Response
Jotform bietet kein Response Target für dieses Programm.
Disclosure Policy
- Informieren Sie uns, wenn Sie ein tatsächliches oder potenzielles Sicherheitsproblem entdecken.
- Senden Sie eine klare Beschreibung der Sicherheitslücke zusammen mit Schritten zur Reproduktion der Sicherheitslücke.
- Damit der Risikobericht verständlich ist, können Sie bei Bedarf Anhänge wie Videos, Screenshots oder Proof-of-Concept-Code hinzufügen.
- Verursachen Sie nicht mehr Schaden als Nutzen. Hinterlassen Sie die Systeme oder Benutzer nicht in einem anfälligeren Zustand, als Sie sie vorgefunden haben. Sie sollten sich nicht an Tests oder damit verbundenen Aktivitäten beteiligen, die Informationen in unseren Systemen beeinträchtigen, beschädigen oder zerstören oder unsere Benutzer beeinträchtigen könnten. Wenn Sie bei der Untersuchung einer Schwachstelle nicht sicher sind, ob Sie fortfahren sollen, wenden Sie sich bitte sofort an die \nJotform Sicherheitsteam.
Scope
Öffentlich zugängliche Informationssysteme, Web-Eigentum oder Daten, die Jotform gehören, von ihr betrieben oder kontrolliert werden.
Non-Qualifying Vulnerabilities
- Tab-nabbing.
- Click-jacking/UI-redressing, or issues only exploitable via click-jacking.
- Open redirect - unless an additional security impact can be demonstrated (such as stealing an authentication token, API keys etc.).
- Denial-of-service attacks.
- Self-XSS without a reasonable attack scenario.
- Injecting HTML to the emails which will be sent through Jotform.
- Fingerprinting on common/public services.
- Disclosure of known public files or directories (e.g robots.txt, sitemap.xml).
- Information disclosure without significant impact.
- SSL/TLS version and configuration issues, weak ciphers or expired certificates.
- Cross-site Request Forgery (CSRF) with minimal security implications (e.g Login/Logout CSRF).
- SPF/DKIM/DMARC related issues.
- Missing or misconfigured security headers (e.g CSP, HSTS) which do not directly lead to a vulnerability.
- Missing Secure or HTTPOnly flags on cookies.
- Vulnerable software version disclosure without proof of exploitability.
- Reports from automated tools.
- Comma Separated Values (CSV) injection.
- EXIF metadata not being stripped from images.
- Brute-force attacks.
- Scenarios that require unlikely user interaction and/or outdated OS or software version.
- Attacks requiring Man-in-the-middle (MITM) or physical access to a user's device.
- Bugs that do not pose any security risk.
Unsere Prioritäten sind
- Sensitive Data Exposure
- Remote Code Execution (RCE)
- Server-Side Request Forgery (SSRF)
- Cross-site Scripting (XSS)
- Cross-site Request Forgery (CSRF)
- SQL Injection
- XML External Entity Attacks (XXE)
- Access Control Vulnerabilities (Insecure Direct Object Reference, Privilege Escalation, Broken Access, etc.)
- Path/Directory Traversal Issues
Regeln des Programms
- Verwenden Sie Ihre Erkenntnisse niemals, um das System zu kompromittieren, Daten zu exfiltrieren oder auf andere Systeme zu übertragen. Reichen Sie Ihre Meldung ein, sobald Sie eine Sicherheitslücke entdeckt haben.
- If you stumble upon sensitive information, such as personal information, credentials, etc., during the assessment; do not save, copy, store, transfer, disclose, or otherwise retain the data or personal information.
- Do not perform social engineering, phishing, and physical security attacks against Jotform offices, users, or employees.
- It is strictly prohibited to disclose any vulnerabilities without Jotform’s explicit permission.
- Be respectful when you are interacting with our team.
Wenn Sie die Regeln nicht befolgen, können Sie vom Jotform Vulnerability Disclosure Program ausgeschlossen werden.
Jotform behält sich das Recht vor, die Regeln für dieses Programm zu ändern oder Meldungen jederzeit für ungültig zu erklären. Mit dem Vulnerability Disclosure Program ist keine finanzielle Belohnung verbunden. Jotform kann das Vulnerability Disclosure Program jederzeit ohne Vorankündigung einstellen.
Disclosure
Bitte beachten Sie, dass mit dem Vulnerability Disclosure Program kein SLA verbunden ist und die Antworten auf Ihre Meldungen im alleinigen Ermessen von Jotform liegen. Unabhängig davon, ob Sie von uns eine Antwort erhalten oder nicht, erlaubt dieses Programm keine Disclosure durch Sie an eine andere Partei. Sie dürfen Informationen über Schwachstellen, die Sie im Rahmen dieses Programms gefunden haben, nicht öffentlich bekannt geben und Ihre Erkenntnisse nicht an andere Entwickler weitergeben.
Safe Harbor
Any activities conducted in a manner consistent with this policy will be considered authorized conduct. If legal action is initiated by a third party against you in connection with activities conducted under this policy, we will take steps to make it known that your actions were conducted in compliance with this policy.
Thank you for helping keep Jotform and our users safe!