Gestisci i cookie
Utilizziamo i cookie per offrirti una migliore esperienza di navigazione e per misurare l'efficacia delle nostre campagne pubblicitarie. Per ulteriori dettagli, consulta la Cookie Policy.
Impostazioni dei cookie
I cookie necessari per il corretto funzionamento del sito web sono sempre attivi.
Gli altri cookie sono configurabili.
Cookie essenziali
Sempre attivo
Sempre attivi. Questi cookie sono indispensabili per consentirti di navigare sul sito web e di utilizzarne le funzionalità. Non possono essere disattivati. Vengono impostati in risposta alle tue richieste, come l'impostazione delle preferenze sulla privacy, l'accesso al sito o la compilazione di moduli.
Cookie di analisi
Disabile
Questi cookie raccolgono informazioni per aiutarci a capire come vengono utilizzati i nostri siti web o quanto siano efficaci le nostre campagne di marketing, e come possiamo personalizzare i nostri siti web in base alle tue esigenze. Consulta qui l'elenco dei cookie di analisi che utilizziamo.
Cookie pubblicitari
Disabile
Questi cookie forniscono alle società pubblicitarie informazioni sulla tua attività online per aiutarle a proporti annunci pubblicitari online più pertinenti o a limitare il numero di volte in cui visualizzi un annuncio. Queste informazioni potrebbero essere condivise con altre società pubblicitarie.
Cookie funzionali
Disabile
Questi cookie salvano le impostazioni dei visitatori del sito web, degli utenti e dei loro rappresentanti al fine di monitorare i risultati della campagna promozionale.
Ok
ISCRIVERSI
TILDA PUBLISHING

Programma Bug Bounty di Tilda

~
1. Panoramica
Collaboriamo attivamente con i ricercatori nel campo della sicurezza e offriamo ricompense a chi individua vulnerabilità nella piattaforma Tilda, compresi i suoi strumenti integrati e i servizi correlati.

