はじめに

Squarespaceは堅固なセキュリティ体制の維持に力を入れています。セキュリティ専門家に対して、責任ある開示を実践し、脆弱性が発見され次第、当社に報告することを奨励しています。当社は正当な報告をすべて調査して、詳しい情報が必要な場合はフォロー アップしています。脆弱性を報告する前に、『Responsible Disclosure Guidelines (責任ある開示ガイドライン)』と下記の送信基準に従ってください。

責任ある開示ガイドライン

Squarespaceでは、HackerOneに非公開のバグ バウンティ プログラム運営を依頼しており、セキュリティに関する問題は、バグ バウンティ プログラムに報告する必要があります。お使いのHackerOneユーザー名を当社に送信してください。プログラムに招待されたら、しかるべき対応が取られるよう、この報告をプログラムに再送信してください。

送信基準

対象:

  • サーバーサイド リモート コード実行 (RCE)

  • クロスサイト スクリプティング (XSS)

  • クロスサイト リクエスト フ⁠ォ⁠ー⁠ジ⁠ェ⁠リ (CSRF)

  • サーバーサイド リクエスト フ⁠ォ⁠ー⁠ジ⁠ェ⁠リ (SSRF)

  • SQLインジェクション (SQLi)

  • XML外部エンティティ攻撃 (XXE)

  • アクセス制御の問題 (ACI)

  • ローカル ファイル開示 (LFD)

対象外:

  • Squarespace Extensions

  • ロールを管理者以外から管理者に昇格させる権限エスカレーション。

  • サイト内のあるユーザーから他のユーザーに対するすべての攻撃。

  • SquarespaceクライアントのWebサイトのうち、所有者が研究者でないものすべて。

  • ネットワーク レベルのサービス拒否。

  • アプリケーション レベルのサービス拒否。応答時間が長すぎるリクエストがあった場合は、当社に報告してください。システムをサービス拒否状態にしないでください。

  • セルフXSS。Squarespaceのユーザーは、自分のサイトに任意のスクリプトを追加できます。サイト所有者としてタグにスクリプトを挿入しても同じ結果が得られます。
    注: セルフXSSは、サイトのルートまたはconfigルートで許容される場合があります

  • 推測不能なIDを対象とする安全でない直接オブジェクト参照。

  • 重複した送信内容ですでに修正中のもの。

  • 同じタイプであるものの、細部が若干異なる脆弱性に関する複数の報告。

  • すべてのOAuthフロー。

  • レート制限に関する問題。

  • セッション タイムアウトの問題。

  • 発見後90日未満の問題にパッチを適用。

  • 発見後30日未満の0デイ脆弱性。

  • パスワードの複雑度に関するガイドライン。

  • メールの未検証。

  • メールまたはユーザー名の列挙。

  • クリックジャッキングまたはクリックジャッキングを通じてのみ悪用可能な問題。

  • 古いブラウザーにのみ影響するXSSの問題。

  • オープン リダイレクトは対象外です。

  • Cookieに関するセキュリティ関連のフラグの欠如。

  • パスワードのブルートフォース攻撃。

  • 反射型ファイル ダウンロード (RFD)。

  • 被害者のコンピューターに物理的にアクセスする必要のある問題。

  • 被害者のネットワークへの特権アクセスが必要な問題。

脆弱性が疑われるワークフローを報告する

セキュリティ研究者の方は、HackerOneのユーザー名を以下にご入力ください