Webdemo

Responsible Disclosure Policy

Bei der CSS AG hat die Sicherheit unserer Systeme höchste Priorität. Aber egal, wie viel Aufwand wir in die Systemsicherheit stecken,  können immer noch Schwachstellen vorhanden sein.

‍Wenn Sie eine Schwachstelle entdecken, würden wir gerne davon erfahren, damit wir Maßnahmen ergreifen können, um sie so schnell wie möglich zu beheben. Wir möchten Sie bitten, uns dabei zu helfen, unsere Kunden und unsere Systeme besser zu schützen.

Bitte gehen Sie wie folgt vor

  • Senden Sie Ihre Ergebnisse per E-Mail an security(at)css.de.
  • Nutzen Sie die Schwachstelle oder das Problem, das Sie entdeckt haben, nicht aus, indem Sie beispielsweise mehr Daten als nötig herunterladen, um die Schwachstelle zu bestätigen, oder die Daten anderer Personen löschen oder ändern.
  • Teilen Sie das Problem nicht anderen mit, bis es gelöst ist.
  • Verwenden Sie keine Angriffe auf die physische Sicherheit, Social Engineering, Distributed Denial of Service, Spam oder Anwendungen Dritter.
  • Geben Sie ausreichende Informationen an, um das Problem zu reproduzieren, damit wir es so schnell wie möglich lösen können. Normalerweise sind die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle ausreichend, aber komplexe Schwachstellen erfordern möglicherweise eine weitere Erklärung.

Was sollte gemeldet werden

Beispiele von Schwachstellen sind:

  • Remote Code execution
  • Cross Site scripting (XSS)
  • Cross Site Request Forgery (CSRF)
  • SQL injection
  • Schwächen in der Verschlüsselung
  • Umgehen von Authentifizierung und Autorisierung

Was sollte die Meldung nicht beinhalten

Folgende Punkte bitte nicht melden:

  • Schwachstellen ohne einen ausreichend  beschriebenen Nachweis einer möglichen Ausnutzung
  • (Fehlende) SPF/DKIM/DMARC Einträge
  • Cross Site Request Forgery (CSRF) Schwachstellen auf statischen Seiten (nur Seiten hinter einem Login)
  • Weiterleitungen von HTTP auf HTTPS
  • HTML Charsets
  • Cookie ohne HttpOnly flag
  • Fehlende HTTP Strict Transport Security (HSTS)
  • Clickjacking oder nicht-vorhandene X-Frame Options auf Seiten ohne Login Möglichkeit
  • Die veraltete Version unseres Servers oder der Anwendung eines Drittanbieters ohne dass ein Proof of Concept über die Nutzung dieser Version vorliegt
  • Die Verwendung von unsicheren SSL/TLS ciphers
  • Distributed Denial of Service Angriffe
  • Spam oder Social Engineering Techniken
  • Berichte von Regel-Scans wie beispielsweise Port Scannern

Ablauf nach Meldungseingang

  • Wir werden Ihre Bericht innerhalb der nächsten Tage bewerten und mit einem voraussichtlichen Lösungsdatum antworten.
  • Wenn Sie die obigen Anweisungen befolgt haben, werden wir keine rechtlichen Schritte gegen Sie in Bezug auf die Meldung einleiten.
  • Wir werden Ihre Meldung streng vertraulich behandeln und Ihre persönlichen Daten nicht ohne Ihre Zustimmung an Dritte weitergeben.
  • Wir werden Sie über den Fortschritt bei der Lösung des Problems auf dem Laufenden halten.

‍Wir bemühen uns, alle Probleme so schnell wie möglich zu lösen, und wir möchten eine aktive Rolle bei der endgültigen Veröffentlichung des Problems nach dessen Lösung spielen.

 

 


Dieser Text basiert auf der Vorlage v
on Floor Terra und publiziert unter der Creative Commons Attribution 3.0 Unported license.