Sicherheitsanfälligkeit melden

Sicherheitsanfälligkeit melden

Haben Sie eine Schwachstelle in unseren Systemen entdeckt? Dann würden wir gerne von Ihnen hören. Mit Ihrer Hilfe können wir unsere Dienstleistungen und deren Sicherheit verbessern.

Sie können Probleme im Zusammenhang mit unseren Online-Diensten melden. Zum Beispiel (aber nicht beschränkt auf):

Cross-Site-Scripting

SQL-Injection

Standortübergreifende Request Forgery (CSRF)

Schwächen in der Authentifizierung

 

Unser Regelwerk

Melden Sie uns eine Schwachstelle? Und ist dieser Bericht relevant? In diesem Fall belohnen wir Sie immer mit einem kleinen Geschenk oder Swag. Schließlich haben Sie Zeit und Mühe in Ihre Recherche investiert. Ist Ihr Bericht von Bedeutung? Dann haben Sie möglicherweise Anspruch auf Entschädigung. Wir haben ein Regelwerk:

  • Handeln Sie integer und verursachen Sie während Ihrer Untersuchung keinen Schaden.
  • Unterbrechen Sie unsere Dienste nicht, wenn Sie eine Schwachstelle untersuchen.
  • Geben Sie niemals Kunden- oder unsere persönlichen Daten weiter.
  • Jeder kann eine Schwachstelle melden. Auch wenn Sie kein Kunde von Trad3s sind.
  • Teilen Sie die Sicherheitsanfälligkeit erst dann mit anderen, wenn sie behoben ist. Sprechen Sie mit unseren Experten und geben Sie uns Zeit, das Problem zu lösen.
  • Wir bearbeiten Berichte nur in englischer oder niederländischer Sprache.
  • Verwenden Sie keine Angriffe auf physische Sicherheit, Social Engineering oder Hacking-Tools wie Schwachstellenscanner.
  • Platzieren Sie keine Hintertür in einem ( Informations-) System ( um die Schwachstelle zu demonstrieren. )
  • Machen Sie minimalen Gebrauch von einer Schwäche. Tun Sie nur das, was notwendig ist, um die Schwachstelle zu ermitteln.
  • Ändern oder löschen Sie keine Daten aus dem/den System(en).
  • Seien Sie vorsichtig beim Kopieren von Daten.
  • Nehmen Sie keine Systemänderungen vor.
  • Versuchen Sie nicht wiederholt, Passwörter zu erraten, um durch Brute-Force-Angriffe, Wörterbuchangriffe und dergleichen Zugriff auf Systeme zu erhalten.

 

Ausschlüsse

Wenn es sich um eine Schwachstelle mit einem geringen oder akzeptierten Risiko handelt, kann Trad3s entscheiden, einen Bericht nicht zu belohnen. Im Folgenden finden Sie einige Beispiele für solche Schwachstellen:

  • HTTP 404-Codes oder andere Nicht-HTTP 200-Codes
  • Hinzufügen von Nur-Text auf 404 Seiten
  • Veröffentlichung von Bannern auf öffentlichen Diensten
  • Öffentlich zugängliche Dateien und Ordner mit nicht vertraulichen Informationen
  • Clickjacking auf Seiten ohne Login-Funktion
  • Cross-Site Request Forgery (CSRF) auf Formularen, auf die anonym zugegriffen werden kann
  • Fehlen von “sicheren” / “Nur HTTP” Flags für nicht sensible Cookies
  • Verwenden der HTTP OPTIONS-Methode
  • Host-Header-Injektion
  • Fehlen von SPF-, DKIM- und DMARC-Datensätzen
  • Mangel an DNSSEC
  • Es fehlen einer oder mehrere der folgenden HTTP-Sicherheitsheader:
  • Strikte Transportsicherheit (HSTS)
  • HTTP Public Key Pinning (HPKP)
  • Content-Security-Policy (CSP)
  • X-Content-Type-Optionen
  • X-Frame-Optionen
  • X- WebKit -CSP
  • X-XSS- Schutz

 

Was passiert, nachdem Sie einen Bericht veröffentlicht haben?

Unsere Sicherheitsexperten werden Ihren Bericht untersuchen. Sie erhalten innerhalb von zwei Werktagen eine erste Antwort. Sie können sich an security@trad3s.com melden. Vielleicht tun Sie in Ihrer Untersuchung etwas, das gesetzlich verboten ist. Wenn Sie dies in gutem Glauben, sorgfältig und gemäß den oben genannten Regeln tun, beabsichtigen wir, keine Gebühren zu erheben. Wir wollen jedoch in der Lage sein, jede Situation separat auszugleichen. Wir sehen uns moralisch verpflichtet, Anklage zu erheben, wenn wir den Verdacht haben, dass die Schwachstelle oder Daten missbraucht werden oder dass Sie Wissen über die Schwachstelle mit anderen geteilt haben.

 

Belohnung

Wir geben Ihnen immer ein kleines Geschenk oder Swag für den Aufwand, den Sie unternommen haben, wenn das, was Sie gefunden haben, nicht auf der Ausschlussliste steht. Wenn wir dank Ihrer Meldung Schwachstellen beheben oder unsere Dienste anpassen, werden wir Ihnen hierfür eine angemessene Entschädigung leisten. Trad3s entscheidet, ob Sie dafür in Frage kommen und wie hoch die Höhe der Rückerstattung ist. Melden andere die gleiche Schwachstelle? Dann ist die Rückerstattung für den ersten Reporter.

 

Privatsphäre

Wenn Sie eine Meldung gemacht haben, fragen wir Sie nach Ihren Kontaktdaten (Name, E-Mail, PGP Public Key und Telefonnummer). Wir geben Ihre Daten nicht an andere weiter und verwenden sie nicht für andere Zwecke. Es sei denn, wir sind gesetzlich dazu verpflichtet, zum Beispiel im Falle einer Klage der Justizbehörden.

 

AWS

Unsere Services laufen auf Amazon Web Services. Amazon hat seine eigenen Regeln für das Pentesting von Diensten auf ihrer Plattform. Wir bitten Sie, diese Regeln zur Kenntnis zu nehmen und bei der Durchführung Ihrer Recherchen einzuhalten.

 

URL: https://aws.amazon.com/security/penetration-testing/