Programma di divulgazione delle vulnerabilità



La sicurezza dei dati degli utenti e delle comunicazioni è di fondamentale importanza per Salesflare . Per raggiungere la migliore sicurezza possibile per il nostro servizio, accogliamo con favore la divulgazione responsabile di qualsiasi vulnerabilità riscontrata in Salesflare I principi di divulgazione responsabile includono, ma non sono limitati a:


  • Accedi o esponi solo i dati dei clienti che sono di tua proprietà.
  • Non esfiltrare dati dalla nostra infrastruttura (inclusi codice sorgente, backup dei dati, file di configurazione).
  • Se ottieni l'accesso remoto al nostro sistema, segnala immediatamente la tua scoperta. Non tentare di passare ad altri server o di elevare l'accesso.
  • Evita tecniche di scansione che potrebbero causare un degrado del servizio ad altri clienti (ad esempio sovraccaricando il sito). Ciò include lo spamming di moduli di contatto, e-mail di supporto, ecc.
  • Rispettare le linee guida dei nostri Termini di servizio.
  • Mantenere segreti i dettagli delle vulnerabilità fino a quando Salesflare è stato avvisato e ha avuto un lasso di tempo ragionevole per correggere la vulnerabilità.
  • Per poter avere diritto a una ricompensa, la tua candidatura deve essere accettata come valida da Salesflare Utilizziamo le seguenti linee guida per determinare la validità delle richieste e la ricompensa offerta.

Ambito


  • *. salesflare .com

Fuori dall'ambito


  • blog. salesflare .com
  • integrazioni. salesflare .com
  • come fare. salesflare .com

Requisiti per l'invio di bug


Quando si segnala una vulnerabilità o un incidente, fornire:


  • La descrizione dettagliata del problema, la sfruttabilità e l'impatto
  • Fasi riproducibili (se applicabili): i nostri ingegneri devono essere in grado di riprodurre la falla di sicurezza presente nel tuo rapporto.
  • IL Salesflare ID del team che hai utilizzato

Tutte le comunicazioni devono fornire prove e spiegazioni di tutti i passaggi necessari per riprodurre il problema, che possono includere:


  • PoC (video, screenshot, payload, richieste e risposte web/API)
  • Impostazioni dei permessi utente (quando si segnala un'escalation o un abuso di privilegi in un'azienda)
  • Riferimenti e raccomandazioni

I report troppo vaghi o poco chiari non sono idonei per una ricompensa. I report che includono spiegazioni scritte in modo chiaro e codice funzionante hanno maggiori probabilità di ottenere ricompense.


Gravità


Siamo interessati alle vulnerabilità di sicurezza che possono essere sfruttate per ottenere l'accesso ai dati degli utenti. Qualificheremo e premieremo una vulnerabilità solo se e solo se il bug può essere utilizzato con successo da solo o in combinazione con un'altra vulnerabilità da te segnalata per accedere ai dati degli utenti che non sono tuoi. I "bug" generici non sono mai vulnerabilità qualificanti e tutto ciò che non è un exploit è un "bug" generico. L'exploit deve basarsi solo sulle vulnerabilità di Salesflare i sistemi di .


Aree di interesse


  • Difetti di autenticazione o autorizzazione
  • Script tra siti (XSS)
  • Falsificazione della richiesta tra siti (CSRF/XSRF). Ciò esclude la disconnessione CSRF.
  • Esposizione di dati sensibili
  • Bug nell'esecuzione del codice lato server

I seguenti tipi di reperti sono espressamente esclusi dal bounty o sono già noti:

  • Mancato rispetto delle "migliori pratiche" (ad esempio, intestazioni HTTP comuni, scadenza dei link o policy sulle password)
  • Messaggi di errore descrittivi (ad esempio Stack Trace, errori dell'applicazione o del server).
  • Codici/pagine HTTP 404 o altri codici/pagine HTTP diversi da 200.
  • Salesflare configurazione dell'infrastruttura aziendale (ad esempio, record SPF del servizio di posta)
  • Divulgazione di file o directory pubblici noti (ad esempio, robots.txt).
  • Volumi eccessivi percepiti di posta elettronica inviata (ad esempio, inondazione di posta).
  • Vulnerabilità di tipo Denial of Service (DoS)
  • Possibilità di inviare link dannosi a persone che conosci
  • Bug di sicurezza nei siti Web di terze parti che si integrano con Salesflare
  • Cookie non sicuri su salesflare .com
  • Script con contenuto misto su salesflare .com
  • Vulnerabilità che richiedono a una potenziale vittima di installare software non standard o di adottare misure attive per rendersi vulnerabile
  • Tecniche di spam o di ingegneria sociale
  • Problemi di clickjacking, a meno che non venga fornito un exploit che mostri l'appropriazione indebita dell'account o la divulgazione di risorse sensibili

Ricompense


Verrà assegnata solo 1 taglia per ogni vulnerabilità elevata o critica.

Se riceviamo più segnalazioni per la stessa vulnerabilità, solo la persona che invia per prima la segnalazione chiara riceverà una ricompensa.

Manteniamo la flessibilità con il nostro sistema di premi e non abbiamo un importo minimo/massimo; i premi si basano sulla gravità, l'impatto e la qualità del report. Le taglie sono generalmente comprese tra $ 20 e $ 80, ma possono essere più alte o più basse.

Per ricevere una ricompensa, devi risiedere in un paese non presente negli elenchi delle sanzioni (ad esempio, Cuba, Iran, Corea del Nord, Sudan e Siria). Questo è un programma discrezionale e Salesflare si riserva il diritto di annullare il programma; la decisione se erogare o meno una ricompensa è a nostra discrezione.

I premi vengono pagati tramite Paypal. Questi servizi riscuotono una commissione per l'elaborazione della transazione, che viene detratta dall'importo assegnato.


Istruzioni per la creazione di un Salesflare prova


Chiunque può creare un account di prova andando su: salesflare .

Con un account di prova, è anche possibile creare una chiave API per inviare richieste API. Ulteriori informazioni sono disponibili qui: salesflare

È possibile testare tutte le funzionalità disponibili.


Contatto


Inviateci un'e-mail a [email protected] con qualsiasi segnalazione di vulnerabilità o domanda sul programma. Segnalate ogni nuovo bug in un thread di posta elettronica separato.