Introduction

Squarespace s’engage à maintenir un niveau élevé de sécurité. Nous encourageons les professionnels de la sécurité à pratiquer une divulgation responsable et à nous signaler immédiatement toute vulnérabilité découverte. Nous examinerons tous les rapports légitimes et assurerons un suivi si des détails supplémentaires sont requis. Avant de signaler une vulnérabilité, veuillez suivre nos Directives de divulgation responsable et nos Critères de soumission décrits ci-dessous.

Critères de soumission

Dans le champ dʼapplication

Exécution de code à distance (Remote Code Execution, ou RCE) côté serveur

Injection SQL (SQLi)

Server-Side Request Forgery (SSRF)

Cross-site scripting (XSS)

Attaques dʼentités externes XML (ou attaques XXE)

Divulgation de fichier local (Local File Disclosure ou LFD)

Injections de requêtes illégitimes par rebond (« cross-site request forgery », ou CSRF)

Problèmes liés au contrôle des accès

Hors champ dʼapplication

Tous les sites web clients de Squarespace ou tout autre contenu client n’appartenant pas à l’investigateur.

Si vous trouvez une requête qui prend trop de temps à répondre, signalez-la. Ne surchargez pas le système avec une attaque par déni de service.

Détournement de clic ou problèmes uniquement exploitables par détournement de clic.

Les vulnérabilités qui sont déjà connues (par ex. celles découvertes précédemment par une équipe interne ou par un autre investigateur).

Problèmes qui nécessitent un accès physique à l’ordinateur de la victime.

Problèmes qui nécessitent un accès privilégié au réseau de la victime.

Déni de service au niveau du réseau.

Problèmes de XSS ne concernant que les navigateurs obsolètes.

Déni de service au niveau des applications.

Envois en double en cours de correction.

Absence d’indicateurs de sécurité sur les cookies.

Directives relatives à la complexité des mots de passe.

Attaques par force brute du mot de passe.

Absence d’e-mail de validation.

Self-XSS.

Reflected File Download (RFD).

Énumération des adresses e-mail et des utilisateurs.

Vulnérabilité potentielle signalée par une personne n'étant pas chercheur en sécurité

Si vous êtes client Squarespace sans pour autant être un chercheur en sécurité, veuillez envoyer une demande d’assistance en indiquant tout problème de sécurité ci-dessous.

Customer care advisors.
Customer care advisors.

Squarespace, la plateforme tout-en-un pour créer des sites web design.