Programma di Segnalazione delle Vulnerabilità di Jotform

Garantire la privacy e la sicurezza dei dati dei nostri utenti è una priorità assoluta per Jotform. Pertanto, se pensi di aver individuato una vulnerabilità di sicurezza che riguarda uno dei prodotti Jotform, ti invitiamo a segnalarla nel rispetto delle linee guida di seguito riportate. Apprezziamo l'impatto positivo del tuo lavoro e ti ringraziamo anticipatamente per il contributo.

Continua a leggere per ulteriori informazioni sul nostro programma VDP e sui requisiti del programma.

Vedi Regole

Risposta

Jotform non fornisce alcun obiettivo di risposta per questo programma.

Politica di Divulgazione

  • Informaci quando scopri un problema di sicurezza reale o potenziale.
  • Invia una precisa descrizione della vulnerabilità sotto forma di testo, insieme ai passaggi necessari per riprodurla.
  • Per rendere il rapporto sulla vulnerabilità comprensibile, puoi includere allegati come video, screenshot o codice di prova, se necessario.
  • Evita di causare più danni che benefici. Non lasciare i sistemi o gli utenti in uno stato più vulnerabile rispetto a quello di partenza. Non intraprendere attività di testing o operazioni correlate che possano compromettere, danneggiare o distruggere le informazioni all'interno dei nostri sistemi o che possano avere un impatto sui nostri utenti. Se durante la ricerca di una vulnerabilità hai dei dubbi sul da farsi, ti preghiamo di contattare immediatamente il team di sicurezza di Jotform.

Ambito

Sistemi informativi accessibili al pubblico, proprietà web o dati posseduti, gestiti o controllati da Jotform.

Vulnerabilità non Qualificanti

  • Tab-nabbing.
  • Click-jacking/ripristino dell'interfaccia utente o problemi sfruttabili solo tramite click-jacking.
  • Reindirizzamento aperto - a meno che non sia possibile dimostrare un ulteriore impatto sulla sicurezza (come il furto di un token di autenticazione, chiavi API ecc.).
  • Attacchi Negazione del Servizio.
  • Self-XSS senza uno scenario di attacco ragionevole.
  • Iniezione di HTML alle e-mail che verranno inviate tramite Jotform.
  • Impronte digitali sui servizi comuni/pubblici.
  • Divulgazione di file o directory pubblici noti (ad es. robots.txt, sitemap.xml).
  • Divulgazione delle informazioni senza impatti significativi.
  • Versione SSL/TLS e problemi di configurazione, crittografie deboli o certificati scaduti.
  • Cross-site Request Forgery (CSRF) con implicazioni di sicurezza minime (ad es. Login/Logout CSRF).
  • Problemi relativi a SPF/DKIM/DMARC.
  • Intestazioni di sicurezza mancanti o configurate in modo errato (ad es. CSP, HSTS) che non portano direttamente a una vulnerabilità.
  • Contrassegni Secure o HTTPOnly mancanti sui cookie.
  • Report da strumenti automatizzati.
  • Rapporti da strumenti automatizzati.
  • Iniezione di valori separati da virgola (CSV).
  • I metadati EXIF non vengono rimossi dalle immagini.
  • Attacchi di forza bruta.
  • Scenari che richiedono un'improbabile interazione dell'utente e/o una versione del software o del sistema operativo obsoleta.
  • Attacchi che richiedono Man-in-the-middle (MITM) o l'accesso fisico al dispositivo di un utente.
  • Bug che non rappresentano alcun rischio per la sicurezza.

Le Nostre Priorità Includono

  • Esposizione di Dati Sensibili
  • Esecuzione Remota del Codice (RCE)
  • Falsificazione delle Richieste lato Server (SSRF)
  • Scripting tra siti (XSS)
  • Falsificazione di richieste tra siti (CSRF)
  • SQL Injection
  • Attacchi a entità esterne XML (XXE)
  • Vulnerabilità del controllo di accesso (riferimento non sicuro a oggetti diretti, escalation dei privilegi, accesso interrotto, ecc.)
  • Problemi di Attraversamento di percorsi/directory

Norme del Programma

  • Non utilizzare mai alcun risultato per compromettere il sistema, estrarre dati o passare ad altri sistemi. Invia il tuo rapporto non appena hai scoperto una vulnerabilità.
  • Se durante la valutazione ti imbatti in informazioni sensibili, quali dati anagrafici, credenziali, ecc.; non salvare, copiare, archiviare, trasferire, divulgare o altrimenti conservare i dati o le informazioni personali.
  • Non eseguire attacchi di social engineering, phishing e sicurezza fisica contro uffici, utenti o dipendenti Jotform.
  • È severamente vietato rivelare eventuali vulnerabilità senza il permesso esplicito di Jotform.
  • Sii rispettoso quando interagisci con il nostro team.

Nel caso in cui non rispetti le regole, potresti essere escluso dal Programma di Segnalazione delle Vulnerabilità di Jotform.

Jotform si riserva il diritto di modificare le regole di questo programma o considerare invalide le segnalazioni in qualsiasi momento. Non è prevista alcuna ricompensa monetaria associata al Programma di Segnalazione delle Vulnerabilità. Jotform può interrompere il Programma di Segnalazione delle Vulnerabilità senza preavviso in qualsiasi momento.

Divulgazione

Si prega di notare che non è previsto alcun SLA associato al programma di divulgazione delle vulnerabilità e le risposte ai vostri rapporti sono a discrezione esclusiva di Jotform. Indipendentemente dal fatto che riceviate una risposta o meno, questo programma non permette la divulgazione da parte vostra a qualsiasi altra parte. Non è consentito divulgare pubblicamente informazioni sulle vulnerabilità trovate in questo programma, né condividere le vostre scoperte con altri ricercatori di sicurezza.

Porto Sicuro

Qualsiasi attività svolta in modo coerente con questa politica sarà considerata condotta autorizzata. Se un'azione legale viene avviata da una terza parte contro di te in relazione ad attività condotte in base a questa politica, adotteremo misure per rendere noto che le tue azioni sono state condotte in conformità con questa politica.

Grazie per aver contribuito a mantenere Jotform e i nostri utenti al sicuro!