Programme de divulgation de vulnérabilité

Last Updated: May 21, 2020

Introduction

Les informations sur cette page sont destinées aux chercheurs en sécurité, désireux de signaler de manière responsable les failles de sécurité à l'équipe de sécurité de Zscaler.

La sécurité nécessite une transformation, et il n'y a pas meilleure façon de transformer un programme de sécurité que de s'engager directement auprès de nos clients et utilisateurs. C'est cet engagement, associé à une profonde conviction en la collaboration avec la communauté de la sécurité, qui est la clé pour maintenir un environnement sécurisé pour tous nos utilisateurs. Si vous pensez avoir découvert une faille de sécurité sur ou dans un produit, service ou application Zscaler, nous vous encourageons vivement à nous en tenir informés le plus rapidement possible. Nous demandons que de tels rapports de vulnérabilité restent confidentiels et que les chercheurs ne les rendent pas publics avant que nous n'ayons résolu le problème.

In return, we will work to review reports and respond in a timely manner. Our bug bounty partner, Bugcrowd, will engage with you initially to triage your submission. Zscaler will not seek judicial or law enforcement remedies against you for identifying security issues, so long as you (1) comply with the policies set forth herein; (2) comply with Bugcrowd’s Standard Disclosure Terms; (3) do not compromise the safety or privacy of our users; and (4) do not destroy any sensitive data you might have gathered from Zscaler as part of your research once issues are resolved; and (5) agree to and comply with Zscaler's Confidentiality terms below.

Confidentiality

By engaging or participating in and/or submitting a security vulnerability to Zscaler, you agree to comply with the following confidentiality provisions.

“Confidential Information” means (i) all Zscaler information obtained during security testing or via your participation in the Zscaler Vulnerability Disclosure Program, (ii) all information disclosed to you in connection with the Bugcrowd Bounty Brief, and (ii) all submissions by you. You are not granted any rights in Zscaler’s Confidential Information or intellectual property by engaging in any testing or participating in Zscaler’s Vulnerability Disclosure Program.

Confidential Information does not include information that (i) is or becomes publicly available through no fault of your own and without breaching these provisions, (ii) is independently developed without use of or reference to Confidential Information, or (iii) is or becomes known by you from a source not bound by confidentiality restrictions.

Before engaging in any testing or submitting findings you agree (i) to hold Confidential Information in strict confidence, (ii) to protect such Confidential Information from unauthorized use or disclosure, (iii) to not disclose such Confidential Information to any third party including the public, (iv) to not use such Confidential Information for any purpose outside the scope of participating in Zscaler’s Vulnerability Disclosure Program, and (v) to notify Zscaler immediately upon discovery of any loss or unauthorized disclosure of Confidential Information. Notwithstanding the foregoing, you may disclose Zscaler’s Confidential Information to Zscaler or to Bugcrowd via the Bugcrowd partner portal.

Merci pour votre aide !

Règles et Périmètre des Programmes de Vulnérabilités

Périmètre

Nous souhaitons principalement entendre parler des catégories de vulnérabilité suivantes :

  • Exposition de données sensibles – Cross Site Scripting (XSS) Stockés, Injection SQL (SQLi), etc.
  • Problèmes liés à l'Authentification ou à la Gestion de session
  • Exécution de code à distance
  • Des vulnérabilités particulièrement intelligentes ou des problèmes uniques qui ne correspondent pas à des catégories explicites - montrez-nous vos talents !
Hors Périmètre

Les catégories de vulnérabilité suivantes sont considérées comme hors de portée de notre programme de divulgation responsable et devraient être évitées par les chercheurs.

  • Déni de service (DoS) – Soit via le trafic réseau, l'épuisement des ressources ou autres
  • Énumération d'utilisateurs
  • Problèmes uniquement présents sur les anciens navigateurs / anciens plug-ins / navigateurs de logiciels en fin de vie
  • Hammeçonnage ou ingénierie sociale des employés, utilisateurs ou clients de Zscaler
  • Systèmes ou problèmes liés à des technologies tierces utilisée par Zscaler
  • Divulgation de fichiers publics connus et autres divulgations d'informations qui ne constituent pas un risque important (par exemple : robots.txt)
  • Toute attaque ou vulnérabilité qui dépend de l’ordinateur d’un utilisateur déjà compromis

Veuillez noter que vous devez vous engager dans la recherche en matière de sécurité de manière responsable. Par exemple, si vous découvrez un mot de passe ou une clé exposés publiquement, vous ne devez pas utiliser la clé pour tester l'étendue d'accès qu'elle accorde ou pour télécharger ou exfiltrer des données afin de prouver qu'il s'agit d'une clé active. Pareillement, si vous découvrez une injection SQL réussie, vous ne devez pas exploiter la vulnérabilité au-delà des étapes initiales nécessaires pour démontrer votre preuve de concept.

Une exfiltration ou un téléchargement excessifs des données Zscaler, ou un paiement en contrepartie de la destruction des données Zscaler, seront considérés en dehors du périmètre de ce programme, et Zscaler se réservera tous ses droits, recours et actions pour se protéger et protéger ses utilisateurs.

Pour quelle récompense ?

Notre programme public ne fournit actuellement aucune récompense financière en dehors de l'éternelle gratitude de Zscaler. Si vous êtes un chercheur Bugcrowd, vous pouvez également soumettre votre contribution ci-dessous pour obtenir nos félicitations. Si vous souhaitez nous aider de manière plus approfondie en tant que chercheur en sécurité dans notre programme privé, veuillez contacter [email protected] avec votre demande et vos motivations.

À la discrétion exclusive de Zscaler, nous pouvons faire des exceptions à cette politique pour des contributions exceptionnelles.

Signaler une faille de sécurité

Please use the form below to report security vulnerabilities to Zscaler through our Bugcrowd partner portal. Zscaler generally scores vulnerability based on the CVSS Score.