Introducción
Squarespace está comprometido a mantener una postura firme en cuanto a seguridad. Alentamos a todos los expertos en seguridad a poner en práctica la divulgación responsable e informarnos de inmediato si descubren cualquier vulnerabilidad. Investigaremos todos los informes legítimos y te contactaremos si necesitamos más detalles. Antes de informarnos de una vulnerabilidad, sigue nuestras Pautas de divulgación responsable y los Criterios de envío que se indican a continuación.
Criterios de envío
Ejecución Remota de Código en el Servidor (server-side) (RCE)
Inyección SQL (SQLi)
Falsificación de Solicitudes en el Servidor (server-side) (SSRF)
Ejecución de scripts entre sitios (XSS)
Ataques XML de Entidades Externas (XXE)
Divulgación de Archivos Locales (LFD)
Falsificación de Solicitudes entre Sitios (CSRF)
Problemas de Control de Acceso (ACI)
Todos los sitios web de los clientes de Squarespace o los contenidos de otros clientes no son propiedad del investigador.
Si encuentras que una solicitud tarda demasiado en responder, infórmanoslo. No hagas que el sistema entre en denegación de servicio (DoS, por sus siglas en inglés).
Problemas solo explotables a través del secuestro de clics (clickjacking).
Las vulnerabilidades son conocidos (por ej., descubiertas anteriormente por un equipo interno o por otro investigador).
Problemas que requieren acceso físico a la computadora de la víctima.
Problemas que requieren acceso privilegiado a la red de la víctima.
Denegación de servicio a nivel de red.
Problemas de XSS que solo afectan a los navegadores desactualizados.
Denegación de servicio a nivel de aplicación.
Envíos duplicados que se están resolviendo.
Falta de marcas relacionadas con la seguridad en las cookies.
Pautas de complejidad de contraseñas.
Ataques de fuerza bruta a contraseñas.
Falta de validación de correo electrónico.
Auto-XSS.
Descarga de Archivo Reflejado (RFD, por sus siglas en inglés).
Enumeración de correos electrónicos o usuarios.
Ningún investigador de seguridad informó una posible vulnerabilidad
Si eres cliente de Squarespace, pero no eres investigador de seguridad, presenta una solicitud de atención al cliente con tus inquietudes sobre la seguridad a continuación.
Atención al cliente excelente
Trabajar con Squarespace es como tener tu propio departamento de informática. Además de alojamiento ilimitado y una infraestructura sólida, ofrecemos asistencia personalizada las 24 horas del día, todos los días de la semana.
Squarespace tiene todo lo necesario para crear una página web atractiva.