Vulnerability Disclosure
Solltest du Schwachstellen in IT-Systemen und Webanwendungen von Exploit Labs entdecken, bitten wir dich, uns darüber zu informieren. Wir werden dann umgehend Maßnahmen ergreifen, um die gefundene Schwachstelle so schnell wie möglich zu beheben.
Informiere dich vor deiner Meldung was unter die Vulnerability-Disclosure-Policy fällt-oder auch nicht und warum.
-
Sende deine Ergebnisse zu der Schwachstelle per E-Mail an security@xplt.com. Um die Kommunikation zu verschlüsseln bitten wir dich um Verwendung der unten aufgeführten PGP-Keys.
-
Nutze die Schwachstelle oder das Problem nicht aus, indem du beispielsweise Daten herunterlädst, veränderst, löschst oder Code hochlädst.
-
Gebe Informationen über die Schwachstelle nicht an dritte Personen oder Institutionen weiter, außer dies wurde durch uns freigegeben.
-
Führe keine Angriffe auf unsere IT-Systeme durch, die Infrastruktur und Personen kompromittieren, verändern oder manipulieren.
-
Führe keine Social-Engineering (z.B. Phishing), (Distributed) Denial of Service, Spam oder andere Angriffe auf Exploit Labs durch.
-
Stelle uns hinreichend Informationen zur Verfügung, damit wir das Problem reproduzieren und analysieren können.
-
Stelle eine Kontaktmöglichkeit für Rückfragen bereit.
In der Regel ist die Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle hinreichend. Komplexe Schwachstellen können aber weitere Erklärungen und Dokumentation erfordern.
Valide Sicherheitsprobleme
Jedes Design- oder Implementierungsproblem bei Exploit Labs kann gemeldet werden, das reproduzierbar ist und die Sicherheit beeinträchtigt.
Beispiele:
-
Cross Site Request Forgery (CSRF)
-
Cross Site Scripting (XSS)
-
Insecure Direct Object Reference
-
Remote Code Execution (RCE) – Injection Flaws
-
Information Leakage and Improper Error Handling
-
Unbefugter Zugriff auf Informationen oder Konten
-
Daten-/Informations-Leaks
-
Möglichkeit der Exfiltration von Daten / Informationen
-
Möglichkeit einer unautorisierten System-Nutzung
Welche Themen stellen keine validen Sicherheits-lücken dar?
Die folgenden Schwachstellen fallen nicht in den Geltungsbereich der Vulnerability-Disclosure-Policy:
-
Formulare mit fehlenden CSRF-Token
-
Missing security headers, die nicht direkt zu einer ausnutzbaren Schwachstelle führen.
-
Clickjacking
-
Die Verwendung einer als anfällig oder öffentlich als compromised bekannte Bibliothek (ohne aktiven Nachweis der Ausnutzbarkeit).
-
Berichte von automatisierten Tools oder Scans ohne erklärende Dokumentation.
-
Social Engineering gegen Personen.
-
Denial of Service Angriffe (DoS/DDoSDistributed Denial of Service).
-
Keine Einreichung von Best Practices (z.B. certificate pinning, security header, DMARC).
-
Verwendung von anfälligen und „schwachen“ Cipher-Suites / Chiffren.
Bitte achte auch darauf, dass du nicht Third Parties unter Beschuss nimmst und achte auf deren Disclosure Policies:
Du hast ein Beacon oder unsere C2 Infrastruktur gefunden?
We got something for you
Wenn du Teile unserer Red-Team-Infrastruktur identifizieren konntest, würden wir uns sehr freuen von dir zu hören. Höchstwahrscheinlich im Rahmen des Projekts, in dem wir gerade mit euch arbeiten. Vergiss nicht, mit unserem Team über besondere Belohnungen zu sprechen, vielleicht sogar mehr als nur ein T-Shirt. Halte bitte trotzdem die normalen Meldewege auf eurer Seite ein.
Wenn du andere Möglichkeiten gefunden hast, unsere Infrastruktur zu identifizieren, sind wir ebenso an einer Nachricht interessiert ;)