Programme de divulgation des vulnérabilités



La sécurité des données et des communications des utilisateurs est de la plus haute importance pour Salesflare. Afin d'assurer la meilleure sécurité possible pour notre service, nous accueillons favorablement la divulgation responsable de toute vulnérabilité que vous trouvez dans Salesflare. Les principes de la divulgation responsable incluent, mais ne sont pas limités à :


  • N'accédez ou n'exposez que les données clients qui vous appartiennent.
  • Ne pas exfiltrer de données de notre infrastructure (y compris le code source, les sauvegardes de données, les fichiers de configuration).
  • Si vous obtenez un accès à distance à notre système, signalez immédiatement votre découverte. N'essayez pas de pivoter vers d'autres serveurs ou d'élever l'accès.
  • Éviter les techniques de balayage susceptibles d'entraîner une dégradation du service pour les autres clients (par exemple en surchargeant le site). Cela inclut le spamming de formulaires de contact, de courriels d'assistance, etc.
  • Respecter les directives de nos conditions d'utilisation.
  • Garder les détails des vulnérabilités secrets jusqu'à ce que Salesflare ait été notifié et ait disposé d'un délai raisonnable pour corriger la vulnérabilité.
  • Pour être éligible à une prime, votre demande doit être acceptée comme valide par Salesflare. Nous utilisons les directives suivantes pour déterminer la validité des demandes et la compensation offerte.

Champ d'application


  • *salesflare.com

Hors champ d'application


  • blogsalesflare.com
  • integrationssalesflare.com
  • commentsalesflare.com

Exigences en matière de soumission de bogues


Lors de la soumission d'une vulnérabilité ou d'un incident, veuillez fournir les informations suivantes :


  • La description détaillée du problème, l'exploitabilité et l'impact
  • Les étapes reproductibles (le cas échéant) - nos ingénieurs doivent être en mesure de reproduire la faille de sécurité à partir de votre rapport.
  • L'identifiant de l'équipe Salesflare que vous avez utilisé

Toutes les soumissions doivent fournir des preuves et des explications sur toutes les étapes nécessaires pour reproduire le problème, ce qui peut inclure


  • PoC (vidéos, captures d'écran, charges utiles, requêtes et réponses web/API)
  • Paramètres des autorisations des utilisateurs (en cas de signalement d'une escalade ou d'un abus de privilèges dans une entreprise)
  • Références et recommandations

Les rapports trop vagues ou peu clairs ne peuvent pas être récompensés. Les rapports qui comprennent des explications clairement écrites et un code de travail ont plus de chances d'être récompensés.


Sévérité


Nous nous intéressons aux failles de sécurité qui peuvent être exploitées pour accéder aux données des utilisateurs. Nous ne qualifierons et ne récompenserons une vulnérabilité que si et seulement si le bogue peut être utilisé avec succès, seul ou en combinaison avec une autre vulnérabilité que vous signalez, pour accéder à des données d'utilisateurs qui ne sont pas les vôtres. Les "bogues" généraux ne sont jamais des vulnérabilités admissibles, et tout ce qui n'est pas un exploit est un "bogue" général. L'exploit doit s'appuyer uniquement sur les vulnérabilités des systèmes de Salesflare.


Domaines d'intervention


  • Défauts d'authentification ou d'autorisation
  • Scripts intersites (XSS)
  • Falsification des requêtes intersites (CSRF/XSRF). Ceci exclut le CSRF de déconnexion.
  • Exposition de données sensibles
  • Bogues d'exécution de code côté serveur

Les types de découvertes suivants sont spécifiquement exclus de la prime ou sont déjà connus :

  • Le non-respect des "meilleures pratiques" (par exemple, les en-têtes HTTP courants, l'expiration des liens ou la politique en matière de mots de passe).
  • Messages d'erreur descriptifs (par exemple, Stack Traces, erreurs d'application ou de serveur).
  • Codes/pages HTTP 404 ou autres codes/pages HTTP non-200.
  • Configuration de l'infrastructure de l'entreprise Salesflare (par exemple, enregistrements SPF du service de messagerie)
  • Divulgation de fichiers ou de répertoires publics connus (par exemple, robots.txt).
  • Perception de volumes excessifs de courriers électroniques envoyés (par exemple, inondation de courriers).
  • Vulnérabilités par déni de service (DoS)
  • Possibilité d'envoyer des liens malveillants à des personnes que vous connaissez
  • Bugs de sécurité dans les sites web tiers qui s'intègrent à Salesflare
  • Cookies non sécurisés sur salesflare.com
  • Scripts à contenu mixte sur salesflare.com
  • Les vulnérabilités qui obligent une victime potentielle à installer un logiciel non standard ou à prendre des mesures actives pour se rendre vulnérable.
  • Spam ou techniques d'ingénierie sociale
  • Problèmes de détournement de clics, à moins qu'un exploit montrant la prise de contrôle d'un compte ou la divulgation de ressources sensibles ne soit fourni.

Récompenses


Une seule prime sera attribuée par vulnérabilité élevée ou critique.

Si nous recevons plusieurs rapports concernant la même vulnérabilité, seule la personne ayant fourni le premier rapport clair recevra une récompense.

Nous maintenons une certaine flexibilité dans notre système de récompense et n'avons pas de montant minimum/maximum ; les récompenses sont basées sur la gravité, l'impact et la qualité du rapport. Les récompenses sont généralement comprises entre 20 et 80 dollars, mais elles peuvent être plus ou moins élevées.

Pour recevoir une récompense, vous devez résider dans un pays qui ne figure pas sur les listes de sanctions (par exemple, Cuba, Iran, Corée du Nord, Soudan et Syrie). Il s'agit d'un programme discrétionnaire et Salesflare se réserve le droit d'annuler le programme ; la décision de payer ou non une récompense est à notre discrétion.

Les récompenses sont payées par l'intermédiaire de Paypal. Ces services perçoivent une commission pour le traitement de la transaction, qui est déduite du montant attribué.


Instructions pour créer un essai Salesflare


Tout le monde peut créer un compte d'essai en se rendant à l'adresse suivante :salesflare

Avec un compte d'essai, il est également possible de créer une clé API pour envoyer des requêtes API. Plus d'informations sont disponibles ici :salesflare

Toutes les fonctionnalités disponibles peuvent être testées.


Contact


Veuillez nous envoyer un courriel à l'adresse suivante à l'adresse [email protected]. pour tout rapport de vulnérabilité ou toute question concernant le programme. Veuillez signaler chaque nouveau bogue dans un message distinct.