Richtlinie für koordinierte Meldung von Schwachstellen:

Die DomainFactory möchte Sicherheitsexperten ermutigen, mit uns an möglichen Problemen bei unseren Diensten oder auf unserer Website zu arbeiten. Dafür sagen wir zu, dass wir keine privat- oder strafrechtlichen Schritte gegen die meldende Partei einleiten werden, wenn wir nach eigenem Ermessen zu dem Schluss kommen, dass eine Meldung alle Punkte der DomainFactory Richtlinie für koordinierte Meldung von Schwachstellen erfüllt.


Infrage kommende Schwachstellen:

Die DomainFactory nimmt Meldungen von Schwachstellen entgegen, welche die Vertraulichkeit oder Integrität eines DomainFactory Dienstes wesentlich beeinträchtigen. In Frage kommende Schwachstellen sind u.a.:

  • Cross Site Scripting (XSS)
  • Authentifizierungs- und Autorisierungsfehler
  • Cross Site Request Forgery (CSRF)
  • Remote Code-Ausführung
  • SQL Injection
  • Directory Traversal
  • Click-jacking
  • Rechteausweitung

Nicht infrage kommende Schwachstellen:

Jegliche Domains, die nicht zu DomainFactory gehören, sind vom Anwendungsbereich der koordinierten Meldung von Schwachstellen ausgeschlossen, ebenso wie alle gehosteten Kundeninhalte und Drittanbieter-Programme und -Plugins.
Die folgenden Aktionen sind nicht für die koordinierte Meldung von Schwachstellen zugelassen und sollten entsprechend nicht von den am Programm teilnehmenden Sicherheitsexperten getestet werden:

  • DoS, Brute Force, User Enumeration oder DDoS-Angriffe
  • Physische Angriffe
  • Phishing-Angriffe
  • Jeder Fehler, der sich auf Social Engineering stützt
  • CRIME/BEAST-Angriffe
  • Logout-CSRF
  • Banner- oder Versionsaufdeckung
  • Fehlende SPF-Einträge
  • Verzeichnisauflistung (es sei denn, sensible Daten werden sichtbar)
  • Black-hat SEO-Techniken
  • Jeder Fehler, der auf einem veralteten Browser basiert


Die DomainFactory akzeptiert keine Meldungen von automatischen Schwachstellen-Scannern.

Was ist bei der Einreichung zu berücksichtigen?

  1. Wie wurde die Schwachstelle entdeckt?
  2. Schritte, um die Schwachstelle zu reproduzieren, ggf. mit erklärenden Videos, Bildern, Codes oder POCs.
  3. Eine klare Beschreibung aller in der Meldung verwendeten Accounts und deren Beziehungen untereinander.
  4. Eine Liste der Tools, die gegebenenfalls verwendet wurden, um die gemeldete Schwachstelle zu entdecken.

Tipps für erfolgreiche Meldungen:

  1. Je detaillierter die Schritte zur Reproduktion des Fehlers sind, desto besser. Die Meldung sollte auch alle besuchten Seiten, Benutzer-IDs, angeklickten Links usw. enthalten.
  2. Videos und Bilder sind immer hilfreich, insbesondere wenn sie eine zugehörige Beschreibung haben.
  3. Exploit-Code, der konsistent funktioniert, hilft uns, die Schwachstelle schneller zu verifizieren.
  4. Zur Erinnerung: Details, Details, Details!

Vertraulichkeit:

Alle Informationen, die im Rahmen des Programms für koordinierte Meldung von Schwachstellen über DomainFactory, DomainFactory Mitarbeiter oder DomainFactory Kunden ("Vertrauliche Informationen") gesammelt werden, müssen vertraulich behandelt werden und dürfen nur in Verbindung mit dem Programm verwendet werden. Schwachstellen dürfen erst dann veröffentlicht werden, wenn eine ordnungsgemäße Behebung erfolgt ist, und vertrauliche Informationen dürfen nicht ohne die vorherige schriftliche Zustimmung von DomainFactory veröffentlicht werden. Jede Veröffentlichung vertraulicher Informationen außerhalb dieser Regelung führt zum sofortigen Ausschluss aus dem Programm.

Rechtliches:

Mit der Teilnahme an der koordinierten Meldung von Schwachstellen der DomainFactory erklären Sie sich mit den Allgemeinen Geschäftsbedingungen und der Datenschutzerklärung der DomainFactory einverstanden. Ihre Tests dürfen nicht gegen Gesetze verstoßen, Dienste unterbrechen oder Daten gefährden, die nicht Ihre eigenen sind.