Регистрирайте се безплатно

Програма за разкриване на уязвимости на Jotform

Гарантирането на поверителността и сигурността на нашите потребителски данни е основен приоритет за Jotform. Следователно, ако смятате, че сте открили уязвимост в сигурността, която засяга който и да е продукт на Jotform, моля докладвайте за това в съответствие с указанията по-долу. Оценяваме положителното въздействие на вашата работа и ви благодарим предварително за вашия принос.

Прочетете за повече информация относно нашата програма за уязвимости, както и изискванията на програмата.

See Rules

Отговор

Jotform не предоставя никаква цел за отговорите за тази програма.

Политика за разкриване на информация

  • Уведомете ни, след като откриете реален или потенциален проблем със сигурността.
  • Изпратете ясно текстово описание на уязвимостта заедно със стъпки за възпроизвеждане на уязвимостта.
  • За да бъде отчета за уязвимостта да бъде разбираем, вие можете да включите прикачени файлове като видео, скрийншоти или код за доказателство на концепцията, ако е необходимо.
  • Не причинявайте повече вреда, отколкото полза. Не трябва да оставяте системи или потребители в по-уязвимо състояние от това, в което сте ги намерили. Вие не трябва да участвате в тестване или свързани дейности, които влошават, повреждат или унищожават информация в нашите системи или които могат да повлияят на нашите потребители. Докато проучвате уязвимост, ако не сте сигурни дали трябва да продължите, моля незабавно се консултирайте с екипа за сигурност на Jotform.

Обхват

Публично достъпни информационни системи, уеб собственост или данни, които са притежавани, управлявани или контролирани от Jotform.

Non-Qualifying Vulnerabilities

  • Tab-nabbing.
  • Click-jacking/UI-redressing, or issues only exploitable via click-jacking.
  • Open redirect - unless an additional security impact can be demonstrated (such as stealing an authentication token, API keys etc.).
  • Denial-of-service attacks.
  • Self-XSS without a reasonable attack scenario.
  • Injecting HTML to the emails which will be sent through Jotform.
  • Fingerprinting on common/public services.
  • Disclosure of known public files or directories (e.g robots.txt, sitemap.xml).
  • Information disclosure without significant impact.
  • SSL/TLS version and configuration issues, weak ciphers or expired certificates.
  • Cross-site Request Forgery (CSRF) with minimal security implications (e.g Login/Logout CSRF).
  • SPF/DKIM/DMARC related issues.
  • Missing or misconfigured security headers (e.g CSP, HSTS) which do not directly lead to a vulnerability.
  • Missing Secure or HTTPOnly flags on cookies.
  • Vulnerable software version disclosure without proof of exploitability.
  • Reports from automated tools.
  • Comma Separated Values (CSV) injection.
  • EXIF metadata not being stripped from images.
  • Brute-force attacks.
  • Scenarios that require unlikely user interaction and/or outdated OS or software version.
  • Attacks requiring Man-in-the-middle (MITM) or physical access to a user's device.
  • Bugs that do not pose any security risk.

Нашите приоритети включват

  • Sensitive Data Exposure
  • Remote Code Execution (RCE)
  • Server-Side Request Forgery (SSRF)
  • Cross-site Scripting (XSS)
  • Cross-site Request Forgery (CSRF)
  • SQL Injection
  • XML External Entity Attacks (XXE)
  • Access Control Vulnerabilities (Insecure Direct Object Reference, Privilege Escalation, Broken Access, etc.)
  • Path/Directory Traversal Issues

Правила на програмата

  • Никога не използвайте открития за компрометиране на системата, ексфилтриране на данни или насочване към други системи. Изпратете вашия доклад веднага след като откриете уязвимост.
  • If you stumble upon sensitive information, such as personal information, credentials, etc., during the assessment; do not save, copy, store, transfer, disclose, or otherwise retain the data or personal information.
  • Do not perform social engineering, phishing, and physical security attacks against Jotform offices, users, or employees.
  • It is strictly prohibited to disclose any vulnerabilities without Jotform’s explicit permission.
  • Be respectful when you are interacting with our team.

Ако не спазвате правилата, вие може да бъдете изключени от програмата за разкриване на уязвимости на Jotform.

Jotform си запазва правото да променя правилата за тази програма или да счита всеки подаден формуляр за невалиден по всяко време. Няма парична награда, която е свързана с програмата за разкриване на уязвимости. Jotform може да прекрати програмата за разкриване на уязвимости без предупреждение по всяко време.

Disclosure

Моля имайте предвид, че няма SLA, който е свързан с програмата за разкриване на уязвимости и отговорите на вашите доклади са по усмотрение на Jotform. Независимо дали ще се свържем с вас или не, тази програма не позволява разкриване от вас на която и да е друга страна. Нямате право да разкривате публично информация за уязвимостите, които са открити в тази програма, нито да споделяте вашите открития с други изследователи по сигурността.

Safe Harbor

Any activities conducted in a manner consistent with this policy will be considered authorized conduct. If legal action is initiated by a third party against you in connection with activities conducted under this policy, we will take steps to make it known that your actions were conducted in compliance with this policy.

Thank you for helping keep Jotform and our users safe!