Home / Segnalazione Bug Bounty

Segnalazione Bug Bounty

Segnalazione Bug Bounty

Bentley si impegna a garantire la sicurezza dei dati dei suoi utenti e la trasparenza in questo ambito. Lo attestano i nostri solidi standard e certificazioni per la privacy e la protezione di dati, la sicurezza e la conformità.

Invia una segnalazione

Linee guida del programma Divulgazione responsabile di Bentley Systems

AT Bentley Sistemi, noi prendiamo the Sicurezza dei our sistemi e Prodotti seriamente, diamo valore the Sicurezza community. The divulgazione dei Sicurezza vulnerabilità ci aiuta US garantire la sicurezza e la privacy dei nostri utenti. 

1. Linee guida generiche

Bentley Systems richiede a tutti i ricercatori di

  • Evitare le violazioni della privacy, il peggioramento dell'esperienza utente, l'interruzione dei sistemi di produzione e la distruzione dei dati durante i test di sicurezza.
  • Eseguire le ricerche solo nell'ambito del campo di applicazione indicato di seguito.
  • Utilizzare i canali di comunicazione definiti di seguito per segnalarci le informazioni sulla vulnerabilità.
  • Mantenere riservate le informazioni sulle vulnerabilità scoperte finché tali vulnerabilità non vengono risolte.
Se si seguono queste linee guida nel segnalare un problema, ci impegniamo a
 
  • Non perseguire o sostenere alcuna azione legale relativa alla ricerca effettuata.
  • Offrire la nostra collaborazione per comprendere e risolvere rapidamente il problema.

2. Codice di condotta e responsabilità legali

Quando viene eseguita una ricerca sulla vulnerabilità ai sensi della presente politica, consideriamo tale ricerca come

  • Autorizzata in conformità al Computer Fraud and Abuse Act (CFAA) (o leggi statali simili); pertanto, non avvieremo o sosterremo azioni legali contro il ricercatore per violazioni accidentali e in buona fede della presente politica.
  • Esente dal Digital Millennium Copyright Act (DMCA); pertanto, non avanzeremo alcuna richiesta di risarcimento nei confronti del ricercatore per l'elusione dei controlli tecnologici.
  • Esente da restrizioni nei nostri Termini e condizioni che interferirebbero con l'esecuzione di ricerche sulla sicurezza; pertanto, rinunciamo a tali restrizioni su base limitata per il lavoro svolto nell'ambito della presente politica.
  • Legittima, utile alla sicurezza generale di Internet ed eseguita in buona fede.

Il ricercatore è tenuto, come sempre, a rispettare tutte le leggi vigenti. In caso di dubbi o incertezze circa la conformità della ricerca sulla sicurezza alla presente politica, prima di procedere oltre, inviare una segnalazione attraverso uno dei nostri canali di comunicazione definiti di seguito.

3. Campo di applicazione / Fuori campo di applicazione

Ambito di applicazioneFuori campo di applicazione
  • Tutti i sottodomini _.bentley.com
  • Tutti i prodotti desktop di Bentley Systems (solo CONNECT Edition e versioni successive)
  • Tutte le app mobili di Bentley Systems
  • Tutte le applicazioni e i servizi cloud di Bentley
  • All Bentley Open-Source Projects (including imodeljs.org)
  • Infrastruttura di Bentley Systems (VPN, Mail Server, SharePoint, Skype, ecc.)
  • Risultati di test fisici, come l'accesso all'ufficio (ad esempio, porte aperte, tailgating)
  • Risultati derivanti principalmente dall'ingegneria sociale (es. phishing, vishing)
  • Risultati di applicazioni o sistemi non elencati nella sezione "Campo di applicazione"
  • Qualsiasi servizio ospitato da fornitori e servizi di terze parti
  • https://www.plaxis.ru

