Introducción

Squarespace está comprometido a mantener una postura firme en cuanto a seguridad. Alentamos a todos los expertos en seguridad a poner en práctica la divulgación responsable e informarnos de inmediato si descubren cualquier vulnerabilidad. Investigaremos todos los informes legítimos y te contactaremos si necesitamos más detalles. Antes de informarnos de una vulnerabilidad, sigue nuestras Pautas de divulgación responsable y los Criterios de envío que se indican a continuación.

Pautas de divulgación responsable

Tenemos una recompensa privada por errores administrada por HackerOne, en la que se deben reportar los problemas de seguridad. Si nos envías tu nombre de usuario de HackerOne, podemos invitarte al programa para que vuelvas a enviar este reporte y hagas que se priorice correctamente.

Criterios de envío

Envíanos:

  • Ejecución Remota de Código en el Servidor (server-side) (RCE)

  • Ejecución de scripts entre sitios (XSS)

  • Falsificación de Solicitudes entre Sitios (CSRF)

  • Falsificación de Solicitudes en el Servidor (server-side) (SSRF)

  • Inyección SQL (SQLi)

  • Ataques XML de Entidades Externas (XXE)

  • Problemas de Control de Acceso (ACI)

  • Divulgación de Archivos Locales (LFD)

No nos envíes:

  • Todos los sitios web de los clientes de Squarespace o los contenidos de otros clientes no son propiedad del investigador.

  • Las vulnerabilidades son conocidos (por ej., descubiertas anteriormente por un equipo interno o por otro investigador).

  • Denegación de servicio a nivel de red.

  • Denegación de servicio a nivel de aplicación. Si encuentras que una solicitud tarda demasiado en responder, infórmanoslo. No hagas que el sistema entre en denegación de servicio (DoS, por sus siglas en inglés).

  • Auto-XSS.

  • Envíos duplicados que se están resolviendo.

  • Pautas de complejidad de contraseñas.

  • Falta de validación de correo electrónico.

  • Enumeración de correos electrónicos o usuarios.

  • Problemas solo explotables a través del secuestro de clics (clickjacking).

  • Problemas de XSS que solo afectan a los navegadores desactualizados.

  • Falta de marcas relacionadas con la seguridad en las cookies.

  • Ataques de fuerza bruta a contraseñas.

  • Descarga de Archivo Reflejado (RFD, por sus siglas en inglés).

  • Problemas que requieren acceso físico a la computadora de la víctima.

  • Problemas que requieren acceso privilegiado a la red de la víctima.

Notificar sobre un posible flujo de trabajo vulnerable

Si eres cliente de Squarespace, presenta una solicitud de atención al cliente con tus inquietudes de seguridad pulsando aquí.

Si eres investigador de seguridad, ingresa tu nombre de usuario de HackerOne a continuación

Debe tener este formato: https://hackerone.com/myusername