得到一个演示

漏洞披露政策

Constant Contact (SharpSpring) 的 SharpSpring 非常重视我们平台和用户数据的安全性。 如果您发现或相信您在 SharpSpring 服务中发现了潜在的安全漏洞,我们鼓励您根据本漏洞披露计划尽快向我们披露您的发现。 请注意,漏洞披露计划不同于漏洞赏金。 漏洞披露计划允许道德黑客发现和报告漏洞,但它不提供金钱补偿。 SharpSpring 保留接受或拒绝任何提交的权利。

Safe Harbor

如果您根据本[漏洞披露计划]发现并报告安全漏洞,我们认为这项研究是:

  • 根据《计算机欺诈和滥用法案》(CFAA)(和/或类似的州法律)授权,我们不会因您意外、善意违反本自愿披露政策而对您提起或支持法律诉讼;
  • 不受数字千年版权法案 (DMCA) 的约束,我们不会因规避技术控制而对您提出索赔;
  • 不受我们的限制 服务条款 这会干扰进行安全研究,并且我们在有限的基础上放弃根据本 [漏洞披露计划] 完成的工作的这些限制; 和
  • 合法,有利于互联网的整体安全,并善意进行。

您应一如既往地遵守所有适用法律。 如果您在任何时候有疑虑或不确定您的安全研究是否与本 [漏洞披露计划] 一致,请在继续之前与我们联系。

申请资格

如果您是 SharpSpring 任何子公司的员工或员工的家庭成员,或者该供应商的当前供应商或员工,则您不得参与此计划。 如果您 (i) 在美国制裁目标的国家或地区(包括古巴、伊朗、叙利亚、朝鲜或乌克兰的克里米亚地区),(ii) 被指定为特别由美国财政部外国资产控制办公室指定的国民或受阻人员,或以其他方式拥有、控制或代表此类人员或实体行事,或 (iii) 美国贸易和出口管制法规定的其他禁止方。

酌情披露政策:

由于公开披露安全漏洞可能会使整个 SharpSpring 社区面临风险,因此我们要求您对此类潜在漏洞保密,直到我们能够解决它们。 因此,在未经 SharpSpring 明确书面同意的情况下公开披露任何已识别或涉嫌漏洞的提交细节将被视为不符合本漏洞披露政策。 

发现安全漏洞

我们鼓励对 SharpSpring 服务和产品进行负责任的安全研究。 我们允许您对您有权访问的 SharpSpring 服务和产品进行漏洞研究和测试。 在任何情况下,您的研究和测试都不应涉及但不限于:

  • 访问或试图访问不属于您或您的授权用户的帐户或数据,
  • 任何下载、修改或销毁任何数据的尝试,
  • 执行或试图执行拒绝服务攻击,
  • 发送或试图发送未经请求或未经授权的电子邮件、垃圾邮件或其他形式的未经请求的消息,
  • 测试与任何 SharpSpring 服务集成的第三方网站、应用程序或服务,
  • 发布、传输、上传、链接、发送或存储恶意软件、病毒或类似有害软件,或以其他方式试图中断或降低 SharpSpring 服务。
  • 任何违反任何适用法律的活动。

报告范围内的安全漏洞

如果您认为您发现了安全漏洞问题,请通过完成我们的与 SharpSpring 分享详细信息 提交表格. 我们将与您一起验证和响应您向我们报告的安全漏洞。 您的报告将转发给我们的合作伙伴 (BugCrowd),以便及时确认和验证。 每提交一份有效接受的报告,您都会获得“积分”奖励。 您必须是第一个报告错误的人才能获得所有可能的积分。

经过验证的问题将传递给我们的开发团队,以便在与问题严重性(由 BugCrowd 漏洞评级分类法定义)相称的时间表上进行补救。 {https://bugcrowd.com/vulnerability-rating-taxonomy}

请不要将漏洞电子邮件直接发送给 SharpSpring 员工。 您与 SharpSpring 之间的电子邮件通信,包括但不限于您发送给 SharpSpring 的报告潜在安全漏洞的电子邮件,不应包含您的任何专有信息。 您发送给 SharpSpring 的所有电子邮件通信的内容均应被视为非专有的。 SharpSpring 或其任何附属公司可以将此类通信或材料用于任何目的,包括但不限于复制、披露、传输、出版、广播和进一步张贴。

 

超出范围 

以下是我们要求您不要报告的部分问题列表,除非您认为存在实际漏洞:

  • 匿名用户可用的表单上的 CSRF
  • 公开已知的公共文件或目录(例如 robots.txt)
  • 域名系统安全扩展 (DNSSEC) 配置建议
  • 关于公共/公共服务的横幅披露
  • HTTP/HTTPS/SSL/TLS 安全头配置建议
  • 非敏感 cookie 上缺少 Secure/HTTPOnly 标志
  • 注销跨站请求伪造(注销 CSRF)
  • 网络钓鱼或社会工程技术
  • 存在应用程序或网络浏览器“自动完成”或“保存密码”功能
  • 发件人策略框架 (SPF) 配置和基于域的消息身份验证、报告和一致性 (DMARC) 建议

通过参与此漏洞披露计划,您承认您已阅读并同意 SharpSpring 的 服务条款 和 隐私政策以及 BugCrowd 的标准披露条款. 如果 SharpSpring 的服务条款与 BugCrowd 的标准披露条款有任何冲突,应以 SharpSpring 的服务条款为准。