4. Vulnerabilità ammissibili / Esclusioni

Vulnerabilità ammissibiliEsclusioni
  • Esecuzione di codice remoto
  • DLL hijacking
  • Injection SQL
  • Scripting intersito (XSS)
  • Identificazione e autenticazione
  • Riferimento a oggetti diretti non sicuri (IDOR)
  • Falsificazione di richieste tra siti (CSRF)
  • Attraversamento di directory
  • Esposizione di dati sensibili
  • Errata configurazione della sessione
  • Broken Access control (Privilege Escalation)
  • Errata configurazione della sicurezza
  • Condivisione di risorse tra le origini (CORS)
  • Reindirizzamento aperto
  • Acquisizione di un sottodominio*
  • Problemi di logica aziendale
  • Injection di collegamenti ipertestuali
  • Problemi di Word-Press
  • DDoS
  • DoS, and application-level DoS (unless the response is asymmetrical compared to the initial request)
  • Bug rilasciati pubblicamente nel software Internet entro 15 giorni dalla loro divulgazione
  • Self-XSS (è richiesta la prova del modo in cui XSS possa essere utilizzato per attaccare un altro utente)
  • Attacchi correlati a X-Frame-Options (clickjacking)
  • Intestazione (a meno che non sia possibile dimostrare che tali attacchi possono causare un furto di dati dell'utente)
  • Problemi non sfruttabili, ma che portano a crash, stack trace e simili problemi di perdita di informazioni o di stabilità.
  • Esposizione della versione (a meno che non si fornisca un PoC di exploit funzionante).
  • Tutto ciò che sfrutta browser, piattaforme o criptovalute obsoleti (ad es. TLS BEAST, POODLE, ecc.)
  • Tecniche di spam o di ingegneria sociale, compresi i problemi relativi a SPF e DKIM
  • Rate limit vulnerability not on a login functionality (unless a valid exploit PoC provided)
  • Il file XMLRPC.php è abilitato e provoca un attacco DoS
  • Flag dei cookie mancanti sui cookie non sensibili
  • Intestazioni di sicurezza mancanti che non causano direttamente una vulnerabilità (a meno che non si fornisca un PoC)
  • Anything from an automated scan
  • Anything that is public by default (e.g. public keys, config files without sensitive information, etc.)
  • Anything not under Bentley Systems control (e.g. Google Analytics, etc.)
  • Problemi teorici che mancano di gravità pratica
  • Bug di UI e UX ed errori di ortografia
  • Credentials found at breach forums like [https://breachforums.st, https://phonebook.cz] etc.
  • CAA certificate missing
  • User enumeration in WP, when only a few Bentley employees, who posted on the website, are exposed

*Effettuare le segnalazioni solo dopo aver ottenuto un PoC sotto forma di due screenshot con timestamp e un sottodominio. Tali screenshot devono dimostrare che il sottodominio è stato libero per almeno un'ora. Gli strumenti di scansione spesso catturano il breve periodo di tempo in cui vengono eseguite le modifiche al sottodominio, cosa che può sembrare una vulnerabilità ma non lo è: il record DNS viene eliminato poco dopo. L'invio degli screenshot eviterà la segnalazione di false vulnerabilità, evitando perdite di tempo sia al ricercatore che al nostro team. 

Le segnalazioni con un PoC parziale (una prova con un solo timestamp o nessun timestamp) non saranno trattate come Prima segnalazione. 

Nota bene! È vietata l'acquisizione del sottodominio segnalato come PoC. 

5. Come effettuare la segnalazione

Se si ritiene di aver trovato una vulnerabilità della sicurezza in uno dei nostri prodotti o piattaforme, compilare il modulo in questa pagina. 

A good practice is to think whether the discovered vulnerability puts at risk:

  • Bentley Systems clients’ information.
  • Bentley Systems software.
  • Bentley Systems reputation.

Assicurarsi di aver incluso le seguenti informazioni:

  • Descrizione dettagliata della vulnerabilità contenente informazioni quali URL, richiesta/risposta HTTP completa e tipo di vulnerabilità.
  • Information necessary to reproduce the issue.
  • Proof of concept including practical severity and attack scenario, indication of a potential risk only is hard to evaluate and usually such report is not approved.
  • If applicable, a screenshot and/or video of the vulnerability.
  • Informazioni di contatto, nome, e-mail, numero di telefono, località. Le segnalazioni prive di queste informazioni non saranno prese in considerazione.
  • IMPORTANT NOTE. You may only make the initial submission through the form. If you have any questions not mentioned in a form, please e-mail us at security@bentley.com.

