Programme de divulgation des vulnérabilités (VDP) Jotform

Garantir la confidentialité et la sécurité de nos données utilisateur est une priorité absolue pour Jotform. Par conséquent, si vous pensez avoir découvert une faille de sécurité affectant un produit Jotform, veuillez la signaler conformément aux directives ci-dessous. Nous apprécions l’impact positif de votre travail et vous remercions par avance pour votre contribution.

Continuez votre lecture pour obtenir plus d'informations sur notre VDP ainsi que sur les exigences du programme.

Voir les règles

Réponse

Jotform ne fournit aucun objectif de réponse pour ce programme.

Politique de divulgation

  • Informez-nous après avoir découvert un problème de sécurité réel ou potentiel.
  • Envoyez une description textuelle claire de la vulnérabilité, et expliquez comment reproduire la vulnérabilité.
  • Pour que le rapport de vulnérabilité soit compréhensible, vous pouvez inclure des pièces jointes telles que des vidéos, des captures d'écran ou du code, si nécessaire.
  • Ne faites pas plus de mal que de bien. Vous ne devez pas laisser les systèmes ou les utilisateurs dans un état plus vulnérable que celui dans lequel vous les avez trouvés. Vous ne devez pas vous engager dans des tests ou des activités connexes qui dégradent, endommagent ou détruisent les informations contenues dans nos systèmes, ou qui peuvent avoir un impact sur nos utilisateurs. Lorsque vous explorez une vulnérabilité, si vous ne savez pas si vous devez continuer, veuillez immédiatement contacter l'équipe sécurité de Jotform.

Portée

Systèmes d'information, propriété web ou données accessibles au public détenus, exploités ou contrôlés par Jotform.

Vulnérabilités non éligibles

  • Tab-nabbing.
  • Click-jacking/UI-redressing, ou problèmes exploitables uniquement via le click-jacking.
  • Redirection ouverte - à moins qu'un impact supplémentaire sur la sécurité puisse être démontré (comme le vol d'un jeton d'authentification, de clés API, etc.).
  • Attaques par déni de service.
  • Auto-XSS sans scénario d'attaque raisonnable.
  • Injecter du HTML dans les emails qui seront envoyés via Jotform.
  • Empreintes digitales sur les services communs/publics.
  • Divulgation de fichiers ou de répertoires publics connus (par exemple, robots.txt, sitemap.xml).
  • Divulgation d'informations sans impact significatif.
  • Problèmes de version et de configuration SSL/TLS, chiffrements faibles ou certificats expirés.
  • Cross-site Request Forgery (CSRF) avec des implications de sécurité minimales (par exemple, connexion/déconnexion CSRF).
  • Problèmes en lien avec SPF/DKIM/DMARC.
  • En-têtes de sécurité manquants ou mal configurés (par exemple, CSP, HSTS) qui ne conduisent pas directement à une vulnérabilité.
  • Indicateurs Secure ou HTTPOnly manquants sur les cookies.
  • Divulgation de version de logiciel vulnérable sans preuve d'exploitabilité.
  • Rapports issus d'outils automatisés.
  • Injection de valeurs séparées par des virgules (CSV).
  • Les métadonnées EXIF ne sont pas supprimées des images.
  • Attaques par force brute.
  • Scénarii nécessitant une interaction peu probable de l'utilisateur et/ou une version obsolète du système d'exploitation ou du logiciel.
  • Attaques nécessitant un MITM ou un accès physique à l'appareil d'un utilisateur.
  • Bugs qui ne présentent aucun risque pour la sécurité.

Nos priorités incluent

  • Exposition de données sensibles
  • Exécution de code à distance (RCE)
  • Contrefaçon de requête côté serveur (SSRF)
  • Script intersite (XSS)
  • Contrefaçon de requête intersite (CSRF)
  • Injection SQL
  • Attaques d'entités externes XML (XXE)
  • Vulnérabilités de contrôle d'accès (référence d'objet directe non sécurisée, escalade de privilèges, accès interrompu, etc.)
  • Problèmes de traversée de chemin/répertoire

Règles du programme

  • N’utilisez jamais vos découvertes pour compromettre le système, exfiltrer des données ou basculer vers d’autres systèmes. Soumettez votre rapport dès que vous avez découvert une vulnérabilité.
  • Si vous tombez sur des informations sensibles, telles que des informations personnelles, des informations d'identification, etc., lors de l'évaluation ; veuillez ne pas enregistrer, copier, stocker, transférer, divulguer ou autrement conserver les données ou informations personnelles.
  • N'effectuez pas d'attaques d'ingénierie sociale, de phishing et de sécurité physique contre les bureaux, les utilisateurs ou les employés de Jotform.
  • Il est strictement interdit de divulguer des vulnérabilités sans l'autorisation explicite de Jotform.
  • Soyez respectueux lorsque vous interagissez avec notre équipe.

Si vous ne respectez pas les règles, vous pourriez être banni du programme de divulgation des vulnérabilités de Jotform.

Jotform se réserve le droit de modifier les règles de ce programme ou de considérer toute soumission invalide à tout moment. Aucune récompense monétaire n'est associée au programme de divulgation des vulnérabilités. Jotform peut interrompre le programme de divulgation des vulnérabilités sans préavis, à tout moment.

Divulgation

Veuillez noter qu'il n'y a aucun SLA associé au programme de divulgation de vulnérabilités et les réponses à vos rapports sont à la seule discrétion de Jotform. Que vous ayez ou non une réponse de notre part, ce programme ne permet pas de divulguer vos informations à des tiers. Vous ne pouvez pas divulguer publiquement des informations sur les vulnérabilités trouvées dans ce programme, ni partager vos découvertes avec d'autres personnes effectuant des recherches de failles de sécurités.

Safe Harbor

Toute activité menée conformément à cette politique sera considérée comme une conduite autorisée. Si une action en justice est intentée par un tiers contre vous dans le cadre d'activités menées dans le cadre de cette politique, nous prendrons des mesures pour faire savoir que vos actions ont été menées conformément à cette politique.

Merci de contribuer à la sécurité de Jotform et de nos utilisateurs !