Vulnerability Detection in LMS - Secure Online Learning System - TalentLMS

Offenlegung von Sicherheitslücken

Offenlegung von Sicherheitslücken

Richtlinien zur Offenlegung von Sicherheitslücken

Wenn Sie Informationen zu Sicherheitslücken von TalentLMS oder anderen Produkten und Dienstleistungen von Epignosis haben, möchten wir von Ihnen hören. Bitte reichen Sie Berichte gemäß den folgenden Richtlinien ein. Wir schätzen die positive Wirkung Ihrer Arbeit und danken Ihnen im Voraus für Ihren Beitrag.

Wir entlohnen Personen, die Berichte zur Offenlegung von Sicherheitslücken einreichen, die den unten auf dieser Seite definierten Richtlinien und Umfang entsprechen und vom TalentLMS-Sicherheitsteam als gültig bewertet werden.

Richtlinien

Epignosis erklärt sich damit einverstanden, keine Ansprüche gegen Ermittler von Sicherheitslücken im Zusammenhang mit den über diese Website veröffentlichten Informationen geltend zu machen, die:

  • keinen Schaden für Epignosis, unsere Kunden oder andere verursachen;
  • eine detaillierte Zusammenfassung der Sicherheitsanfälligkeit, einschließlich des Ziels, der Schritte, der Tools und der Artefakte, die während der Offenlegung verwendet werden, zur Verfügung stellen (die detaillierte Zusammenfassung ermöglicht es uns, die Sicherheitsanfälligkeit zu reproduzieren);
  • die Privatsphäre oder Sicherheit unserer Kunden und den Betrieb unserer Dienste nicht beeinträchtigen;
  • keine Gesetze oder Vorschriften verletzen;
  • Details zu Sicherheitslücken erst dann veröffentlichen, wenn Epignosis die vollständige Behebung derselben bestätigt hat, bzw. Details zu Sicherheitslücken nicht veröffentlichen, wenn kein Abschlussdatum oder Abschluss festgestellt werden kann;
  • bestätigen, dass sie sich nicht in Kuba, Iran, Nordkorea, Sudan, Syrien oder auf der Krim befinden oder dort wohnhaft sind; und
  • bestätigen, dass sie nicht auf der Specially Designated Nationals List des US Department of the Treasury stehen.

Außerhalb des Geltungsbereiches

  1. Berichte von automatisierten Tools oder Scans
  2. Probleme ohne eindeutig identifizierte Auswirkungen auf die Sicherheit (z. B. Clickjacking auf einer statischen Website), fehlende Sicherheitsheader oder beschreibende Fehlermeldungen
  3. Nichteinhaltung von Best Practices, Offenlegung von Daten, Verwendung von bekanntermaßen anfälligen Bibliotheken oder beschreibenden / ausführlichen / eindeutigen Fehlerseiten (ohne inhaltliche Informationen, die Ausnutzbarkeit erkennen lassen)
  4. Spekulative Berichte über theoretische Schäden ohne konkrete Beweise oder wesentliche Informationen, die Ausnutzbarkeit erkennen lassen
  5. Formulare, bei denen CSRF-Token fehlen, ohne dass die tatsächliche CSRF-Sicherheitsanfälligkeit nachgewiesen wurde
  6. Self-Exploitation (z. B. Wiederverwendung von Cookies)
  7. Berichte über unsichere SSL / TLS-Verschlüsselung (es sei denn, Sie verfügen über einen funktionierenden Konzeptnachweis (Proof of Concept) und nicht nur über einen Bericht von einem Scanner wie SSL Labs)
  8. Anforderungen an die Passwortkomplexität, Konto- / E-Mail-Aufzählung und jegliche Berichte darüber, wie herausgefunden werden kann, ob ein bestimmter Benutzername oder eine E-Mail-Adresse mit einem zu Epignosis gehörenden Konto verknüpft ist
  9. Fehlende sicherheitsrelevante HTTP-Header, die keine unmittelbare Sicherheitslücke darstellen
  10. Cross-Site-Scripting-Schwachstellen ohne Hinweise darauf, wie diese für den Angriff auf einen anderen Nutzer ausgenutzt werden können
  11. Social Engineering von Epignosis-Mitarbeitern oder -Auftragnehmern
  12. Vorhandensein des Autocomplete-Attributs in Webformularen
  13. Fehlende sicherheitsrelevante Cookie-Flags bei nicht-sensitiven Cookies
  14. Denial-of-Service-Angriffe
  15. Probleme mit der Banneridentifikation (z. B. Identifikation der verwendeten Webserverversion)
  16. Offene Ports, die keine unmittelbare Sicherheitslücke darstellen
  17. Offene Redirect-Schwachstellen
  18. Öffentlich zugängliche Anmeldefelder
  19. Clickjacking
  20. Content-Spoofing / Text-Injektion

Bitte senden Sie Ihre Sicherheitsberichte an security at talentlms dot com. Indem Sie uns kontaktieren, stimmen Sie zu, dass Ihre Daten in die Vereinigten Staaten übertragen und dort gespeichert werden, und bestätigen, dass Sie die Nutzungsbedingungen und Datenschutzrichtlinien von TalentLMS gelesen und akzeptiert haben.