Richtlinie zur Offenlegung von Sicherheitsanfälligkeiten
Einführung
Diese Richtlinie zur Offenlegung von Sicherheitsanfälligkeiten (VDP) gilt für alle Sicherheitsanfälligkeiten, die Sie Worksection melden möchten. Bitte lesen Sie diese VDP vollständig, bevor Sie eine Sicherheitsanfälligkeit melden, und handeln Sie stets in Übereinstimmung mit ihr.
Wir schätzen Personen sehr, die ihre Zeit und Mühe darauf verwenden, Sicherheitsanfälligkeiten verantwortungsbewusst gemäß dieser Richtlinie offenzulegen. Wir danken den Forschern, die uns bei unseren Sicherheitsbemühungen unterstützen, im Voraus für Ihre Einreichung und Diskretion.
Ihr Testen darf keine Gesetze verletzen oder Daten stören oder gefährden, die nicht Ihnen gehören. Sollten Sie eine potenzielle Sicherheitsanfälligkeit finden, die Zugriff auf eingeschränkte Daten oder Ressourcen ermöglicht, benachrichtigen Sie uns bitte sofort – fahren Sie nicht fort, die Sicherheitsanfälligkeit selbst zu untersuchen.
Geltungsbereich
Diese Richtlinie gilt für die folgende Domain: https://worksection.com/
Hinweise
Obwohl wir verantwortungsbewusste Entdeckung und Meldung von Sicherheitsanfälligkeiten sehr begrüßen, sind bestimmte Aktionen strikt verboten. Bitte sehen Sie davon ab, an den folgenden Aktivitäten teilzunehmen:
- Durchführung von Aktionen, die negative Auswirkungen auf das Unternehmen oder seine Benutzer haben können, wie z.B. Spam, Durchführung von Brute-Force-Angriffen oder Durchführung von Denial-of-Service-Angriffen. Vermeiden Sie ebenfalls Tests, die den Systemzugang beeinträchtigen oder Daten beschädigen könnten.
- Zugriff auf oder der Versuch, auf Daten oder Informationen zuzugreifen, die Ihnen nicht gehören. Es ist wichtig, die Grenzen des autorisierten Zugriffs zu respektieren.
- Zerstörung, Beschädigung oder der Versuch, Daten oder Informationen zu zerstören oder zu beschädigen, die Ihnen nicht gehören. Schützen Sie die Integrität und Vertraulichkeit von Daten.
- Verwendung von hochintensiven invasiven oder destruktiven Scannern, um Sicherheitsanfälligkeiten zu identifizieren. Solche Tools sollten nicht eingesetzt werden, da sie unnötige Störungen verursachen können.
- Durchführung von physischen Tests, einschließlich des Versuchs, in Büros zu gelangen, offenen Türen zu nutzen oder hinter Jemandem herzugehen. Social Engineering-Techniken, wie Phishing oder Vishing, sind ebenfalls verboten. Konzentrieren Sie sich ausschließlich auf technische Tests von Sicherheitsanfälligkeiten.
- Durchführung von Social Engineering-Aktivitäten, die sich gegen die Teammitglieder, Auftragnehmer oder Nutzer des Unternehmens richten. Respektieren Sie die Privatsphäre und das Vertrauen von Personen, die mit unserer Organisation in Verbindung stehen.
- Verletzung von Gesetzen oder Vertragsbedingungen bei dem Versuch, Sicherheitsanfälligkeiten zu entdecken. Halten Sie sich an rechtliche und ethische Grenzen während des gesamten Prozesses.
Indem Sie diese Richtlinien befolgen, stellen Sie sicher, dass Ihre Aktivitäten zur Entdeckung von Sicherheitsanfälligkeiten verantwortungsbewusst und gesetzeskonform durchgeführt werden.
Ausnahmen vom Geltungsbereich
Die folgenden Funde sind speziell nicht belohnbar innerhalb dieses Programms:
- Offenlegung von bekannten öffentlichen Dateien oder Verzeichnissen (z.B. robots.txt)
- Clickjacking und bestimmte Probleme, die nur durch Clickjacking ausnutzbar sind
- Logout Cross-Site Request Forgery (Logout CSRF)
- Schwache Captchas
- Fehlende Secure- und HTTPOnly-Cookie-Flags
- Fehlkonfigurierte oder fehlende SPF/DKIM-Einträge
- Fehlende SSL/TLS-Best Practices
- DDoS-Sicherheitsanfälligkeiten
- Fehlende HTTP-Sicherheitsheader, z.B.: Strict-Transport-Security, X‑Frame-Options, X‑XSS-Protection, X‑Content-Type-Options, Content-Security-Policy, X‑Content-Security-Policy, X‑WebKit-CSP, Content-Security-Policy-Report-Only
- Veraltete Softwareversionen
- Sicherheitsanfälligkeiten, die Benutzer veralteter Browser oder Plattformen betreffen
- Social Engineering, Phishing, physische oder andere betrügerische Aktivitäten
- Self-XSS, das nicht verwendet werden kann, um andere Benutzer auszunutzen
- Sicherheitsanfälligkeiten in Drittanbieterkomponenten
- Fehler, die eine äußerst unwahrscheinliche Benutzerinteraktion erfordern
- Inhalte, die gefälscht werden oder Textinjektionsprobleme ohne echten Angriffswinkel und/oder ohne die Möglichkeit, HTML zu ändern
- Subdomain Übernahme ohne einen Nachweis des Konzepts
- Domain-Squatting oder andere Domaine-speculative Aktivitäten
- Sicherheitsanfälligkeiten, die physischen Zugriff auf das Gerät eines Benutzers erfordern
- Sicherheitsanfälligkeitsberichte, die von Scannern oder anderen automatisierten oder aktiven Exploit-Tools generiert werden
- Sicherheitsanfälligkeiten im Zusammenhang mit aktivem Inhalt, wie z.B. Browser-Add-Ons
- Denial of Service (DoS/DDoS) und Spam (SMS, E‑Mail usw.)
