Programm zur Offenlegung von Schwachstellen



Die Sicherheit der Benutzerdaten und der Kommunikation ist für Salesflare von größter Bedeutung. Um die bestmögliche Sicherheit für unseren Service zu gewährleisten, begrüßen wir die verantwortungsvolle Offenlegung von Schwachstellen, die Sie bei Salesflare finden. Die Prinzipien der verantwortungsvollen Offenlegung beinhalten, sind aber nicht beschränkt auf:


  • Greifen Sie nur auf Kundendaten zu, die Ihnen gehören, oder geben Sie diese frei.
  • Sie dürfen keine Daten aus unserer Infrastruktur exfiltrieren (einschließlich Quellcode, Datensicherungen, Konfigurationsdateien).
  • Wenn Sie Fernzugriff auf unser System erhalten, melden Sie Ihren Fund sofort. Versuchen Sie nicht, auf andere Server auszuweichen oder den Zugang zu erweitern.
  • Vermeiden Sie Scanning-Techniken, die zu einer Beeinträchtigung des Dienstes für andere Kunden führen können (z. B. durch Überlastung der Website). Dies gilt auch für das Spammen von Kontaktformularen, Support-E-Mails usw.
  • Halten Sie sich an die Richtlinien unserer Allgemeinen Geschäftsbedingungen.
  • Halten Sie Details von Schwachstellen geheim, bis Salesflare benachrichtigt wurde und eine angemessene Zeit hatte, die Schwachstelle zu beheben.
  • Um für eine Prämie in Frage zu kommen, muss Ihr Antrag von Salesflare als gültig akzeptiert werden. Wir verwenden die folgenden Richtlinien, um die Gültigkeit von Anfragen und die angebotene Belohnung zu bestimmen.

Umfang


  • *salesflare.com

Außerhalb des Geltungsbereichs


  • blogsalesflare.com
  • integrationensalesflare.de
  • howtosalesflare.com

Anforderungen für die Fehlermeldung


Wenn Sie eine Schwachstelle oder einen Vorfall melden, geben Sie bitte an:


  • Die detaillierte Beschreibung des Problems, die Ausnutzbarkeit und die Auswirkungen
  • Die reproduzierbaren Schritte (falls zutreffend) - unsere Ingenieure müssen in der Lage sein, die Sicherheitslücke anhand Ihres Berichts zu reproduzieren.
  • Die Salesflare , die Sie verwendet haben

Alle Beiträge müssen Nachweise und Erklärungen zu allen Schritten enthalten, die zur Reproduktion des Problems erforderlich sind, z. B:


  • PoC (Videos, Screenshots, Payloads, Web/API-Anfragen und -Antworten)
  • Einstellungen für Benutzerrechte (bei der Meldung von Eskalation oder Missbrauch von Privilegien in einem Unternehmen)
  • Referenzen und Empfehlungen

Berichte, die zu vage oder unklar sind, kommen für eine Belohnung nicht in Frage. Berichte, die klar geschriebene Erklärungen und funktionierenden Code enthalten, werden eher belohnt.


Schweregrad


Wir sind an Sicherheitslücken interessiert, die ausgenutzt werden können, um Zugang zu Benutzerdaten zu erhalten. Wir werden eine Sicherheitslücke nur dann qualifizieren und belohnen, wenn sie allein oder in Kombination mit einer anderen von Ihnen gemeldeten Sicherheitslücke erfolgreich genutzt werden kann, um auf Benutzerdaten zuzugreifen, die nicht Ihnen gehören. Allgemeine "Bugs" sind niemals qualifizierte Sicherheitslücken, und alles, was kein Exploit ist, ist ein allgemeiner "Bug". Der Exploit darf nur auf Schwachstellen von Salesflare's Systemen beruhen.


Schwerpunktbereiche


  • Fehler bei der Authentifizierung oder Autorisierung
  • Cross-Site-Scripting (XSS)
  • Cross-Site Request Forgery (CSRF/XSRF). Dies schließt Logout CSRF aus.
  • Gefährdung sensibler Daten
  • Fehler bei der serverseitigen Codeausführung

Die folgenden Fundtypen sind ausdrücklich von der Prämie ausgeschlossen oder bereits bekannt:

  • Nichteinhaltung von "Best Practices" (z. B. gemeinsame HTTP-Header, Ablauf von Links oder Passwortrichtlinien)
  • Beschreibende Fehlermeldungen (z. B. Stack Traces, Anwendungs- oder Serverfehler).
  • HTTP 404 Codes/Seiten oder andere HTTP nicht-200 Codes/Seiten.
  • Salesflare Unternehmensinfrastrukturkonfiguration (z.B. SPF-Einträge des Maildienstes)
  • Offenlegung von bekannten öffentlichen Dateien oder Verzeichnissen (z. B. robots.txt).
  • Wahrgenommene übermäßige Mengen an gesendeten E-Mails (z. B. Mail Flooding).
  • Denial-of-Service-Schwachstellen (DoS)
  • Möglichkeiten, bösartige Links an Ihnen bekannte Personen zu senden
  • Sicherheitslücken in Websites von Drittanbietern, die mit Salesflare integriert sind
  • Unsichere Cookies auf salesflare.com
  • Skripte mit gemischtem Inhalt auf salesflare.com
  • Schwachstellen, die ein potenzielles Opfer dazu zwingen, nicht standardisierte Software zu installieren oder anderweitig aktive Schritte zu unternehmen, um sich angreifbar zu machen
  • Spam oder Social-Engineering-Techniken
  • Clickjacking-Probleme, es sei denn, es wird ein Exploit für die Übernahme eines Kontos oder die Offenlegung sensibler Ressourcen bereitgestellt

Belohnungen


Pro hochgradiger oder kritischer Schwachstelle wird nur eine Prämie vergeben.

Wenn wir mehrere Meldungen für dieselbe Schwachstelle erhalten, erhält nur die Person eine Belohnung, die die erste eindeutige Meldung abgibt.

Unser Belohnungssystem ist flexibel und hat keinen Mindest- oder Höchstbetrag; die Belohnungen richten sich nach Schweregrad, Auswirkung und Qualität des Berichts. Die Belohnungen liegen in der Regel zwischen $20 und $80, können aber auch höher oder niedriger ausfallen.

Um eine Prämie zu erhalten, müssen Sie Ihren Wohnsitz in einem Land haben, das nicht auf der Sanktionsliste steht (z.B. Kuba, Iran, Nordkorea, Sudan und Syrien). Dies ist ein diskretionäres Programm und Salesflare behält sich das Recht vor, das Programm zu beenden; die Entscheidung, ob eine Prämie ausgezahlt wird oder nicht, liegt in unserem Ermessen.

Belohnungen werden über Paypal ausgezahlt. Diese Dienste erheben eine Gebühr für die Bearbeitung der Transaktion, die vom Prämienbetrag abgezogen wird.


Anweisungen zum Erstellen einer Salesflare


Jeder kann ein Testkonto erstellen, indem er zu salesflare navigiert salesflare

Mit einem Testkonto ist es auch möglich, einen API-Schlüssel zu erstellen, um API-Anfragen zu senden. Weitere Informationen finden Sie hier: https:salesflare

Alle verfügbaren Funktionen können getestet werden.


Kontakt


Bitte senden Sie uns eine E-Mail an [email protected] mit allen Berichten über Sicherheitslücken oder Fragen zum Programm. Bitte melden Sie jeden neuen Fehler in einem separaten E-Mail-Thread.