6. Regolamento

  • Il DoS è severamente vietato.
  • È severamente vietata qualsiasi forma di applicazione di forza bruta alle credenziali.
  • È vietata la divulgazione pubblica di una vulnerabilità segnalata prima che sia stata risolta.
  • Non è consentito danneggiare o degradare le prestazioni dei nostri sistemi o violare la privacy dei nostri utenti o l'integrità dei loro dati.
  • Lo sfruttamento delle vulnerabilità (diverso da un PoC generico) è severamente vietato e sarà perseguito secondo le leggi vigenti.
  • Se una vulnerabilità consente l'accesso ai dati in modo non intenzionale, è necessario
    • Limitare la quantità di dati a cui si accede al minimo necessario per dimostrare efficacemente una prova di fattibilità;
    • Interrompere i test e
    • Inoltrare immediatamente una segnalazione se durante i test vengono rilevati dati dell'utente, come informazioni di identificazione personale (PII), informazioni sanitarie personali (PHI), dati di carte di credito o informazioni proprietarie.
  • Bentley non risponderà a tentativi di estorsione o altri atti coercitivi e criminali (ad esempio, richieste di pagamento anticipato in cambio del mancato sfruttamento di una vulnerabilità rilevata.

7. Divulgazione pubblica

A meno che il nostro team non comunichi che la vulnerabilità è stata risolta, si invita a non divulgare pubblicamente la vulnerabilità per 90 giorni. In caso contrario, verrà avviata un'azione legale.

8. Duplicati

  • Only the first researcher to report an issue will be entitled for a reward.
  • The reports of the same issue in different environments are not rewarded and closed as duplicates. (e.g. dev-*-bentley.com, qa- dev-*-bentley.com, prod- dev-*-bentley.com) 
  • The reports of the same issue in different deployment regions are not rewarded and closed as duplicates. (e.g. *.us.bentley.com, *.eus-bentley.com, *.in.-*-bentley.com)
  • Multiple instances of the same issue will only be compensated to a max of 3x the reward sum. (e.g. expires SSL certificate on 25 domain and subdomains will count 3×100 USD, and not 25×100 USD)

9. Classificazione delle vulnerabilità

Una volta ricevuta la segnalazione:
  • La vulnerabilità segnalata verrà analizzata.
  • You will be informed if the issue is closed without a reward. We do not send a detailed explanation of the resolution.
  • If we determine the submission is valid and meets the requirements of this policy, you may receive a reward after the fix is implemented. Our commitment is to reward your efforts within 90 days.

10. Retribuzione

Esempi di vulnerabilitàFascia di prezzo (USD)**
Broken Access Control (Escalation dei privilegi)250-450
Problemi di logica aziendale100-300
Condivisione di risorse tra le origini (CORS)100-200
Falsificazione di richieste tra siti (CSRF)150-250
Scripting intersito (XSS)100-200
DLL hijacking50
Injection di collegamenti ipertestuali50
Identificazione e autenticazione250-450
Riferimento a oggetti diretti non sicuri (IDOR)250-450
Reindirizzamento aperto50-150
Altro0-500
Esecuzione di codice remoto600
Errata configurazione della sicurezza50-250
Esposizione di dati sensibili50-200
Secrets leak200-500
Errata configurazione della sessione50-200
Injection SQL250-500
 

NOTE. A report will not be eligible for a financial reward (even if Bentley Systems accepts and addresses it) in some situations including, but not limited to, the following: 

  • report was submitted by current of former employee of Bentley Systems
  • report was submitted by the commercial entities or individuals conducting formal/commercial security testing on behalf of Bentley Systems customers.
  • report was submitted by the employee or subcontractors of a company that is a customer of Bentley Systems services.
  • report was submitted by the employee of the company that is a Bentley System’s service provider.
  • report was submitted by an individual residing in a country that is currently subject to international sanctions.
  • Bentley System’s legal department fails to associate researcher’s PayPal email address and the identity; meaning that you cannot get the reward to somebody’s else account.

**Si noti che eventuali istanze multiple dello stesso problema saranno retribuite solo fino a un massimo di 3 volte il prezzo.

**Le segnalazioni di un problema in ambienti diversi del prodotto (dev-, qa-, prod-) saranno conteggiate una sola volta.

Ci riserviamo il diritto di modificare la presente politica in qualsiasi momento e per qualsiasi motivo e non possiamo garantire la retribuzione per tutte le segnalazioni. La retribuzione è prevista solo tramite PayPal. 

