برنامج الكشف عن الثغرات الأمنية في Jotform

يعد ضمان خصوصية وأمان بيانات المستخدم لدينا أولوية قصوى بالنسبة لـ Jotform. لذلك، إذا كنت تعتقد أنك وجدت ثغرة أمنية تؤثر على أي منتج من منتجات Jotform، فيرجى الإبلاغ عنها وفقًا للإرشادات الواردة أدناه. نحن نقدر التأثير الإيجابي لعملك ونشكرك مقدمًا على مساهمتك.

تابع القراءة للحصول على مزيد من المعلومات حول برنامج VDP الخاص بنا بالإضافة إلى متطلبات البرنامج.

See Rules

إجابة

لا يوفر Jotform أي هدف استجابة لهذا البرنامج.

سياسة الإفصاح

  • قم بإخطارنا بعد اكتشاف مشكلة أمنية حقيقية أو محتملة.
  • أرسل وصفًا نصيًا واضحًا للثغرة الأمنية مع خطوات إعادة إنتاج الثغرة الأمنية.
  • لكي يكون تقرير الثغرات الأمنية مفهومًا، يمكنك تضمين مرفقات مثل الفيديو أو لقطات الشاشة أو إثبات رمز المفهوم حسب الضرورة.
  • لا تضر أكثر مما تنفع. يجب ألا تترك الأنظمة أو المستخدمين في حالة أكثر عرضة للخطر مما كانت عليه عندما وجدتهم. يجب ألا تشارك في الاختبارات أو الأنشطة ذات الصلة التي تؤدي إلى تدهور المعلومات أو إتلافها أو إتلافها داخل أنظمتنا، أو التي قد تؤثر على مستخدمينا. أثناء البحث عن ثغرة أمنية، إذا لم تكن متأكدًا مما إذا كان يجب عليك الاستمرار، فيرجى التواصل على الفور مع\nفريق Jotform للحماية.

المجال

أنظمة المعلومات التي يمكن الوصول إليها بشكل عام أو ملكية الويب أو البيانات التي تمتلكها Jotform أو تديرها أو تسيطر عليها.

Non-Qualifying Vulnerabilities

  • Tab-nabbing.
  • Click-jacking/UI-redressing, or issues only exploitable via click-jacking.
  • Open redirect - unless an additional security impact can be demonstrated (such as stealing an authentication token, API keys etc.).
  • Denial-of-service attacks.
  • Self-XSS without a reasonable attack scenario.
  • Injecting HTML to the emails which will be sent through Jotform.
  • Fingerprinting on common/public services.
  • Disclosure of known public files or directories (e.g robots.txt, sitemap.xml).
  • Information disclosure without significant impact.
  • SSL/TLS version and configuration issues, weak ciphers or expired certificates.
  • Cross-site Request Forgery (CSRF) with minimal security implications (e.g Login/Logout CSRF).
  • SPF/DKIM/DMARC related issues.
  • Missing or misconfigured security headers (e.g CSP, HSTS) which do not directly lead to a vulnerability.
  • Missing Secure or HTTPOnly flags on cookies.
  • Vulnerable software version disclosure without proof of exploitability.
  • Reports from automated tools.
  • Comma Separated Values (CSV) injection.
  • EXIF metadata not being stripped from images.
  • Brute-force attacks.
  • Scenarios that require unlikely user interaction and/or outdated OS or software version.
  • Attacks requiring Man-in-the-middle (MITM) or physical access to a user's device.
  • Bugs that do not pose any security risk.

أولوياتنا تشمل

  • Sensitive Data Exposure
  • Remote Code Execution (RCE)
  • Server-Side Request Forgery (SSRF)
  • Cross-site Scripting (XSS)
  • Cross-site Request Forgery (CSRF)
  • SQL Injection
  • XML External Entity Attacks (XXE)
  • Access Control Vulnerabilities (Insecure Direct Object Reference, Privilege Escalation, Broken Access, etc.)
  • Path/Directory Traversal Issues

قواعد البرنامج

  • لا تستخدم أبدًا أي نتائج لتسوية النظام أو سحب البيانات أو تحويلها إلى أنظمة أخرى. أرسل تقريرك بمجرد اكتشاف ثغرة أمنية.
  • If you stumble upon sensitive information, such as personal information, credentials, etc., during the assessment; do not save, copy, store, transfer, disclose, or otherwise retain the data or personal information.
  • Do not perform social engineering, phishing, and physical security attacks against Jotform offices, users, or employees.
  • It is strictly prohibited to disclose any vulnerabilities without Jotform’s explicit permission.
  • Be respectful when you are interacting with our team.

إذا لم تتبع القواعد، فقد يتم منعك من برنامج الكشف عن الثغرات الأمنية في Jotform.

يحتفظ Jotform بالحق في تعديل قواعد هذا البرنامج أو اعتبار أي إستجابات غير صالحة في أي وقت. لا توجد مكافأة مالية مرتبطة ببرنامج الكشف عن الثغرات الأمنية. يجوز لـ Jotform إيقاف برنامج الكشف عن الثغرات الأمنية دون إشعار في أي وقت.

Disclosure

يرجى ملاحظة أنه لا توجد اتفاقية مستوى الخدمة (SLA) مرتبطة ببرنامج الكشف عن الثغرات الأمنية وأن الردود على تقاريرك تكون وفقًا لتقدير Jotform وحدها. بغض النظر عما إذا كنت قد تلقيت ردًا منا أم لا، فإن هذا البرنامج لا يسمح بالإفصاح من جانبك لأي طرف آخر. لا يجوز لك الكشف علنًا عن معلومات حول نقاط الضعف الموجودة في هذا البرنامج، ولا مشاركة النتائج التي توصلت إليها مع باحثين أمنيين آخرين.

Safe Harbor

Any activities conducted in a manner consistent with this policy will be considered authorized conduct. If legal action is initiated by a third party against you in connection with activities conducted under this policy, we will take steps to make it known that your actions were conducted in compliance with this policy.

Thank you for helping keep Jotform and our users safe!