Risposta
Jotform non fornisce alcun obiettivo di risposta per questo programma.
Politica di Divulgazione
- Informaci quando scopri un problema di sicurezza reale o potenziale.
- Invia una precisa descrizione della vulnerabilità sotto forma di testo, insieme ai passaggi necessari per riprodurla.
- Per rendere il rapporto sulla vulnerabilità comprensibile, puoi includere allegati come video, screenshot o codice di prova, se necessario.
- Evita di causare più danni che benefici. Non lasciare i sistemi o gli utenti in uno stato più vulnerabile rispetto a quello di partenza. Non intraprendere attività di testing o operazioni correlate che possano compromettere, danneggiare o distruggere le informazioni all'interno dei nostri sistemi o che possano avere un impatto sui nostri utenti. Se durante la ricerca di una vulnerabilità hai dei dubbi sul da farsi, ti preghiamo di contattare immediatamente il team di sicurezza di Jotform.
Ambito
Sistemi informativi accessibili al pubblico, proprietà web o dati posseduti, gestiti o controllati da Jotform.
Non-Qualifying Vulnerabilities
- Tab-nabbing.
- Click-jacking/UI-redressing, or issues only exploitable via click-jacking.
- Open redirect - unless an additional security impact can be demonstrated (such as stealing an authentication token, API keys etc.).
- Denial-of-service attacks.
- Self-XSS without a reasonable attack scenario.
- Injecting HTML to the emails which will be sent through Jotform.
- Fingerprinting on common/public services.
- Disclosure of known public files or directories (e.g robots.txt, sitemap.xml).
- Information disclosure without significant impact.
- SSL/TLS version and configuration issues, weak ciphers or expired certificates.
- Cross-site Request Forgery (CSRF) with minimal security implications (e.g Login/Logout CSRF).
- SPF/DKIM/DMARC related issues.
- Missing or misconfigured security headers (e.g CSP, HSTS) which do not directly lead to a vulnerability.
- Missing Secure or HTTPOnly flags on cookies.
- Vulnerable software version disclosure without proof of exploitability.
- Reports from automated tools.
- Comma Separated Values (CSV) injection.
- EXIF metadata not being stripped from images.
- Brute-force attacks.
- Scenarios that require unlikely user interaction and/or outdated OS or software version.
- Attacks requiring Man-in-the-middle (MITM) or physical access to a user's device.
- Bugs that do not pose any security risk.
Le Nostre Priorità Includono
- Sensitive Data Exposure
- Remote Code Execution (RCE)
- Server-Side Request Forgery (SSRF)
- Cross-site Scripting (XSS)
- Cross-site Request Forgery (CSRF)
- SQL Injection
- XML External Entity Attacks (XXE)
- Access Control Vulnerabilities (Insecure Direct Object Reference, Privilege Escalation, Broken Access, etc.)
- Path/Directory Traversal Issues
Norme del Programma
- Non utilizzare mai alcun risultato per compromettere il sistema, estrarre dati o passare ad altri sistemi. Invia il tuo rapporto non appena hai scoperto una vulnerabilità.
- If you stumble upon sensitive information, such as personal information, credentials, etc., during the assessment; do not save, copy, store, transfer, disclose, or otherwise retain the data or personal information.
- Do not perform social engineering, phishing, and physical security attacks against Jotform offices, users, or employees.
- It is strictly prohibited to disclose any vulnerabilities without Jotform’s explicit permission.
- Be respectful when you are interacting with our team.
Nel caso in cui non rispetti le regole, potresti essere escluso dal Programma di Segnalazione delle Vulnerabilità di Jotform.
Jotform si riserva il diritto di modificare le regole di questo programma o considerare invalide le segnalazioni in qualsiasi momento. Non è prevista alcuna ricompensa monetaria associata al Programma di Segnalazione delle Vulnerabilità. Jotform può interrompere il Programma di Segnalazione delle Vulnerabilità senza preavviso in qualsiasi momento.
Disclosure
Si prega di notare che non è previsto alcun SLA associato al programma di divulgazione delle vulnerabilità e le risposte ai vostri rapporti sono a discrezione esclusiva di Jotform. Indipendentemente dal fatto che riceviate una risposta o meno, questo programma non permette la divulgazione da parte vostra a qualsiasi altra parte. Non è consentito divulgare pubblicamente informazioni sulle vulnerabilità trovate in questo programma, né condividere le vostre scoperte con altri ricercatori di sicurezza.
Safe Harbor
Any activities conducted in a manner consistent with this policy will be considered authorized conduct. If legal action is initiated by a third party against you in connection with activities conducted under this policy, we will take steps to make it known that your actions were conducted in compliance with this policy.
Thank you for helping keep Jotform and our users safe!