IMPORTANTE. Assicurarsi di inviare un solo indirizzo PayPal valido: non prenderemo in considerazione indirizzi diversi da quello originale per il pagamento. In caso di esito negativo della transazione per qualsiasi motivo (ad esempio, PayPal rifiuta la transazione; la banca ricevente non accetta il pagamento; è stato raggiunto il limite massimo dell'importo; l'accettazione dei pagamenti avviene solo attraverso il sito web o altre istruzioni, ecc.), il pagamento sarà annullato e non verrà inviato nuovamente.

Bentley Systems si riserva il diritto di ritirare il programma Divulgazione responsabile e il relativo sistema di retribuzione in qualsiasi momento e senza preavviso.

Invia una segnalazione

Indice dei contenuti

Bentley Systems richiede a tutti i ricercatori di

  • Evitare le violazioni della privacy, il peggioramento dell'esperienza utente, l'interruzione dei sistemi di produzione e la distruzione dei dati durante i test di sicurezza.
  • Eseguire le ricerche solo nell'ambito del campo di applicazione indicato di seguito.
  • Utilizzare i canali di comunicazione definiti di seguito per segnalarci le informazioni sulla vulnerabilità.
  • Mantenere riservate le informazioni sulle vulnerabilità scoperte finché tali vulnerabilità non vengono risolte.
Se si seguono queste linee guida nel segnalare un problema, ci impegniamo a
 
  • Non perseguire o sostenere alcuna azione legale relativa alla ricerca effettuata.
  • Offrire la nostra collaborazione per comprendere e risolvere rapidamente il problema.

Quando viene eseguita una ricerca sulla vulnerabilità ai sensi della presente politica, consideriamo tale ricerca come

  • Autorizzata in conformità al Computer Fraud and Abuse Act (CFAA) (o leggi statali simili); pertanto, non avvieremo o sosterremo azioni legali contro il ricercatore per violazioni accidentali e in buona fede della presente politica.
  • Esente dal Digital Millennium Copyright Act (DMCA); pertanto, non avanzeremo alcuna richiesta di risarcimento nei confronti del ricercatore per l'elusione dei controlli tecnologici.
  • Esente da restrizioni nei nostri Termini e condizioni che interferirebbero con l'esecuzione di ricerche sulla sicurezza; pertanto, rinunciamo a tali restrizioni su base limitata per il lavoro svolto nell'ambito della presente politica.
  • Legittima, utile alla sicurezza generale di Internet ed eseguita in buona fede.

Il ricercatore è tenuto, come sempre, a rispettare tutte le leggi vigenti. In caso di dubbi o incertezze circa la conformità della ricerca sulla sicurezza alla presente politica, prima di procedere oltre, inviare una segnalazione attraverso uno dei nostri canali di comunicazione definiti di seguito.