- Die meisten Brute-Force-Probleme ohne klare Auswirkungen
- Öffentlich zugängliche Anmeldeseiten ohne Nachweis der Ausnutzung
- Offenlegung öffentlicher Benutzerinformationen sowie nicht vertraulicher und mäßig vertraulicher Informationen
Ein Sicherheitsanfälligkeit melden
Wenn Sie eine potenzielle Sicherheitsanfälligkeit auf unserer Plattform entdeckt haben, bitten wir Sie, diese direkt an das Sicherheitsteam des Unternehmens per E‑Mail unter security@worksection.ua zu melden. Dies stellt sicher, dass Ihr Bericht uns umgehend erreicht, sodass wir effektiver reagieren können. Bitte sehen Sie davon ab, den Bericht an unsere allgemeine E‑Mail-Adresse oder über den Support-Chat zu senden.
Um die Vertraulichkeit der Sicherheitsanfälligkeit zu wahren, bitten wir Sie, öffentlich keine Probleme zu melden oder sie auf sozialen Medien wie Twitter oder GitHub zu diskutieren. Wir schätzen Ihre Zusammenarbeit, um die Kommunikation über die Sicherheitsanfälligkeit zwischen Ihnen und unserem Team vertraulich zu halten. Bitte sehen Sie davon ab, Ihre Berichte oder Beweise mit anderen Benutzern oder Unternehmen zu teilen.
Bei der Einreichung eines Sicherheitsanfälligkeitsberichts stellen Sie bitte sicher, dass dieser die folgenden wesentlichen Informationen enthält:
- Klarer und relevanter Titel. Geben Sie einen prägnanten und beschreibenden Titel an, der die Art der Sicherheitsanfälligkeit genau widerspiegelt.
- Betroffene Dienst/API. Geben Sie klar den spezifischen Dienst oder die API an, die von der Sicherheitsanfälligkeit betroffen ist. Dies hilft uns, den Umfang des Problems schnell zu verstehen.
- Details zur Sicherheitsanfälligkeit und Auswirkungen. Erklären Sie die Sicherheitsanfälligkeit umfassend, einschließlich ihrer technischen Details und potenziellen Auswirkungen auf unsere Systeme oder Benutzer. Geben Sie genügend Informationen, um uns die Natur und Schwere der Sicherheitsanfälligkeit zu verdeutlichen.
- Schritte zur Reproduktion / Nachweis des Konzepts. Fügen Sie detaillierte Anweisungen ein, wie die Sicherheitsanfälligkeit reproduziert werden kann, vorzugsweise begleitet von einem Nachweis des Konzepts (PoC). Der PoC kann in verschiedenen Formen erfolgen, wie z.B. einer Videodemonstration, Screenshots von Tools wie Burp Suite, curl-Befehlen oder relevanten Code-Snippets. Diese Materialien helfen uns, die Sicherheitsanfälligkeit besser zu überprüfen und zu verstehen.
- Alle anderen wichtigen Details. Fühlen Sie sich frei, zusätzliche Informationen hinzuzufügen, die Sie für relevant oder hilfreich für unser Verständnis der Sicherheitsanfälligkeit halten. Dazu können Systemkonfigurationen, relevante Protokolle oder andere unterstützende Dokumente gehören, die den Lösungsprozess unterstützen können.
Durch die Bereitstellung eines umfassenden Berichts, der diese Elemente enthält, helfen Sie uns erheblich dabei, den gemeldeten Sicherheitsanfälligkeit effizient zu bewerten und zu beheben.
Was passiert nach der Meldung einer Sicherheitsanfälligkeit
Nachdem Sie Ihren Bericht eingereicht haben, werden wir ihn hinsichtlich der Auswirkungen, Schwere und Komplexität der Ausnutzung analysieren. Wenn wir ihn als relevant erachten, werden wir innerhalb von fünfzehn (15) Werktagen auf Sie reagieren. Wir halten Sie über unseren Fortschritt informiert.
Sobald die gemeldete Sicherheitsanfälligkeit behoben ist, werden wir Sie benachrichtigen, und Sie können eingeladen werden zu bestätigen, dass die Lösung die Sicherheitsanfälligkeit angemessen abdeckt. Wir begrüßen Anfragen zur Offenlegung Ihres Berichts, sobald Ihre Sicherheitsanfälligkeit behoben wurde. Bitte sehen Sie jedoch davon ab, Informationen über entdeckte Sicherheitsanfälligkeiten für 90 Kalendertage nach Erhalt unserer Bestätigung des Eingangs Ihres Berichts zu teilen.
Belohnungen
Wir bieten normalerweise keine finanziellen Belohnungen für Einreichungen an. Wir können jedoch in Fällen von gültigen kritischen Sicherheitsanfälligkeiten und hochwertigen Berichten eine Ausnahme machen. Die Höhe der Belohnung wird basierend auf der maximalen Auswirkung der Sicherheitsanfälligkeit festgelegt. Berichte, die gut geschrieben und als nützlich erachtet werden, haben eine höhere Chance, für eine Belohnung in Betracht gezogen zu werden.
Bitte beachten Sie, dass nur die erste Person, die einen zuvor unbekannten Fehler meldet, für eine Belohnung qualifiziert ist.