Introducción

Squarespace está comprometido a mantener una postura firme en cuanto a seguridad. Alentamos a todos los expertos en seguridad a poner en práctica la divulgación responsable e informarnos de inmediato si descubren cualquier vulnerabilidad. Investigaremos todos los informes legítimos y te contactaremos si necesitamos más detalles. Antes de informarnos de una vulnerabilidad, sigue nuestras Pautas de divulgación responsable y los Criterios de envío que se indican a continuación.

Pautas de divulgación responsable

Tenemos una recompensa privada por errores administrada por HackerOne, en la que se deben reportar los problemas de seguridad. Si nos envías tu nombre de usuario de HackerOne, podemos invitarte al programa para que vuelvas a enviar este reporte y hagas que se priorice correctamente.

Criterios de envío

Envíanos:

  • Ejecución Remota de Código en el Servidor (server-side) (RCE)

  • Ejecución de scripts entre sitios (XSS)

  • Falsificación de Solicitudes entre Sitios (CSRF)

  • Falsificación de Solicitudes en el Servidor (server-side) (SSRF)

  • Inyección SQL (SQLi)

  • Ataques XML de Entidades Externas (XXE)

  • Problemas de Control de Acceso (ACI)

  • Divulgación de Archivos Locales (LFD)

No nos envíes:

  • Squarespace Extensions

  • El aumento de privilegios de un rol no administrativo a un rol de administrador.

  • Todos los ataques de un usuario a otro en el mismo sitio.

  • Todos los sitios web de clientes de Squarespace que no son propiedad del investigador.

  • Denegación de servicio a nivel de red.

  • Denegación de servicio a nivel de aplicación. Si encuentras que una solicitud tarda demasiado en responder, infórmanoslo. No hagas que el sistema entre en denegación de servicio (DoS, por sus siglas en inglés).

  • Auto-XSS. Permitimos a nuestros usuarios añadir scripts arbitrarios a sus sitios. Insertar un script en una etiqueta como propietario del sitio es equivalente a esta funcionalidad.
    Nota: El auto-XSS en la ruta de configuración de un sitio puede ser aceptable.

  • Referencias directas inseguras a objetos para ID no deducibles.

  • Envíos duplicados que se están resolviendo.

  • Varios reportes para el mismo tipo de vulnerabilidad con variaciones menores.

  • Todos los flujos de OAuth.

  • Problemas de limitación de clasificación.

  • Problemas con el tiempo de espera de la sesión.

  • Problemas de revisiones de menos de 90 días de antigüedad.

  • Vulnerabilidades del día 0 de menos de 30 días de antigüedad.

  • Pautas de complejidad de contraseñas.

  • Falta de validación de correo electrónico.

  • Enumeración de correos electrónicos o usuarios.

  • Problemas solo explotables a través del secuestro de clics (clickjacking).

  • Problemas de XSS que solo afectan a los navegadores desactualizados.

  • Los redireccionamientos abiertos están fuera de alcance.

  • Falta de marcas relacionadas con la seguridad en las cookies.

  • Ataques de fuerza bruta a contraseñas.

  • Descarga de Archivo Reflejado (RFD, por sus siglas en inglés).

  • Problemas que requieren acceso físico a la computadora de la víctima.

  • Problemas que requieren acceso privilegiado a la red de la víctima.

Notificar sobre un posible flujo de trabajo vulnerable

Si eres investigador de seguridad, ingresa tu nombre de usuario de HackerOne a continuación