Jotform脆弱性開示プログラム

ユーザーデータのプライバシーとセキュリティを確保することは、Jotformの最優先事項です。そのため、Jotform製品に影響を及ぼすセキュリティ脆弱性を発見された場合は、以下のガイドラインに従ってご報告ください。皆様のご報告がJotformに良い影響を与えることを期待しております。

脆弱性開示プログラム(VDP)の詳細、およびプログラムの要件については、こちらをお読みください。

See Rules

対応

Jotformでは、このプログラムに対する回答目標を提供していません。

情報開示方針

  • セキュリティ上の問題が発生した場合、または発生する可能性がある場合は、当社までお知らせください。
  • 脆弱性の明確なテキストによる説明と、その脆弱性を再現するための手順を一緒に送ってください。
  • 脆弱性レポートを理解しやすくするために、必要に応じて、動画、スクリーンショット、または概念実証コードなどの添付ファイルを、含めることができます。
  • 良いことよりも悪いことをしないこと。システムやユーザーを、発見時よりも脆弱な状態に放置してはなりません。当社のシステム内の情報を劣化、損傷、または破壊するような、あるいは当社のユーザーに影響を与えるようなテストや関連行為に従事すべきではありません。脆弱性の調査中に、調査を継続すべきかどうか確信が持てない場合は、直ちに Jotformのセキュリティチームに連絡してください。

範囲

Jotformが所有、運営、または管理する、一般にアクセス可能な情報システム、ウェブ資産、またはデータ。

Non-Qualifying Vulnerabilities

  • Tab-nabbing.
  • Click-jacking/UI-redressing, or issues only exploitable via click-jacking.
  • Open redirect - unless an additional security impact can be demonstrated (such as stealing an authentication token, API keys etc.).
  • Denial-of-service attacks.
  • Self-XSS without a reasonable attack scenario.
  • Injecting HTML to the emails which will be sent through Jotform.
  • Fingerprinting on common/public services.
  • Disclosure of known public files or directories (e.g robots.txt, sitemap.xml).
  • Information disclosure without significant impact.
  • SSL/TLS version and configuration issues, weak ciphers or expired certificates.
  • Cross-site Request Forgery (CSRF) with minimal security implications (e.g Login/Logout CSRF).
  • SPF/DKIM/DMARC related issues.
  • Missing or misconfigured security headers (e.g CSP, HSTS) which do not directly lead to a vulnerability.
  • Missing Secure or HTTPOnly flags on cookies.
  • Vulnerable software version disclosure without proof of exploitability.
  • Reports from automated tools.
  • Comma Separated Values (CSV) injection.
  • EXIF metadata not being stripped from images.
  • Brute-force attacks.
  • Scenarios that require unlikely user interaction and/or outdated OS or software version.
  • Attacks requiring Man-in-the-middle (MITM) or physical access to a user's device.
  • Bugs that do not pose any security risk.

優先事項には以下がが含まれます

  • Sensitive Data Exposure
  • Remote Code Execution (RCE)
  • Server-Side Request Forgery (SSRF)
  • Cross-site Scripting (XSS)
  • Cross-site Request Forgery (CSRF)
  • SQL Injection
  • XML External Entity Attacks (XXE)
  • Access Control Vulnerabilities (Insecure Direct Object Reference, Privilege Escalation, Broken Access, etc.)
  • Path/Directory Traversal Issues

プログラム規定

  • 発見した脆弱性を利用して、システムを侵害したり、データを流出させたり、他のシステムへ移動したりしないでください。脆弱性を発見したら、すぐにレポートを提出してください。
  • If you stumble upon sensitive information, such as personal information, credentials, etc., during the assessment; do not save, copy, store, transfer, disclose, or otherwise retain the data or personal information.
  • Do not perform social engineering, phishing, and physical security attacks against Jotform offices, users, or employees.
  • It is strictly prohibited to disclose any vulnerabilities without Jotform’s explicit permission.
  • Be respectful when you are interacting with our team.

ルールに従わない場合、Jotform脆弱性情報公開プログラムから追放される可能性があります。

Jotformは、いつでも本プログラムの規則を変更したり、提出されたものを無効とみなす権利を有します。脆弱性開示プログラムには金銭的な報酬はありません。Jotformは、いつでも予告なく脆弱性開示プログラムを中止することがあります。

Disclosure

脆弱性開示プログラムにはSLAはなく、ご報告に対する回答はJotformの裁量に委ねられます。弊社からの返答の有無にかかわらず、このプログラムでは、お客様による他者への開示は認められていません。また、本プログラムで発見された脆弱性に関する情報を公開したり、発見した情報を他のセキュリティ研究者と共有したりすることはできません。

Safe Harbor

Any activities conducted in a manner consistent with this policy will be considered authorized conduct. If legal action is initiated by a third party against you in connection with activities conducted under this policy, we will take steps to make it known that your actions were conducted in compliance with this policy.

Thank you for helping keep Jotform and our users safe!