Integrate.io’s Security Bug Bounty Program

Integrate.io’s Security Bug Bounty Program

安全社区好心地报告了许多安全建议和漏洞。我们是暂停当我们修复这些漏洞时，程序将重新打开integration。io的漏洞赏金计划将于今年晚些时候发布。

谢谢,
Integrate.io

Integrate.iolooks forward to working with the security community and recognises the importance and value of security researchers’ efforts in helping keep our businesses and customers safe. We encourage responsible disclosure of security vulnerabilities via our Security Bounty Program described on this page.

程序规则

请参阅我们的整个开始之前的政策!这将帮助你节省时间，并减少提交不在范围内的发现的机会。

• 请提供可重复步骤的详细报告。如果报告不够详细，无法再现问题，则不考虑该问题。
• 当出现重复时，我们只考虑收到的第一份报告(前提是它可以完全复制)。
• 我们希望您搜索错误，而不是用户数据。如果您在测试过程中遇到用户信息，立即停止并通知我们使用security@integrate.io．我们将为您的发现提供进一步的指导以及适当的认可。
• 每个报告提交一个漏洞，除非您需要将漏洞串联起来以提供影响。
• 由一个潜在问题引起的多个漏洞将被视为一个。
• 禁止社会工程(如网络钓鱼)，公司将采取法律行动。
• 作出真诚的努力，以避免侵犯隐私、破坏数据以及中断或降低我们的服务。
• 请遵守AWS渗透测试政策https://aws.amazon.com/security/penetration-testing
• 在与我们的团队互动时要尊重他人，我们的团队也会这样做。
• 不要执行涉及枚举和/或暴力强制登录的测试。
• 未经我们的同意和审查，请勿在社交媒体上进行对话、记录发现或披露漏洞。
• 不伤害或欺骗整合。艾欧的系统或者我们的用户。

范围内漏洞

• 存储/反射式跨站点脚本(XSS)
• 服务器端请求伪造(SSRF)
• 身份验证或授权缺陷
• 服务器端远程代码执行(RCE)
• 访问控制漏洞(IDOR等)
• XML外部实体攻击(XXE)
• 平台上的重大安全配置错误
• SQL注入(SQLi)
• OWASP十大漏洞
• CWE-SANS前25个危险bug

请注意:对用户有重大影响的保安问题，即使不属于范畴范畴，亦会被考虑。

超出范围的漏洞

以下问题被认为超出范围，将不符合条件:

• 扫描仪输出或扫描仪生成的报告，即报告从自动主动扫描工具。
• 公共/公共服务/配置的指纹/横幅披露。
• 在没有敏感操作的页面上点击劫持。
• 不嵌入外部链接或JavaScript的内容欺骗。
• 在范围中未明确列出的子域或属性上发现的任何漏洞。
• 任何可能导致我们的服务中断(DDoS)或速率限制问题的活动。
• CSRF配置问题，没有可利用的概念证明。
• SSL/TLS配置中缺少最佳实践。(缺乏HSTS，额外的安全头等)
• 在表单字段中存在自动完成功能。
• 在不敏感的cookie中缺少HTTP Only或安全cookie标志。
• 第三方软件(如HubSpot)的漏洞报告。
• 缺少安全标头，不会直接导致安全漏洞。
• 影响过期浏览器或插件用户的缺陷。
• 电子邮件轰炸和泛滥。
• 非敏感信息的列举或信息披露。

测试范围

我们鼓励您只在以下域上进行测试。

请勿在下列指定域或子域之外进行任何测试或扫描。

在范围:

• https://dashboard-staging.xplenty.com/
• https://console-staging.flydata.app/

公共存储库

• Xplenty API
• DreamFactory

漏洞提交策略

在提交漏洞时，请包括:

• 对漏洞和发现漏洞的环境的描述。
• 受测试应用程序和/或受影响服务的详细信息。
• 可以重现问题的详细步骤。
• 图像附件(可选)。不要在电子邮件中附加任何可执行文件。
• 请电邮至security@integrate.io．

分类的过程

提交后电邮至security@integrate.io(如果需要，PGP加密细节在这里)．在公开讨论任何发现之前，请留出时间进行分类和修复漏洞。

收到提交后，集成。IO将尽最大努力提供及时的第一响应。在整个过程中，我们会尽量让您了解我们的进展。

奖励和认可

要认识到安全研究人员提供的重要工作，请集成。io提供最高$2,000的金钱奖励(最低$50的奖励)，最终奖励的价值取决于报告的漏洞的严重程度(CVSS分数)，并据此将业务风险设为指数(1=高，2=中，3=低)计算器．

为了有资格获得奖励，您必须遵守本文件中概述的条款和规则。

最后指出

集成。IO团队感谢所有安全人员的帮助，使我们的客户安全可靠。我们赞赏你的辛勤工作、奉献精神和支持一体化的承诺。IO漏洞赏金程序。我们将对bug的合格性和价值做出最终决定。

本计划完全由我们自行决定，并可随时修改或取消。我们对这些项目条款所做的任何更改都不具有追溯效力。

感谢所有安全人员对Integrate的帮助。IO安全可靠。