Jotform Vulnerability Disclosure Program

Der Schutz und die Sicherheit der Daten unserer Benutzer hat für Jotform höchste Priorität. Wenn Sie glauben, eine Sicherheitslücke in einem Jotform Produkt gefunden zu haben, melden Sie diese bitte gemäß den unten stehenden Richtlinien. Wir freuen uns über Ihren Beitrag und danken Ihnen im Voraus für Ihre Unterstützung.

Lesen Sie weiter, um mehr über unser VDP-Programm und die Anforderungen des Programms zu erfahren.

Regeln ansehen

Response

Jotform bietet kein Response Target für dieses Programm.

Disclosure Policy

  • Informieren Sie uns, wenn Sie ein tatsächliches oder potenzielles Sicherheitsproblem entdecken.
  • Senden Sie eine klare Beschreibung der Sicherheitslücke zusammen mit Schritten zur Reproduktion der Sicherheitslücke.
  • Damit der Risikobericht verständlich ist, können Sie bei Bedarf Anhänge wie Videos, Screenshots oder Proof-of-Concept-Code hinzufügen.
  • Verursachen Sie nicht mehr Schaden als Nutzen. Hinterlassen Sie die Systeme oder Benutzer nicht in einem anfälligeren Zustand, als Sie sie vorgefunden haben. Sie sollten sich nicht an Tests oder damit verbundenen Aktivitäten beteiligen, die Informationen in unseren Systemen beeinträchtigen, beschädigen oder zerstören oder unsere Benutzer beeinträchtigen könnten. Wenn Sie bei der Untersuchung einer Schwachstelle nicht sicher sind, ob Sie fortfahren sollen, wenden Sie sich bitte sofort an die \nJotform Sicherheitsteam.

Scope

Öffentlich zugängliche Informationssysteme, Web-Eigentum oder Daten, die Jotform gehören, von ihr betrieben oder kontrolliert werden.

Nicht-qualifizierende Sicherheitslücken

  • Tab-nabbing.
  • Click-jacking/UI-redressing oder Probleme, die nur durch Click-Jacking ausgenutzt werden können.
  • Open redirect - wenn kein zusätzlicher Sicherheitsaspekt demonstriert werden kann (wie das Stehlen eines Authentifizierungs-Tokens, API Schlüssels etc.).
  • Denial-of-service Attacken.
  • Self-XSS ohne nachvollziehbares Angriffsszenario.
  • Einfügen von HTML in die E-Mails, die über Jotform verschickt werden.
  • Fingerprinting bei allgemeinen/öffentlichen Diensten.
  • Disclosure von bekannten öffentlichen Daten oder Directories (z.B. robots.txt, sitemap.xml).
  • Offenlegung von Informationen ohne nennenswerte Auswirkungen.
  • SSL/TLS Versions- und Konfigurations-Probleme, schwache Verschlüsselungen oder abgelaufenen Zertifikate.
  • Cross-site Request Forgery (CSRF) mit minimalen Sicherheitsauswirkungen (z. B. Login/Logout CSRF)
  • Auf SPF/DKIM/DMARC bezogene Probleme.
  • Fehlende oder falsch konfigurierte Sicherheits-Header (z. B. CSP, HSTS), welche nicht direkt zu einer Sicherheitslücke führen.
  • Fehlende Secure oder HTTPOnly Flags auf Cookies.
  • Offenlegung verwundbarer Softwareversionen ohne Nachweis der Ausnutzbarkeit.
  • Berichte von automatisierten Werkzeuge.
  • Comma Separated Values (CSV) Injektion.
  • EXIF-Metadaten werden nicht aus den Bildern entfernt.
  • Brute-Force-Angriff
  • Szenarien, die eine unwahrscheinliche Benutzerinteraktion und/oder eine veraltete Betriebssystem- oder Softwareversion erfordern.
  • Attacken, die einen Man-in-the-Middle (MITM) oder physischen Zugriff auf ein Gerät eines Nutzers benötigen.
  • Bugs, die kein Sicherheitsrisiko darstellen.

Unsere Prioritäten sind

  • Exposition sensibler Daten
  • Remote Code Execution (RCE)
  • Server-Side Request Forgery (SSRF)
  • Cross-site Scripting (XSS)
  • Cross-site Request Forgery (CSRF)
  • SQL Injektion
  • XML External Entity Attacken (XXE)
  • Sicherheitslücken in der Zugriffskontrolle (unsicherer direkter Objektverweis, Privilegienausweitung, Broken Access usw.)
  • Path- oder Directory Traversal-Probleme

Regeln des Programms

  • Verwenden Sie Ihre Erkenntnisse niemals, um das System zu kompromittieren, Daten zu exfiltrieren oder auf andere Systeme zu übertragen. Reichen Sie Ihre Meldung ein, sobald Sie eine Sicherheitslücke entdeckt haben.
  • Wenn Sie während der Prüfung auf sensible Informationen wie personenbezogene Daten, Berechtigungsnachweise usw. stoßen, dürfen Sie diese nicht speichern, kopieren, aufbewahren, übertragen, offenlegen oder anderweitig aufbewahren.
  • Führen Sie keine Social Engineering, Phishing und physische Sicherheits-Attacken gegen Jotform Büros, Nutzer oder Mitarbeiter durch.
  • Es ist strengstens untersagt, Sicherheitslücken ohne die ausdrückliche Genehmigung von Jotform offenzulegen.
  • Zeigen Sie Respekt, wenn Sie mit unserem Team interagieren.

Wenn Sie die Regeln nicht befolgen, können Sie vom Jotform Vulnerability Disclosure Program ausgeschlossen werden.

Jotform behält sich das Recht vor, die Regeln für dieses Programm zu ändern oder Meldungen jederzeit für ungültig zu erklären. Mit dem Vulnerability Disclosure Program ist keine finanzielle Belohnung verbunden. Jotform kann das Vulnerability Disclosure Program jederzeit ohne Vorankündigung einstellen.

Disclosure/Offenlegung

Bitte beachten Sie, dass mit dem Vulnerability Disclosure Program kein SLA verbunden ist und die Antworten auf Ihre Meldungen im alleinigen Ermessen von Jotform liegen. Unabhängig davon, ob Sie von uns eine Antwort erhalten oder nicht, erlaubt dieses Programm keine Disclosure durch Sie an eine andere Partei. Sie dürfen Informationen über Schwachstellen, die Sie im Rahmen dieses Programms gefunden haben, nicht öffentlich bekannt geben und Ihre Erkenntnisse nicht an andere Entwickler weitergeben.

Safe Harbour

Alle Aktivitäten, die in Übereinstimmung mit dieser Richtlinie durchgeführt werden, gelten als genehmigtes Verhalten. Sollte eine dritte Partei im Zusammenhang mit Aktivitäten, die im Rahmen dieser Richtlinie durchgeführt wurden, rechtliche Schritte gegen Sie einleiten, werden wir Maßnahmen ergreifen, um bekannt zu machen, dass Ihre Handlungen im Einklang mit dieser Richtlinie durchgeführt wurden.

Danke, dass Sie mithelfen, Jotform und unsere Nutzer sicher zu halten!