Offenlegung von Sicherheitslücken
Richtlinien zur Offenlegung von Sicherheitslücken
Wenn Sie Informationen zu Sicherheitslücken von TalentLMS oder anderen Produkten und Dienstleistungen von Epignosis haben, möchten wir von Ihnen hören. Bitte reichen Sie Berichte gemäß den folgenden Richtlinien ein. Wir schätzen die positive Wirkung Ihrer Arbeit und danken Ihnen im Voraus für Ihren Beitrag.
Wir entlohnen Personen, die Berichte zur Offenlegung von Sicherheitslücken einreichen, die den unten auf dieser Seite definierten Richtlinien und Umfang entsprechen und vom TalentLMS-Sicherheitsteam als gültig bewertet werden.
Richtlinien
Epignosis erklärt sich damit einverstanden, keine Ansprüche gegen Ermittler von Sicherheitslücken im Zusammenhang mit den über diese Website veröffentlichten Informationen geltend zu machen, die:
- keinen Schaden für Epignosis, unsere Kunden oder andere verursachen;
- eine detaillierte Zusammenfassung der Sicherheitsanfälligkeit, einschließlich des Ziels, der Schritte, der Tools und der Artefakte, die während der Offenlegung verwendet werden, zur Verfügung stellen (die detaillierte Zusammenfassung ermöglicht es uns, die Sicherheitsanfälligkeit zu reproduzieren);
- die Privatsphäre oder Sicherheit unserer Kunden und den Betrieb unserer Dienste nicht beeinträchtigen;
- keine Gesetze oder Vorschriften verletzen;
- Details zu Sicherheitslücken erst dann veröffentlichen, wenn Epignosis die vollständige Behebung derselben bestätigt hat, bzw. Details zu Sicherheitslücken nicht veröffentlichen, wenn kein Abschlussdatum oder Abschluss festgestellt werden kann;
- bestätigen, dass sie sich nicht in Kuba, Iran, Nordkorea, Sudan, Syrien oder auf der Krim befinden oder dort wohnhaft sind; und
- bestätigen, dass sie nicht auf der Specially Designated Nationals List des US Department of the Treasury stehen.
Außerhalb des Geltungsbereiches
- Berichte von automatisierten Tools oder Scans
- Probleme ohne eindeutig identifizierte Auswirkungen auf die Sicherheit (z. B. Clickjacking auf einer statischen Website), fehlende Sicherheitsheader oder beschreibende Fehlermeldungen
- Nichteinhaltung von Best Practices, Offenlegung von Daten, Verwendung von bekanntermaßen anfälligen Bibliotheken oder beschreibenden / ausführlichen / eindeutigen Fehlerseiten (ohne inhaltliche Informationen, die Ausnutzbarkeit erkennen lassen)
- Spekulative Berichte über theoretische Schäden ohne konkrete Beweise oder wesentliche Informationen, die Ausnutzbarkeit erkennen lassen
- Formulare, bei denen CSRF-Token fehlen, ohne dass die tatsächliche CSRF-Sicherheitsanfälligkeit nachgewiesen wurde
- Self-Exploitation (z. B. Wiederverwendung von Cookies)
- Berichte über unsichere SSL / TLS-Verschlüsselung (es sei denn, Sie verfügen über einen funktionierenden Konzeptnachweis (Proof of Concept) und nicht nur über einen Bericht von einem Scanner wie SSL Labs)
- Anforderungen an die Passwortkomplexität, Konto- / E-Mail-Aufzählung und jegliche Berichte darüber, wie herausgefunden werden kann, ob ein bestimmter Benutzername oder eine E-Mail-Adresse mit einem zu Epignosis gehörenden Konto verknüpft ist
- Fehlende sicherheitsrelevante HTTP-Header, die keine unmittelbare Sicherheitslücke darstellen
- Cross-Site-Scripting-Schwachstellen ohne Hinweise darauf, wie diese für den Angriff auf einen anderen Nutzer ausgenutzt werden können
- Social Engineering von Epignosis-Mitarbeitern oder -Auftragnehmern
- Vorhandensein des Autocomplete-Attributs in Webformularen
- Fehlende sicherheitsrelevante Cookie-Flags bei nicht-sensitiven Cookies
- Denial-of-Service-Angriffe
- Probleme mit der Banneridentifikation (z. B. Identifikation der verwendeten Webserverversion)
- Offene Ports, die keine unmittelbare Sicherheitslücke darstellen
- Offene Redirect-Schwachstellen
- Öffentlich zugängliche Anmeldefelder
- Clickjacking
- Content-Spoofing / Text-Injektion
Bitte senden Sie Ihre Sicherheitsberichte an security at talentlms dot com. Indem Sie uns kontaktieren, stimmen Sie zu, dass Ihre Daten in die Vereinigten Staaten übertragen und dort gespeichert werden, und bestätigen, dass Sie die Nutzungsbedingungen und Datenschutzrichtlinien von TalentLMS gelesen und akzeptiert haben.