Programa de Divulgação de Vulnerabilidades Jotform

Na Jotform, garantir a privacidade e segurança dos dados de nossos usuários é uma de nossas principais prioridades. Por isso, se você acredita ter descoberto uma vulnerabilidade capaz de afetar qualquer produto Jotform, reporte-a para nós de acordo com as diretrizes abaixo. Valorizamos o impacto positivo do seu trabalho e agradecemos antecipadamente pela sua contribuição.

Continue lendo para obter mais informações sobre nosso programa PDV, bem como seus requisitos.

See Rules

Resposta

Jotform não fornece nenhuma meta de resposta para este programa.

Política de Divulgação

  • Notifique-nos após descobrir um problema de segurança real ou potencial.
  • Envie uma descrição textual clara da vulnerabilidade, juntamente com os passos necessários para reproduzi-la.
  • Para que o relatório de vulnerabilidade seja compreensível, você pode incluir anexos como vídeos, capturas de tela ou códigos como prova de conceito, conforme necessário.
  • Não faça mais mal do que bem. Você não deve deixar sistemas ou usuários em um estado mais vulnerável do que quando os encontrou. Você não deve se envolver em testes ou atividades relacionadas que degradem, danifiquem ou destruam informações em nossos sistemas ou que possam afetar nossos usuários. Ao pesquisar uma vulnerabilidade, se você não tiver certeza se deve continuar, entre imediatamente em contato com a equipe de Segurança da Jotform.

Escopo

Sistemas de informação publicamente acessíveis, propriedades da web ou dados pertencentes, operados ou controlados pela Jotform.

Non-Qualifying Vulnerabilities

  • Tab-nabbing.
  • Click-jacking/UI-redressing, or issues only exploitable via click-jacking.
  • Open redirect - unless an additional security impact can be demonstrated (such as stealing an authentication token, API keys etc.).
  • Denial-of-service attacks.
  • Self-XSS without a reasonable attack scenario.
  • Injecting HTML to the emails which will be sent through Jotform.
  • Fingerprinting on common/public services.
  • Disclosure of known public files or directories (e.g robots.txt, sitemap.xml).
  • Information disclosure without significant impact.
  • SSL/TLS version and configuration issues, weak ciphers or expired certificates.
  • Cross-site Request Forgery (CSRF) with minimal security implications (e.g Login/Logout CSRF).
  • SPF/DKIM/DMARC related issues.
  • Missing or misconfigured security headers (e.g CSP, HSTS) which do not directly lead to a vulnerability.
  • Missing Secure or HTTPOnly flags on cookies.
  • Vulnerable software version disclosure without proof of exploitability.
  • Reports from automated tools.
  • Comma Separated Values (CSV) injection.
  • EXIF metadata not being stripped from images.
  • Brute-force attacks.
  • Scenarios that require unlikely user interaction and/or outdated OS or software version.
  • Attacks requiring Man-in-the-middle (MITM) or physical access to a user's device.
  • Bugs that do not pose any security risk.

Nossas Prioridades Incluem

  • Sensitive Data Exposure
  • Remote Code Execution (RCE)
  • Server-Side Request Forgery (SSRF)
  • Cross-site Scripting (XSS)
  • Cross-site Request Forgery (CSRF)
  • SQL Injection
  • XML External Entity Attacks (XXE)
  • Access Control Vulnerabilities (Insecure Direct Object Reference, Privilege Escalation, Broken Access, etc.)
  • Path/Directory Traversal Issues

Regras do Programa

  • Nunca use nenhuma de suas descobertas para comprometer o sistema, extrair dados ou migrar para outros sistemas. Envie seu relatório imediatamente após a descoberta de uma vulnerabilidade.
  • If you stumble upon sensitive information, such as personal information, credentials, etc., during the assessment; do not save, copy, store, transfer, disclose, or otherwise retain the data or personal information.
  • Do not perform social engineering, phishing, and physical security attacks against Jotform offices, users, or employees.
  • It is strictly prohibited to disclose any vulnerabilities without Jotform’s explicit permission.
  • Be respectful when you are interacting with our team.

Caso não siga as regras, você pode ser banido do Programa de Divulgação de Vulnerabilidades da Jotform.

Jotform reserva-se o direito de modificar as regras deste programa ou considerar qualquer envio inválido a qualquer momento. Não há recompensa monetária associada ao Programa de Divulgação de Vulnerabilidades. Jotform pode descontinuar o Programa de Divulgação de Vulnerabilidades a qualquer momento sem aviso prévio.

Disclosure

Observe que não há SLA associado ao programa de divulgação de vulnerabilidades e as respostas aos seus relatórios ficam a critério exclusivo da Jotform. Independente de você receber uma resposta nossa ou não, este programa não permite a divulgação de sua parte a terceiros. Você não pode divulgar publicamente informações sobre vulnerabilidades encontradas neste programa, nem compartilhar suas descobertas com outros pesquisadores de segurança.

Safe Harbor

Any activities conducted in a manner consistent with this policy will be considered authorized conduct. If legal action is initiated by a third party against you in connection with activities conducted under this policy, we will take steps to make it known that your actions were conducted in compliance with this policy.

Thank you for helping keep Jotform and our users safe!