CSRF) с минимални последици за сигурността (напр. CSRF за влизане/излизане).
  • Проблеми, които са свързани със SPF/DKIM/DMARC.
  • Липсващи или неправилно конфигурирани заглавия за защита (напр. CSP, HSTS), които не водят директно до уязвимост.
  • Липсващи флагове Secure или HTTPOnly в бисквитките.
  • Разкриване на уязвима версия на софтуера без доказателство за експлоатируемост.
  • Отчети от автоматизирани инструменти.
  • Инжектиране на стойности, които са разделени със запетая (CSV).
  • EXIF метаданните не се премахват от изображенията.
  • Атаки с груба сила.
  • Сценарии, които изискват малко вероятно взаимодействие с потребителя и/или остаряла версия на ОС или софтуер.
  • Атаки изискващи човек в средата (MITM) или физически достъп до устройството на потребителя.
  • Грешки, които не представляват риск за сигурността.

Нашите приоритети включват

  • Излагане на чувствителни данни
  • Отдалечено изпълнение на код (RCE)
  • Фалшифициране на заявка от страна на сървъра (SSRF)
  • Междусайтови скриптове (XSS)
  • Фалшифициране на междусайтови заявки (CSRF)
  • SQL инжектиране
  • XML атаки на външни обекти (XXE)
  • Уязвимости в контрола на достъпа (несигурна директна препратка към обект, ескалация на привилегиите, нарушен достъп и т.н.)
  • Проблеми с преминаването на пътя/директорията

Правила на програмата

  • Никога не използвайте открития за компрометиране на системата, ексфилтриране на данни или насочване към други системи. Изпратете вашия доклад веднага след като откриете уязвимост.
  • Ако по време на оценяването попаднете на чувствителна информация, като лична информация, идентификационни данни и други.; не запазвайте, копирайте, съхранявайте, не прехвърляйте, разкривайте или по друг начин не запазвайте данните или личната информация.
  • Не извършвайте атаки за социално инженерство, фишинг и физическа сигурност срещу офиси, потребители или служители на Jotform.
  • Строго е забранено разкриването на всякакви уязвимости без изричното разрешение на Jotform.
  • Бъдете уважителни, когато общувате с нашия екип.

Ако не спазвате правилата, вие може да бъдете изключени от програмата за разкриване на уязвимости на Jotform.

Jotform си запазва правото да променя правилата за тази програма или да счита всеки подаден формуляр за невалиден по всяко време. Няма парична награда, която е свързана с програмата за разкриване на уязвимости. Jotform може да прекрати програмата за разкриване на уязвимости без предупреждение по всяко време.

Разкриване

Моля имайте предвид, че няма SLA, който е свързан с програмата за разкриване на уязвимости и отговорите на вашите доклади са по усмотрение на Jotform. Независимо дали ще се свържем с вас или не, тази програма не позволява разкриване от вас на която и да е друга страна. Нямате право да разкривате публично информация за уязвимостите, които са открити в тази програма, нито да споделяте вашите открития с други изследователи по сигурността.

Безопасна зона

Всяка дейност, извършена по начин, съответстващ на тази политика, ще се счита за разрешено поведение. Ако срещу вас бъде инициирано съдебно действие от трета страна във връзка с дейности, извършвани съгласно тази политика, ние ще предприемем стъпки, за да уведомим, че вашите действия са извършени в съответствие с тази политика.

Благодарим ви, че помогнахте да запазим Jotform и нашите потребители в безопасност!