Introduction

Squarespace s’engage à maintenir un niveau élevé de sécurité. Nous encourageons les professionnels de la sécurité à pratiquer une divulgation responsable et à nous signaler immédiatement toute vulnérabilité découverte. Nous examinerons tous les rapports légitimes et assurerons un suivi si des détails supplémentaires sont requis. Avant de signaler une vulnérabilité, veuillez suivre nos Directives de divulgation responsable et nos Critères de soumission décrits ci-dessous.

Directives de divulgation responsable

Nous proposons un programme privé de prime aux bogues géré par HackerOne, afin d’inciter les internautes à signaler les problèmes de sécurité. Veuillez nous communiquer votre nom d’utilisateur HackerOne pour recevoir une invitation à rejoindre le programme et soumettre à nouveau votre rapport en vue d’un meilleur triage.

Critères de soumission

Dans le champ dʼapplication :

  • Exécution de code à distance (Remote Code Execution, ou RCE) côté serveur

  • Cross-site scripting (XSS)

  • Injections de requêtes illégitimes par rebond (« cross-site request forgery », ou CSRF)

  • Server-Side Request Forgery (SSRF)

  • Injection SQL (SQLi)

  • Attaques dʼentités externes XML (ou attaques XXE)

  • Problèmes liés au contrôle des accès

  • Divulgation de fichier local (Local File Disclosure ou LFD)

Hors champ dʼapplication :

  • Squarespace Extensions

  • Augmentation des privilèges pour passer d’un rôle non administrateur à un rôle administrateur.

  • Toutes les attaques d’un utilisateur envers un autre sur le même site.

  • Tous les sites web clients de Squarespace n’appartenant pas à l’investigateur.

  • Déni de service au niveau du réseau.

  • Déni de service au niveau des applications. Si vous trouvez une requête qui prend trop de temps à répondre, signalez-la. Ne surchargez pas le système avec une attaque par déni de service.

  • Self-XSS. Nous permettons à nos utilisateurs d’ajouter des scripts arbitraires à leurs sites. L’injection d’un script dans un tag est donc autorisée dans le cadre de cette fonctionnalité tant que vous êtes le propriétaire du site.
    Remarque : le Self-XSS dans le routage d’un site ou d’une configuration peut être accepté.

  • Référence directe non sécurisée à un objet (Insecure direct object reference) pour les ID non vérifiables.

  • Envois en double en cours de correction.

  • Plusieurs rapports pour le même type de vulnérabilité avec des variations mineures.

  • Tous les flux OAuth.

  • Problèmes relatifs à la limitation du débit.

  • Problèmes relatifs à la durée des sessions.

  • Problèmes de correctifs datant de moins de 90 jours.

  • Vulnérabilités 0-day datant de moins de 30 jours.

  • Directives relatives à la complexité des mots de passe.

  • Absence d’e-mail de validation.

  • Énumération des adresses e-mail et des utilisateurs.

  • Détournement de clic ou problèmes uniquement exploitables par détournement de clic.

  • Problèmes de XSS ne concernant que les navigateurs obsolètes.

  • Les redirections ouvertes sont hors champ.

  • Absence d’indicateurs de sécurité sur les cookies.

  • Attaques par force brute du mot de passe.

  • Reflected File Download (RFD).

  • Problèmes qui nécessitent un accès physique à l’ordinateur de la victime.

  • Problèmes qui nécessitent un accès privilégié au réseau de la victime.

Signaler une vulnérabilité potentielle

Si vous êtes chercheur en sécurité, veuillez saisir votre nom d’utilisateur HackerOne ci-dessous.