Inscrivez-vous gratuitement

Programme de divulgation des vulnérabilités (VDP) Jotform

Garantir la confidentialité et la sécurité de nos données utilisateur est une priorité absolue pour Jotform. Par conséquent, si vous pensez avoir découvert une faille de sécurité affectant un produit Jotform, veuillez la signaler conformément aux directives ci-dessous. Nous apprécions l’impact positif de votre travail et vous remercions par avance pour votre contribution.

Continuez à lire pour obtenir plus d'informations sur notre VDP ainsi que sur les exigences du programme.

See Rules

Réponse

Jotform ne fournit aucune cible de réponse pour ce programme.

Politique de divulgation

  • Informez-nous après avoir découvert un problème de sécurité réel ou potentiel.
  • Envoyez une description textuelle claire de la vulnérabilité, et expliquez-nous les étapes pour reproduire la vulnérabilité.
  • Pour que le rapport de vulnérabilité soit compréhensible, vous pouvez inclure des pièces jointes telles que des vidéos, des captures d'écran ou du code de preuve de concept, si nécessaire.
  • Ne faites pas plus de mal que de bien. Vous ne devez pas laisser les systèmes ou les utilisateurs dans un état plus vulnérable que celui dans lequel vous les avez trouvés. Vous ne devez pas vous engager dans des tests ou des activités connexes qui dégradent, endommagent ou détruisent les informations contenues dans nos systèmes, ou qui peuvent avoir un impact sur nos utilisateurs. Lorsque vous recherche une vulnérabilité, si vous ne savez pas si vous devez continuer, veuillez immédiatement contacter l'équipe sécurité de Jotform.

Portée

Systèmes d'information, propriété Web ou données accessibles au public détenus, exploités ou contrôlés par Jotform.

Non-Qualifying Vulnerabilities

  • Tab-nabbing.
  • Click-jacking/UI-redressing, or issues only exploitable via click-jacking.
  • Open redirect - unless an additional security impact can be demonstrated (such as stealing an authentication token, API keys etc.).
  • Denial-of-service attacks.
  • Self-XSS without a reasonable attack scenario.
  • Injecting HTML to the emails which will be sent through Jotform.
  • Fingerprinting on common/public services.
  • Disclosure of known public files or directories (e.g robots.txt, sitemap.xml).
  • Information disclosure without significant impact.
  • SSL/TLS version and configuration issues, weak ciphers or expired certificates.
  • Cross-site Request Forgery (CSRF) with minimal security implications (e.g Login/Logout CSRF).
  • SPF/DKIM/DMARC related issues.
  • Missing or misconfigured security headers (e.g CSP, HSTS) which do not directly lead to a vulnerability.
  • Missing Secure or HTTPOnly flags on cookies.
  • Vulnerable software version disclosure without proof of exploitability.
  • Reports from automated tools.
  • Comma Separated Values (CSV) injection.
  • EXIF metadata not being stripped from images.
  • Brute-force attacks.
  • Scenarios that require unlikely user interaction and/or outdated OS or software version.
  • Attacks requiring Man-in-the-middle (MITM) or physical access to a user's device.
  • Bugs that do not pose any security risk.

Nos priorités incluent

  • Sensitive Data Exposure
  • Remote Code Execution (RCE)
  • Server-Side Request Forgery (SSRF)
  • Cross-site Scripting (XSS)
  • Cross-site Request Forgery (CSRF)
  • SQL Injection
  • XML External Entity Attacks (XXE)
  • Access Control Vulnerabilities (Insecure Direct Object Reference, Privilege Escalation, Broken Access, etc.)
  • Path/Directory Traversal Issues

Règles du programme

  • N’utilisez jamais vos découvertes pour compromettre le système, exfiltrer des données ou basculer vers d’autres systèmes. Soumettez votre rapport dès que vous avez découvert une vulnérabilité.
  • If you stumble upon sensitive information, such as personal information, credentials, etc., during the assessment; do not save, copy, store, transfer, disclose, or otherwise retain the data or personal information.
  • Do not perform social engineering, phishing, and physical security attacks against Jotform offices, users, or employees.
  • It is strictly prohibited to disclose any vulnerabilities without Jotform’s explicit permission.
  • Be respectful when you are interacting with our team.

Si vous ne respectez pas les règles, vous pourriez être banni du programme de divulgation des vulnérabilités de Jotform.

Jotform se réserve le droit de modifier les règles de ce programme ou de considérer toute soumission invalide à tout moment. Aucune récompense monétaire n'est associée au programme de divulgation des vulnérabilités. Jotform peut interrompre le programme de divulgation des vulnérabilités sans préavis, à tout moment.

Disclosure

Veuillez noter qu'il n'y a aucun SLA associé au programme de divulgation de vulnérabilités et les réponses à vos rapports sont à la seule discrétion de Jotform. Que vous ayez ou non une réponse de notre part, ce programme ne permet pas de divulguer vos informations à des tiers. Vous ne pouvez pas divulguer publiquement des informations sur les vulnérabilités trouvées dans ce programme, ni partager vos découvertes avec d'autres chercheurs en sécurité.

Safe Harbor

Any activities conducted in a manner consistent with this policy will be considered authorized conduct. If legal action is initiated by a third party against you in connection with activities conducted under this policy, we will take steps to make it known that your actions were conducted in compliance with this policy.

Thank you for helping keep Jotform and our users safe!