Introdução

O Squarespace tem o compromisso de manter uma postura de segurança forte. Nós incentivamos os profissionais de segurança a realizarem a divulgação responsável e a nos informar imediatamente caso descubram alguma vulnerabilidade. Investigaremos todos os relatórios legítimos e faremos o acompanharemos caso haja necessidade de mais detalhes. Antes de relatar alguma vulnerabilidade, siga as nossas Diretrizes de Divulgação Responsável e os Critérios de Envio descritos abaixo.

Diretrizes de divulgação responsável

Temos um programa particular de recompensa por bugs gerenciado pelo HackerOne; qualquer problema de segurança deve ser denunciado lá. Envie o seu nome de usuário do HackerOne para convidarmos você para o programa. Lá, você pode reenviar a denúncia para +a triagem adequada.

Critérios de envio

No escopo:

  • Execução remota de código no servidor (RCE)

  • Cross-site Scripting (XSS)

  • Falsificação de solicitação entre locais (CSRF)

  • Falsificação de solicitação no servidor (SSRF)

  • Injeção de SQL (SQLi)

  • Ataques de entidade externa de XML (XXE)

  • Problemas de controle de acesso (ACI)

  • Divulgação de arquivo local (LFD)

Fora do escopo:

  • Squarespace Extensions

  • Transferência de privilégios de uma função que não é de administrador para uma função de administrador.

  • Todos os ataques de um usuário a outro usuário no mesmo site.

  • Todos os sites de clientes do Squarespace que não pertencem ao pesquisador.

  • Negação de serviço em nível de rede.

  • Negação de serviço em nível de aplicativo. Se alguma solicitação demorar para responder, comunique-nos. Não faça o DoS do sistema.

  • Self-XSS. Permitimos aos usuários adicionarem scripts arbitrários ao site. A injeção de script em uma tag como proprietário do site equivale a essa funcionalidade.
    Atenção: o Self-XSS na rota /config do site pode ser aceitável

  • Referência insegura direta de objeto para ids que não podem ser adivinhadas.

  • Envios duplicados que estão sendo corrigidos.

  • Várias denúncias para o mesmo tipo de vulnerabilidade com pequenas variações.

  • Todos os fluxos de OAuth.

  • Problemas na limitação de taxa.

  • Problemas no tempo limite de sessão.

  • Correção de problemas com menos de 90 dias.

  • Vulnerabilidades de 0 dia com menos de 30 dias.

  • Orientações sobre a complexidade de senha.

  • Inexistência da validação de e-mail.

  • E-mail ou enumeração do usuário.

  • Clickjacking ou problemas exclusivamente vulneráveis ao clickjacking.

  • Problemas de XSS que afetam somente browsers desatualizados.

  • Redirecionamentos abertos estão fora do escopo.

  • Falta de sinalizadores de segurança em cookies.

  • Força bruta de senha.

  • Download de arquivo refletido (RFD).

  • Problemas que exigem acesso físico ao computador da vítima.

  • Problemas que exigem acesso privilegiado à rede da vítima.

Denúncia de possível fluxo de trabalho de vulnerabilidade

Se você for um pesquisador de segurança, informe abaixo seu nome de usuário do HackerOne