Ambito di applicazione
  • Tutti i sottodomini _.bentley.com
  • Tutti i prodotti desktop di Bentley Systems (solo CONNECT Edition e versioni successive)
  • Tutte le app mobili di Bentley Systems
  • Tutte le applicazioni e i servizi cloud di Bentley
  • Tutti i progetti open source di Bentley (compreso imodeljs.org)
Fuori campo di applicazione
Vulnerabilità ammissibili
  • Broken Access Control (Escalation dei privilegi)
  • Problemi di logica aziendale
  • Condivisione di risorse tra le origini (CORS)
  • Falsificazione di richieste tra siti (CSRF)
  • Scripting intersito (XSS)
  • Attraversamento di directory
  • DLL hijacking
  • Injection di collegamenti ipertestuali
  • Identificazione e autenticazione
  • Riferimento a oggetti diretti non sicuri (IDOR)
  • Reindirizzamento aperto
  • Altro
  • Esecuzione di codice remoto
  • Errata configurazione della sicurezza
  • Esposizione di dati sensibili
  • Errata configurazione della sessione
  • Injection SQL
  • Acquisizione di un sottodominio*
  • Problemi di Word-Press
Esclusioni
  • Bug rilasciati pubblicamente nel software Internet entro 15 giorni dalla loro divulgazione
  • Tecniche di spam o di ingegneria sociale, compresi i problemi relativi a SPF e DKIM
  • Self-XSS (è richiesta la prova del modo in cui XSS possa essere utilizzato per attaccare un altro utente)
  • Attacchi correlati a X-Frame-Options (clickjacking)
  • Vulnerabilità del limite di velocità (a meno che non venga fornito un exploit PoC valido)
  • Il file XMLRPC.php è abilitato e provoca un attacco DoS
  • Flag dei cookie mancanti sui cookie non sensibili
  • Intestazioni di sicurezza mancanti che non causano direttamente una vulnerabilità (a meno che non si fornisca un PoC)
  • Injection di intestazioni (a meno che non sia possibile dimostrare che tali attacchi possono causare un furto di dati dell'utente)
  • Esposizione della versione (a meno che non si fornisca un PoC di exploit funzionante).
  • Problemi non sfruttabili, ma che portano a crash, stack trace e simili problemi di perdita di informazioni o di stabilità.
  • Denial of Service
  • Tutto ciò che sfrutta browser, piattaforme o criptovalute obsoleti (ad es. TLS BEAST, POODLE, ecc.)
  • Qualsiasi minaccia proveniente da una scansione automatizzata, già pubblica o non sotto il controllo di Bentley Systems (ad es. Google Analytics, ecc.)
  • Problemi teorici che mancano di gravità pratica

*Effettuare le segnalazioni solo dopo aver ottenuto un PoC sotto forma di due screenshot con timestamp e un sottodominio. Tali screenshot devono dimostrare che il sottodominio è stato libero per almeno un'ora. Gli strumenti di scansione spesso catturano il breve periodo di tempo in cui vengono eseguite le modifiche al sottodominio, cosa che può sembrare una vulnerabilità ma non lo è: il record DNS viene eliminato poco dopo. L'invio degli screenshot eviterà la segnalazione di false vulnerabilità, evitando perdite di tempo sia al ricercatore che al nostro team.

Le segnalazioni con un PoC parziale (una prova con un solo timestamp o nessun timestamp) non saranno trattate come Prima segnalazione.

Nota bene! È vietata l'acquisizione del sottodominio segnalato come PoC.

Se si ritiene di aver trovato una vulnerabilità della sicurezza in uno dei nostri prodotti o piattaforme, compilare il modulo in questa pagina.

Assicurarsi di aver incluso le seguenti informazioni:

  • Descrizione dettagliata della vulnerabilità contenente informazioni quali URL, richiesta/risposta HTTP completa e tipo di vulnerabilità.
  • Informazioni necessarie per riprodurre il problema.
  • Se applicabile, uno screenshot e/o un video della vulnerabilità.
  • Informazioni di contatto, nome, e-mail, numero di telefono, località. Le segnalazioni prive di queste informazioni non saranno prese in considerazione.
  • NOTA IMPORTANTE. È possibile effettuare la segnalazione iniziale solo attraverso il modulo. Per eventuali domande non menzionate nel modulo, inviare un'e-mail all'indirizzo security@bentley.com.
  • Il DoS è severamente vietato.
  • È severamente vietata qualsiasi forma di applicazione di forza bruta alle credenziali.
  • È vietata la divulgazione pubblica di una vulnerabilità segnalata prima che sia stata risolta.
  • Non è consentito danneggiare o degradare le prestazioni dei nostri sistemi o violare la privacy dei nostri utenti o l'integrità dei loro dati.
  • Lo sfruttamento delle vulnerabilità (diverso da un PoC generico) è severamente vietato e sarà perseguito secondo le leggi vigenti.
  • Se una vulnerabilità consente l'accesso ai dati in modo non intenzionale, è necessario
    • Limitare la quantità di dati a cui si accede al minimo necessario per dimostrare efficacemente una prova di fattibilità;
    • Interrompere i test e
    • Inoltrare immediatamente una segnalazione se durante i test vengono rilevati dati dell'utente, come informazioni di identificazione personale (PII), informazioni sanitarie personali (PHI), dati di carte di credito o informazioni proprietarie.
  • Bentley non risponderà a tentativi di estorsione o altri atti coercitivi e criminali (ad esempio, richieste di pagamento anticipato in cambio del mancato sfruttamento di una vulnerabilità rilevata.

