Jotform Güvenlik Açığı Bildirim Programı

Kullanıcı verilerimizin gizliliğini ve güvenliğini sağlamak Jotform için en önemli önceliktir. Bu nedenle, herhangi bir Jotform ürününü etkileyen bir güvenlik açığı bulduğunuzu düşünüyorsanız, lütfen aşağıdaki yönergelere uygun olarak bildirin. Çalışmanızın olumlu etkisine değer veriyor ve katkınız için şimdiden teşekkür ediyoruz.

VDP programımız ve program gereklilikleri hakkında daha fazla bilgi için okumaya devam edin.

Kuralları Göz Atın

Yanıt

Jotform bu program için herhangi bir yanıt hedefi sağlamaz.

İfşa Politikası

  • Gerçek veya olası bir güvenlik sorunu keşfettiğinizde bizi bilgilendirin.
  • Güvenlik açığının net bir metin açıklamasını ve güvenlik açığını yeniden oluşturma adımlarını gönderin.
  • Güvenlik açığı raporunun anlaşılabilir olması için gerektiğinde video, ekran görüntüleri veya kavram kanıtı kodu gibi ekler ekleyebilirsiniz.
  • Bulduğunuzdan daha fazla zarar vermeyin. Sistemleri veya kullanıcıları bulduğunuzdan daha savunmasız bir durumda bırakmamalısınız. Sistemlerimizdeki bilgileri bozan, zarar veren veya yok eden ya da kullanıcılarımızı etkileyebilecek test veya benzeri faaliyetlerde bulunmamalısınız. Bir güvenlik açığını araştırırken devam edip etmemeniz konusunda emin değilseniz, lütfen hemen Jotform Güvenlik ekibi ile iletişime geçin.

Kapsam

Jotform tarafından sahip olunan, işletilen veya kontrol edilen halka açık bilgi sistemleri, web varlığı veya veriler.

Uygun Olmayan Güvenlik Açıkları

  • Tabnabbing saldırısı
  • Click-jacking/UI-redressing (tıklama hırsızlığı) veya yalnızca click-jacking (tıklama hırsızlığı) yoluyla yararlanılabilen sorunlar.
  • Açık yönlendirme - ek bir güvenlik etkisi gösterilmediği sürece (bir kimlik doğrulama belirtecinin, API anahtarlarının çalınması gibi).
  • Hizmeti engelleme saldırısı.
  • Makul bir saldırı senaryosu olmayan Self-XSS.
  • Jotform aracılığıyla gönderilecek e-postalara HTML eklemek.
  • Ortak/kamu hizmetlerinde parmak izi.
  • Bilinen genel dosya ya da dizinlerin ifşası (ör. robots.txt, sitemap.xml).
  • Önemli bir etkisi olmayan bilgi ifşası.
  • SSL/TLS sürümü ve yapılandırma sorunları, zayıf şifreler veya süresi dolmuş sertifikalar.
  • Minimum güvenlik etkileri olan Siteler Arası İstek Sahteciliği (CSRF) (ör. Oturum Açma/Çıkış CSRF)
  • SPF/DKIM/DMARC ile ilişkili konular.
  • Doğrudan bir güvenlik açığına yol açmayan eksik veya yanlış yapılandırılmış güvenlik başlıkları (ör. CSP, HSTS).
  • Çerezlerdeki eksik güvenli veya HTTPOnly bayrakları
  • Sömürülebilirlik kanıtı olmadan güvenlik açığı bulunan yazılım sürümünün ifşası.
  • Otomatikleştirilmiş araçlardan raporlar.
  • Virgülle Ayrılmış Değerler (CSV) enjeksiyonu.
  • Görüntülerden çıkarılamayan EXIF meta verileri
  • Kaba kuvvet saldırıları.
  • Olası olmayan kullanıcı etkileşimi ve/veya güncel olmayan işletim sistemi veya yazılım sürümü gerektiren senaryolar.
  • Ortadaki Adam (MITM) veya bir kullanıcının cihazına fiziksel erişim gerektiren saldırılar.
  • Herhangi bir güvenlik riski oluşturmayan hatalar.

Önceliklerimiz Arasında

  • Hassas Veri Maruziyeti
  • Uzaktan Komut Yürütme (RCE)
  • Sunucu Taraflı İstek Sahteciliği (SSRF)
  • Siteler Arası Betik Çalıştırma (XSS)
  • Siteler Arası İstek Sahtekarlığı (CSRF)
  • SQL Enjeksiyonu
  • XML Harici Varlık Saldırısı (XXE)
  • Erişim Denetimi Güvenlik Açıkları (Güvensiz Doğrudan Nesne Başvurusu, Ayrıcalık Yükseltmesi, Kesintili Erişim vb.)
  • Yol/Dizin Geçiş Sorunları

Program Kuralları

  • Bulduğunuz açıkları sisteme zarar vermek, veri sızdırmak veya diğer sistemlere sızmak için kullanmayın. Bir güvenlik açığı keşfettiğinizde raporunuzu hemen gönderin.
  • Değerlendirme sırasında kişisel bilgiler, kimlik bilgileri vb. gibi hassas bilgilere rastlarsanız; verileri veya kişisel bilgileri kaydetmeyin, kopyalamayın, saklamayın, transfer etmeyin, ifşa etmeyin veya başka bir şekilde saklamayın.
  • Jotform ofislerine, kullanıcılarına veya çalışanlarına karşı sosyal mühendislik, kimlik avı ve fiziksel güvenlik saldırılarında bulunmayın.
  • Jotform'un açık izni olmadan herhangi bir güvenlik açığının ifşa edilmesi kesinlikle yasaktır.
  • Takımımızla iletişime geçerken saygılı olun.

Kurallara uymazsanız, Jotform Güvenlik Açığı Bildirim Programı'ndan yasaklanabilirsiniz.

Jotform, bu program için kuralları değiştirme veya herhangi bir zamanda gönderilen bildirimleri geçersiz sayma hakkını saklı tutar. Güvenlik Açığı Bildirim Programı ile ilişkili herhangi bir parasal ödül bulunmamaktadır. Jotform, Güvenlik Açığı Bildirim Programını herhangi bir zamanda önceden haber vermeksizin sonlandırabilir.

İfşa

Lütfen güvenlik açığı bildirim programıyla ilişkili bir SLA olmadığını ve raporlarınıza verilecek yanıtların tamamen Jotform'un takdirinde olduğunu unutmayın. Bizden geri dönüş alsanız da almasanız da, bu program sizin başka bir tarafa açıklama yapmanıza izin vermez. Bu programda bulunan güvenlik açıkları hakkındaki bilgileri kamuya açık olarak paylaşamaz veya bulgularınızı diğer güvenlik araştırmacılarıyla paylaşamazsınız.

Güvenli Liman

Bu politika ile tutarlı her aktivite yetkili davranış olarak nitelendirilecektir. Üçüncü partiler aracılığıyla size karşı bu politika altında gerçekleştirilen aktiviteler hususunda bir yasal süreç başlatıldığı takdirde, tarafımızca aksiyon alınacak ve aktivitelerin bu politikaya uygun olarak yürütüldüğü belirtilecektir.

Jotform'u ve kullanıcılarını güvende tutmaya yardımcı olduğunuz için teşekkür ederiz!