Wie melde ich eine Sicherheitslücke?

Verantwortliche Offenlegung

Wir verpflichten uns, die Informationen unserer Kunden zu schützen. Wenn Sie glauben, eine Sicherheitslücke identifiziert zu haben, freuen wir uns über Ihre Hilfe bei der verantwortungsvollen Offenlegung, indem Sie uns per E-Mail an security@vyond.com benachrichtigen.

Sicherheit ist uns sehr wichtig und wir werden alle Schwachstellenberichte untersuchen und darauf reagieren. Wir sind am meisten an Schwachstellen im Zusammenhang mit vyond.com interessiert.

Bitte beachten Sie folgende Punkte:

  • Bitte beschreiben Sie die Schwachstelle(n) ausreichend detailliert und geben Sie die Auswirkungen der Exploits an.
  • Bitte fügen Sie gegebenenfalls einen reproduzierbaren Konzeptnachweis bei, z. B. Code-Snippets, Anforderungs-URLs und Angriffsnutzlasten, Screenshots, Packet-Trace-Dateien oder Videoaufnahmen, die den Exploit demonstrieren. Listen Sie, wenn möglich, Referenzmaterialien auf externen Websites auf, wenn diese uns helfen könnten, die Art des Problems besser zu verstehen.
  • Bitte vermeiden Sie es, mehrere Arten von Schwachstellen in derselben E-Mail zu melden, da uns dies daran hindern könnte, ähnliche Schwachstellenberichte zusammenzufassen und kritische Schwachstellen zu gegebener Zeit schnell zu identifizieren. Wenn Sie mehrere Schwachstellen zu melden haben, senden Sie uns bitte eine E-Mail für jede Art Schwachstelle.
  • Bitte beteiligen Sie sich nicht an Tests, die sich auf unsere Kunden auswirken oder zu einer Verschlechterung des Dienstes führen können, wie z. B. Denial-of-Service-Angriffe, Social Engineering und Spam. Die Zustimmung von Vyond ist erforderlich, bevor automatisierte Scanner, z. B. Burp oder Acunetix, gegen die Site verwendet werden, die in kurzer Zeit eine große Anzahl von Anfragen generieren.
  • Sie dürfen keine Penetrationstests auf Host-Ebene durchführen.
  • Sie dürfen keine Informationen sammeln, die mit einem Konto verbunden sind, das nicht Ihnen gehört. Falls Sie versehentlich auf solche Informationen gestoßen sind, sollten Sie uns eine solche Sicherheitsanfälligkeit melden und alle lokal gespeicherten Kopien von Daten Dritter löschen.
  • Bitte halten Sie Ihre Ergebnisse geheim, bis wir die Probleme bestätigt und behoben haben.
  • Es kann sein, dass wir Sie kontaktieren, um zusätzliche Informationen anzufordern, wenn Ihre Meldung nicht genügend Informationen enthält, um den Kontext der gemeldeten Probleme zu verstehen.
  • Wir werden uns je nach Schwere des Problems und Qualität Ihres Berichts zwischen 1 Werktag und 1-3 Wochen bei Ihnen melden. Bitte bombardieren Sie uns nicht mit Status-Anfragen.
  • Qualifizierende Offenlegungen können Sie, wie unten beschrieben, für unsere Ruhmeshalle qualifizieren.

Ruhmeshalle

Wenn eine schwerwiegende Schwachstelle entdeckt wird, schätzen wir Ihren Beitrag, indem wir Ihre Bemühungen in unserer Ruhmeshalle vorbehaltlich der folgenden Bestimmungen anerkennen:

  • Wenn wir mehrere Meldungen für dieselbe Schwachstelle erhalten, wird nur die erste hilfreiche Meldung hervorgehoben.
  • Vyond behält sich das Recht vor, den „ersten hilfreichen Bericht“ auszuwählen, indem Faktoren bewertet werden, einschließlich, aber nicht beschränkt auf den Zeitpunkt des Eingangs und die Vollständigkeit der Einreichung. Die Nützlichkeit wird danach bewertet, wie nützlich die Einreichung an sich war, um eine spezifische qualifizierende Schwachstelle zu identifizieren und zu beheben.
  • Indem Sie uns eine Schwachstelle übermitteln, erklären Sie sich damit einverstanden, dass die Entscheidung, ob eine Hervorhebung erfolgt, im alleinigen Ermessen von Vyond liegt.
  • Ebenso behält sich Vyond das Recht vor, alle Schwachstellenberichte nach unserem Ermessen abzulehnen.
  • Danksagungen sind derzeit auf der Seite zur Offenlegung der Sicherheit aufgeführt. Vyond behält sich das Recht vor, den Inhalt in Zukunft aufgrund einer Umstrukturierung der Website oder aus anderen Gründen auf eine andere URL zu verschieben.
  • Es wird keine finanzielle Entschädigung gewährt.
  • Bitte beachten Sie, dass Clickjacking- und CSRF-Schwachstellen nur für Websites und Seiten überprüft werden, auf denen vyond.com leicht auszunutzen und zu riskieren ist.