A meno che il nostro team non comunichi che la vulnerabilità è stata risolta, si invita a non divulgare pubblicamente la vulnerabilità per 90 giorni. In caso contrario, verrà avviata un'azione legale.

Ai sensi della presente politica, verrà preso in considerazione solo il primo ricercatore che segnala un problema o problemi simili. Ciò include le segnalazioni dello stesso problema in ambienti diversi (ad esempio, dev-, qa-, prod-).

Una volta ricevuta la segnalazione:

  • La vulnerabilità segnalata verrà analizzata.
  • Se riteniamo che la segnalazione sia valida e soddisfi i requisiti della presente politica, si riceverà una retribuzione.
  • Si verrà informati quando il problema sarà risolto.
Esempi di vulnerabilità Fascia di prezzo (USD)**
Broken Access Control (Escalation dei privilegi) 200-400
Problemi di logica aziendale 100-300
Condivisione di risorse tra le origini (CORS) 100-200
Falsificazione di richieste tra siti (CSRF) 100-200
Scripting intersito (XSS) 50-150
Attraversamento di directory 100-200
DLL hijacking 100-200
Injection di collegamenti ipertestuali 50
Identificazione e autenticazione 200-400
Riferimento a oggetti diretti non sicuri (IDOR) 200-400
Reindirizzamento aperto 50-150
Altro 0-500
Esecuzione di codice remoto 500
Errata configurazione della sicurezza 50-200
Esposizione di dati sensibili 50-500
Errata configurazione della sessione 50-150
Injection SQL 200-400
**Si noti che eventuali istanze multiple dello stesso problema saranno retribuite solo fino a un massimo di 3 volte il prezzo.

**Le segnalazioni di un problema in ambienti diversi del prodotto (dev-, qa-, prod-) saranno conteggiate una sola volta.

Ci riserviamo il diritto di modificare la presente politica in qualsiasi momento e per qualsiasi motivo e non possiamo garantire la retribuzione per tutte le segnalazioni. La retribuzione è prevista solo tramite PayPal. 

IMPORTANTE. Assicurarsi di inviare un solo indirizzo PayPal valido: non prenderemo in considerazione indirizzi diversi da quello originale per il pagamento. In caso di esito negativo della transazione per qualsiasi motivo (ad esempio, PayPal rifiuta la transazione; la banca ricevente non accetta il pagamento; è stato raggiunto il limite massimo dell'importo; l'accettazione dei pagamenti avviene solo attraverso il sito web o altre istruzioni, ecc.), il pagamento sarà annullato e non verrà inviato nuovamente.

Bentley Systems si riserva il diritto di ritirare il programma Divulgazione responsabile e il relativo sistema di retribuzione in qualsiasi momento e senza preavviso.
Hai bisogno di assistenza?
Opzioni di accessibilità
Torna all'inizio
Logo nero di Bentley Systems
Esplora

Software
Licenze e abbonamenti
Il mio account/Crea profilo
Visualizza i software
Risorse

Costruisci con noi
Studenti e insegnanti
Sviluppatori
Ricerca sui prodotti
Ufficio legale

Panoramica legale
Trust Center

Società

Informazioni
Opportunità di lavoro
Contattaci
Investitori
Eventi
Year in Infrastructure
ESG
COP

Storie e notizie

Notizie
Blog
Infrastructure Yearbook
Digital Currency Newsletter

Supporto

Centro assistenza
Formazione
Servizi
Community di Bentley

Investimenti
Fondo Bentley iTwin Ventures
Imprese e partner
Channel Partner e partner di formazione
Seequent, The Bentley Subsurface Company
Cohesive
Cesium

Informativa sulla privacy | Condizioni d'uso | Cookie

Facebook LinkedIn YouTube Instagram
© 2024 Bentley Systems, incorporated

20% di sconto sui software di Bentley

L'offerta termina venerdì

Usa il codice coupon "THANKS24"

Acquista ora

Celebra la realizzazione di infrastrutture e l’eccellenza delle prestazioni

Year in Infrastructure e Going Digital Awards 2024

Candida un progetto per i premi più prestigiosi nel settore delle infrastrutture! La scadenza prorogata per partecipare è il 29 aprile.

Candida un progetto