Di seguito troverete il regolamento completo del programma e le istruzioni su come segnalare una vulnerabilità.
2. Informazioni generali: ambito del programma
2.1. Ambito di applicazione
Questo programma riguarda le vulnerabilità presenti nei servizi, negli strumenti e nelle applicazioni web di proprietà di Tilda.
I test di sicurezza sono consentiti a condizione che siano effettuati:
  • Utilizza esclusivamente i tuoi account Tilda.
  • Nell'ambito delle funzionalità disponibili con il piano tariffario in questione.
  • Senza interrompere i sistemi di produzione.
Per provare le funzionalità avanzate, puoi utilizzare un account con una versione di prova attiva del Piano Personale della durata di 14 giorni.
2.2. Esclusioni
I siti web di proprietà degli utenti, così come le vulnerabilità presenti nei servizi e nelle integrazioni di terze parti — quali fornitori di servizi di pagamento, servizi di consegna, servizi di raccolta dati, ecc. — non rientrano nell'ambito di applicazione, anche se collegati a Tilda.
Potrebbe esserci un'eccezione qualora la vulnerabilità fosse imputabile a Tilda — ad esempio, trasferimento errato dei dati, fuga di informazioni sensibili nelle richieste, difetti nella logica di integrazione, ecc.
Anche le seguenti categorie di report non rientrano nell'ambito di applicazione:
  • Self-XSS e qualsiasi vulnerabilità XSS nell'editor.
  • Attacchi DoS/DDoS.
  • Attacchi di forza bruta senza che vi siano prove di un aggiramento dei meccanismi di protezione.
  • Iniezione di CSV.
  • Punti deboli delle politiche relative alle password senza la possibilità di aggirare l'autenticazione.
  • CSRF che interessa operazioni di minore rilevanza, come la disconnessione.
  • Clickjacking senza conseguenze comprovate sulla sicurezza.
  • Mancanza di controlli di sicurezza o intestazioni senza un impatto concreto dimostrato.
  • Configurazioni errate di SSL/TLS.
  • Risultati dello scanner automatizzato senza una prova di fattibilità riproducibile.
  • Divulgazione di informazioni non sensibili, quali i numeri di versione del software.
  • Vulnerabilità dovute esclusivamente all'uso di versioni obsolete del software.
  • Ingegneria sociale.
  • Segnalazioni che non dimostrano un impatto concreto sulla sicurezza.
  • Registrazione utilizzando indirizzi e-mail altrui o inesistenti senza verifica tramite e-mail.
3. Categorie di vulnerabilità prioritarie
Diamo la massima priorità alle vulnerabilità che compromettono la riservatezza, l'integrità o la disponibilità dei dati, tra cui:
  • Esecuzione di codice lato server.
  • Iniezione SQL.
  • Bypass dell'autenticazione/autorizzazione.
  • Controllo degli accessi non funzionante.
  • Attacchi di tipo "Server-Side Request Forgery" rivolti ai servizi interni.
  • Cross-Site Scripting con ripercussioni su altri utenti.
  • Attacco di tipo "Cross-Site Request Forgery" che interessa operazioni sensibili.
  • Caricamento file senza limitazioni.
  • Divulgazione di informazioni riservate.
  • Gravi vulnerabilità nella logica di business che possono portare ad accessi non autorizzati o all'escalation dei privilegi.
4. Regole e restrizioni del programma
Nell'ambito di questo programma, non è consentito:
  • Compiere azioni che potrebbero compromettere il funzionamento della piattaforma o avere ripercussioni negative sugli utenti della piattaforma o su altre terze parti.
  • Ottenere l'accesso non autorizzato agli account degli utenti.
  • Eseguire uno sfruttamento automatizzato su larga scala.
  • Ricorri all'ingegneria sociale.
  • Andare oltre il livello minimo di sfruttamento necessario per confermare la vulnerabilità.
  • Non pubblicare un Proof of Concept prima che la vulnerabilità sia stata risolta e prima di aver ricevuto l'autorizzazione dal team di sicurezza di Tilda.
  • Rendere pubblici i dettagli relativi alla vulnerabilità senza previa autorizzazione da parte di Tilda.
  • Si prega di indicare tutti i dati personali raccolti nel corso della ricerca.
5. Come inviare una segnalazione di vulnerabilità
Se hai individuato una vulnerabilità, inviaci un'e-mail all'indirizzo: bugbounty@tilda.cc
Oggetto dell'e-mail: Segnalazione al programma Bug Bounty di
– [Breve descrizione della vulnerabilità]
Il tuo rapporto dovrebbe includere:
  • Il servizio o lo strumento interessato.
  • Il tipo di vulnerabilità.
  • Una descrizione delle possibili ripercussioni.
  • Istruzioni dettagliate per la riproduzione.
  • Un proof of concept, se del caso.
  • Raccomandazioni di bonifica, se disponibili.
Le segnalazioni prive di istruzioni riproducibili potrebbero essere respinte.
Il tempo medio di risposta iniziale è di 1 giorno lavorativo.
6. Classificazione delle vulnerabilità e ricompense
La classificazione e la gravità delle vulnerabilità sono determinate in base alla Bugcrowd Vulnerability Rating Taxonomy (VRT).
La valutazione finale tiene conto anche di:
  • L'impatto effettivo sulla riservatezza, l'integrità e la disponibilità dei dati.
  • Uno scenario realistico di sfruttamento.
  • La complessità e la riproducibilità dell'attacco.
  • L'entità del potenziale impatto.
  • L'esistenza di circostanze attenuanti o limitazioni.
I premi dipendono dalla classificazione assegnata e variano da 25 a 3000 dollari, in linea con i compensi offerti dalle principali piattaforme di bug bounty quali HackerOne e Bugcrowd.
I premi vengono corrisposti esclusivamente per la prima segnalazione corretta e valida relativa a una specifica vulnerabilità.
La decisione finale in merito alla classificazione della vulnerabilità e all'importo del premio spetta al team di sicurezza di Tilda, sulla base dei criteri stabiliti.
7. Informazioni di contatto
Segnalazioni di vulnerabilità:
bugbounty@tilda.cc
Richieste di informazioni generali:
team@tilda.cc
Termini di servizio
Realizzato su
Tilda