Das Sicherheitsoffenlegungsprogramm kann von Vyond jederzeit ohne vorherige Ankündigung geändert oder beendet werden. Daher kann Vyond diese Bedingungen jederzeit ändern, indem eine überarbeitete Version auf unserer Website veröffentlicht wird.

Bekannte Probleme und Sonderpunkte

Hier sind einige der häufig gemeldeten Punkte, die wir entweder gerade beheben oder die wir im Moment nicht angehen wollen. Meldungen zu diesen Punkten können nicht in die Ruhmeshalle aufgenommen werden:

  • Sitzungsverwaltungsprobleme im Zusammenhang mit vyond.com im Zusammenhang mit lang andauernden Sitzungen und Schwachstellen, die eine Cookie-Wiedergabe erfordern.
  • Fehlen spezifischer Sicherheits-Header (z. B. HSTS).

Bitte beachten Sie, dass die Vyond-Service-Sites, die nicht Teil unserer Webanwendungen sind, nicht in den Geltungsbereich unseres Programms zur verantwortungsvollen Offenlegung fallen und nicht für die Ruhmeshalle berechtigt sind.

Im Folgenden sind Beispiele für Schwachstellen aufgeführt, die für die Aufnahme in die Ruhmeshalle in Frage kommen bzw. dafür nicht in Betracht gezogen werden. Die Listen sind nicht vollständig.

Beispiele für qualifizierte Schwachstellen

  • Authentication Bypass
  • Cross Site Scripting
  • Serverseitige Codeausführung
  • SQL Injection
  • Rechteausweitung
  • Offenlegung sensibler Informationen

Beispiele für nicht-qualifizierte Schwachstellen

  • Denial of Service
  • Social Engineering
  • Mixed-content Skripte
  • Unsichere Cookies
  • Sicherheitslücken, bei denen ein potenzielles Opfer nicht standardmäßige Software installieren oder anderweitig aktive Schritte unternehmen muss, um anfällig zu werden
  • Schwachstellen speziell für veraltete Browser
  • Offenlegung von Webserver-Bannern
  • Weitergabe potenziell sensibler Token bei HTTP-Anfragen an vorautorisierte Widgets von Drittanbietern

Wir möchten den folgenden Personen dafür danken, dass sie uns Schwachstellen verantwortungsbewusst gemeldet haben.

Vielen Dank!

  • Rodolfo Godalle (@rodgodalle)
  • Koutrouss Naddara
  • Osama Mahmood
  • Thatipalli Abhishek
  • Mihir Mistry
  • Ch. Muhammad Osama (@ChMuhammadOsama)
  • Arvind Singh Shekhawat (@EhArvindSingh)
  • JAYVARDHAN SINGH (@Silent_Screamr)
  • Saurabh Chandrakant Nemade (@SaurabhNemade)
  • Anurag Giri
  • mahipal singh rajpurohit (@rajgurumahi007)
  • Sebastian Neef & Richard Kwasnicki
  • Renatas Karpuška
  • Muhammad Talha Khan (@M7K911)
  • Kesav Viswanath Nimmagadda (@kesavnimmagadda)
  • Kamil Sevi (@kamilsevi)
  • ajay singh negi (@AjaySinghNegi)
  • Nadi Abdellah
  • Roy Jansen (@RoyJansen_01
  • Jaidip Kotak (@JaidipKotak)
  • Ahmed Y. Elmogy
  • Ramin Farajpour Cami (@MF4rr3ll)
  • Ahmed Jerbi
  • Ayoub Ait Elmokhtar (@aessadek)
  • Sandeep Sudhagani
  • ABDULWAHAB Khan (@hackerwahab)
  • Pal Patel
  • RAVENAL PRAMOD KUMAR (@PramodRavela)
  • İsmail BÜLBÜL (Usgf.org.tr)
  • Ismail Tasdelen
  • Faizan Ahmed
  • Ather Iqbal
  • Hanz Gumapac
  • Akash Pandey (@HNTR03)
  • Sagar Kumar Patra (@SagarPatra2705)
War dieser Beitrag hilfreich?
2 von 2 fanden dies hilfreich
Haben Sie Fragen? Anfrage einreichen