Introduzione

Squarespace si impegna a garantire la massima sicurezza. Incoraggiamo gli esperti di sicurezza a divulgare in modo responsabile informazioni in merito e a comunicarci immediatamente eventuali vulnerabilità rilevate. Esamineremo tutte le segnalazioni legittime e, se necessario, chiederemo di fornire ulteriori dettagli. Prima di segnalare una vulnerabilità, segui le nostre Linee guida sulla divulgazione responsabile e i criteri di invio descritti di seguito.

Linee guida sulla divulgazione responsabile

Disponiamo di un bug bounty privato gestito da HackerOne nel quale è necessario segnalare i problemi di sicurezza. Se ti è possibile, inviaci il tuo nome utente di HackerOne e sarai invitato al programma in cui potrai inviare nuovamente la segnalazione e sottoporla a un'analisi accurata.

Criteri di invio

In ambito:

  • Esecuzione di codice remoto lato server (RCE)

  • Script tra siti (XSS)

  • Falsificazione delle richieste tra siti (CSRF)

  • Falsificazione richieste lato server (SSRF)

  • SQL injection (SQLi)

  • Attacchi entità esterna XML (XXE)

  • Problemi di controllo di accesso (ACI)

  • Divulgazione file locali (LFD)

Fuori ambito:

  • Squarespace Extensions

  • Maggiori autorizzazioni da un ruolo di non amministratore a un ruolo di amministratore.

  • Tutti gli attacchi da un utente a un altro utente sullo stesso sito.

  • Tutti i siti web Squarespace del cliente non di proprietà del ricercatore.

  • Denial of Service a livello di rete.

  • Denial of Service a livello di applicazione. Se trovi una richiesta la cui risposta richiede troppo tempo, inviaci una segnalazione. Non lasciare che l'intero sistema vada in DoS.

  • Self-XSS. Consentiamo ai nostri utenti di aggiungere script arbitrari ai loro siti. L'iniezione di uno script in un tag da parte del proprietario del sito è equivalente a questa funzionalità.
    Nota: il Self-XSS sul percorso di un sito o di una configurazione può essere accettato

  • Riferimento diretto a un oggetto non sicuro per ID non intuibili.

  • Invii duplicati in fase di risoluzione.

  • Più segnalazioni per lo stesso tipo di vulnerabilità con variazioni minori.

  • Tutti i flussi OAuth.

  • Problemi di limitazione velocità.

  • Problemi di timeout di sessione.

  • Applicazione patch per problemi di meno di 90 giorni fa.

  • Vulnerabilità 0-day di meno di 30 giorni fa.

  • Linee guida sulla complessità delle password.

  • Mancanza di convalida e-mail.

  • Enumerazione e-mail o utente.

  • Clickjacking o problemi con exploit possibile solo tramite clickjacking.

  • Problemi XSS che interessano solo browser obsoleti.

  • I reindirizzamenti aperti sono fuori ambito.

  • Mancanza di contrassegni relativi alla sicurezza sui cookie.

  • Attacco di forza bruta alle password.

  • Download di file riflesso (RFD).

  • Problemi che richiedono l'accesso fisico al computer della vittima.

  • Problemi che richiedono un accesso privilegiato alla rete della vittima.

Segnalazione di un flusso di lavoro di vulnerabilità potenziale

Se sei un analista della sicurezza, inserisci il tuo nome utente HackerOne di seguito