Introduction
Squarespace s’engage à maintenir un niveau élevé de sécurité. Nous encourageons les professionnels de la sécurité à pratiquer une divulgation responsable et à nous signaler immédiatement toute vulnérabilité découverte. Nous examinerons tous les rapports légitimes et assurerons un suivi si des détails supplémentaires sont requis. Avant de signaler une vulnérabilité, veuillez suivre nos Directives de divulgation responsable et nos Critères de soumission décrits ci-dessous.
Critères de soumission
Exécution de code à distance (Remote Code Execution, ou RCE) côté serveur
Injection SQL (SQLi)
Server-Side Request Forgery (SSRF)
Cross-site scripting (XSS)
Attaques dʼentités externes XML (ou attaques XXE)
Divulgation de fichier local (Local File Disclosure ou LFD)
Injections de requêtes illégitimes par rebond (« cross-site request forgery », ou CSRF)
Problèmes liés au contrôle des accès
Tous les sites web clients de Squarespace ou tout autre contenu client n’appartenant pas à l’investigateur.
Si vous trouvez une requête qui prend trop de temps à répondre, signalez-la. Ne surchargez pas le système avec une attaque par déni de service.
Détournement de clic ou problèmes uniquement exploitables par détournement de clic.
Les vulnérabilités qui sont déjà connues (par ex. celles découvertes précédemment par une équipe interne ou par un autre investigateur).
Problèmes qui nécessitent un accès physique à l’ordinateur de la victime.
Problèmes qui nécessitent un accès privilégié au réseau de la victime.
Déni de service au niveau du réseau.
Problèmes de XSS ne concernant que les navigateurs obsolètes.
Déni de service au niveau des applications.
Envois en double en cours de correction.
Absence d’indicateurs de sécurité sur les cookies.
Directives relatives à la complexité des mots de passe.
Attaques par force brute du mot de passe.
Absence d’e-mail de validation.
Self-XSS.
Reflected File Download (RFD).
Énumération des adresses e-mail et des utilisateurs.
Vulnérabilité potentielle signalée par une personne n'étant pas chercheur en sécurité
Si vous êtes client Squarespace sans pour autant être un chercheur en sécurité, veuillez envoyer une demande d’assistance en indiquant tout problème de sécurité ci-dessous.
Assistance client primée
Vous pouvez considérer Squarespace comme votre propre service informatique. En plus d’un hébergement illimité et d’une infrastructure de niveau professionnel, nous vous proposons une assistance 24 h/24 et 7 j/7.
Squarespace, la plateforme tout-en-un pour créer des sites web design.