소개

Squarespace는 강력한 보안 태세를 유지하기 위해 최선을 다하고 있습니다. 보안 전문가들이 책임감 있는 공개를 실천하고 취약점이 발견되면 즉시 알려주실 것을 권장합니다. 모든 합법적인 신고를 조사하고 추가 정보가 필요한 경우 후속 조치를 취할 것입니다. 취약점을 신고하기 전에 아래에 설명된 책임 있는 공개 가이드라인 및 제출 기준을 따르시기 바랍니다.

책임 있는 공개 가이드라인

HackerOne에서 관리하는 비공개 버그 바운티가 있으며, 보안 문제는 반드시 이곳에 보고해야 합니다. HackerOne 아이디를 보내면 해당 프로그램에 초대하고, 보고서를 다시 제출하여 적절히 분류해 드립니다.

제출 기준

범위 내

• 서버 측 원격 코드 실행(RCE)

• 사이트 간 스크립팅(XSS)

• 사이트 간 요청 위조(CSRF)

• 서버 측 요청 위조(SSRF)

• SQL 삽입(SQLi)

• XML 외부 엔티티 공격(XXE)

• 액세스 제어 문제(ACI)

• Local File Disclosure (LFD)

범위 외:

• Squarespace Extensions

• 비관리자 역할에서 관리자 역할로 권한 승격.

• 동일한 사이트에서 한 사용자가 다른 사용자에게 가하는 모든 공격

• 연구자가 소유하지 않은 모든 Squarespace 고객 웹사이트

• 네트워크 레벨 서비스 거부(DoS) 공격

• 애플리케이션 레벨 서비스 거부(DoS) 공격 응답이 너무 오래 걸리는 요청을 발견하면 신고하세요. 시스템을 DoS 공격을 하지 마세요.

• Self-XSS. 사용자가 사이트에 임의의 스크립트를 추가할 수 있도록 허용합니다. 사이트 소유자로 태그에 스크립트를 삽입하는 것은 이 기능과 동일합니다.
  참고: 사이트의 /config 경로에서의 Self-XSS는 허용될 수 있습니다.

• 추측할 수 없는 ID에 대한 안전하지 않은 직접 객체 참조(IDOR)

• 수정 중인 중복 제출 항목

• 동일한 취약점 유형에 대해 약간의 변형이 있는 여러 보고서

• 모든 OAuth 흐름

• 속도 제한 문제

• 세션 타임아웃 문제

• 90일 이내에 발생한 이슈 패치

• 30일 이내에 발생한 0(제로)데이 취약점

• 비밀번호 복잡성 가이드라인

• 이메일 유효성 검사 부족

• 이메일 또는 사용자 열거

• 클릭재킹 또는 클릭재킹을 통해서만 악용될 수 있는 문제

• 오래된 브라우저에만 영향을 미치는 XSS 문제

• 시스템에서 보안 문제로 간주되지 않는 오픈 리디렉션

• 쿠키에 보안 관련 플래그 누락

• 비밀번호 무차별 대입 공격

• Reflected File Download (RFD)

• 피해자의 컴퓨터에 물리적으로 접근해야 하는 문제

• 피해자의 네트워크에 권한 있는 액세스가 필요한 문제

잠재적 취약점 보고 워크플로

보안 연구원인 경우, 아래에 HackerOne 아이디를 입력하세요.