Richtlinie für koordinierte Meldung von Schwachstellen:

Die DomainFactory möchte Sicherheitsexperten ermutigen, mit uns an möglichen Problemen bei unseren Diensten oder auf unserer Website zu arbeiten. Dafür sagen wir zu, dass wir keine privat- oder strafrechtlichen Schritte gegen die meldende Partei einleiten werden, wenn wir nach eigenem Ermessen zu dem Schluss kommen, dass eine Meldung alle Punkte der DomainFactory Richtlinie für koordinierte Meldung von Schwachstellen erfüllt.


Infrage kommende Schwachstellen:

Die DomainFactory nimmt Meldungen von Schwachstellen entgegen, welche die Vertraulichkeit oder Integrität eines DomainFactory Dienstes wesentlich beeinträchtigen. In Frage kommende Schwachstellen sind u.a.:

  • Cross Site Scripting (XSS)
  • Authentifizierungs- und Autorisierungsfehler
  • Cross Site Request Forgery (CSRF)
  • Remote Code-Ausführung
  • SQL Injection
  • Directory Traversal
  • Click-jacking
  • Rechteausweitung

Nicht infrage kommende Schwachstellen:

Jegliche Domains, die nicht zu DomainFactory gehören, sind vom Anwendungsbereich der koordinierten Meldung von Schwachstellen ausgeschlossen, ebenso wie alle gehosteten Kundeninhalte und Drittanbieter-Programme und -Plugins.
Die folgenden Aktionen sind nicht für die koordinierte Meldung von Schwachstellen zugelassen und sollten entsprechend nicht von den am Programm teilnehmenden Sicherheitsexperten getestet werden:

  • DoS, Brute Force, User Enumeration oder DDoS-Angriffe
  • Physische Angriffe
  • Phishing-Angriffe
  • Jeder Fehler, der sich auf Social Engineering stützt
  • CRIME/BEAST-Angriffe
  • Logout-CSRF
  • Banner- oder Versionsaufdeckung
  • Fehlende SPF-Einträge
  • Verzeichnisauflistung (es sei denn, sensible Daten werden sichtbar)
  • Black-hat SEO-Techniken
  • Jeder Fehler, der auf einem veralteten Browser basiert


Die DomainFactory akzeptiert keine Meldungen von automatischen Schwachstellen-Scannern.

Was ist bei der Einreichung zu berücksichtigen?

  1. Wie wurde die Schwachstelle entdeckt?
  2. Schritte, um die Schwachstelle zu reproduzieren, ggf. mit erklärenden Videos, Bildern, Codes oder POCs.
  3. Eine klare Beschreibung aller in der Meldung verwendeten Accounts und deren Beziehungen untereinander.
  4. Eine Liste der Tools, die gegebenenfalls verwendet wurden, um die gemeldete Schwachstelle zu entdecken.

Tipps für erfolgreiche Meldungen:

  1. Je detaillierter die Schritte zur Reproduktion des Fehlers sind, desto besser. Die Meldung sollte auch alle besuchten Seiten, Benutzer-IDs, angeklickten Links usw. enthalten.
  2. Videos und Bilder sind immer hilfreich, insbesondere wenn sie eine zugehörige Beschreibung haben.
  3. Exploit-Code, der konsistent funktioniert, hilft uns, die Schwachstelle schneller zu verifizieren.
  4. Zur Erinnerung: Details, Details, Details!

Vertraulichkeit:

Alle Informationen, die im Rahmen des Programms für koordinierte Meldung von Schwachstellen über DomainFactory, DomainFactory Mitarbeiter oder DomainFactory Kunden ("Vertrauliche Informationen") gesammelt werden, müssen vertraulich behandelt werden und dürfen nur in Verbindung mit dem Programm verwendet werden. Schwachstellen dürfen erst dann veröffentlicht werden, wenn eine ordnungsgemäße Behebung erfolgt ist, und vertrauliche Informationen dürfen nicht ohne die vorherige schriftliche Zustimmung von DomainFactory veröffentlicht werden. Jede Veröffentlichung vertraulicher Informationen außerhalb dieser Regelung führt zum sofortigen Ausschluss aus dem Programm.

Rechtliches:

Mit der Teilnahme an der koordinierten Meldung von Schwachstellen der DomainFactory erklären Sie sich mit den Allgemeinen Geschäftsbedingungen und der Datenschutzerklärung der DomainFactory einverstanden.

Ihre Tests dürfen nicht gegen Gesetze verstoßen, Dienste unterbrechen oder Daten gefährden, die nicht Ihre eigenen sind.

COORDINATED Vulnerability DISCLOSURE POLICY: 

DomainFactory encourages researchers to work with us on potential issues in our services or on our website. In order to encourage researchers to work with us, we agree that if, in our sole discretion, we conclude that a disclosure meets all of the guidelines of the DomainFactory Coordinated Disclosure policy, DomainFactory will not bring any private or criminal legal action against the disclosing party. 

QUALIFYING VULNERABILITIES: 

DomainFactory will accept a report of any vulnerability that substantially affects the confidentiality or integrity of any eligible DomainFactory service. Eligible vulnerabilities include, but are not limited to: 

  • Cross Site Scripting (XSS) 
  • Authentication and Authorization Flaws 
  • Cross Site Request Forgery (CSRF) 
  • Remote Code Execution 
  • SQL Injection 
  • Directory Traversal 
  • Click-jacking 
  • Privilege Escalation

NON-QUALIFYING VULNERABILITIES: 

Any domain not contained within DomainFactory is out of scope for the purposes of the Coordinated Vulnerability Disclosure, as is all hosted customer content and third-party programs and plug-ins. 

The following actions do not qualify for Coordinated Disclosure and should not be tested by researchers participating in the Program: 

  • DoS, brute force, user enumeration or DDoS attacks 
  • Physical attacks 
  • Phishing attacks 
  • Any bug that relies on Social engineering 
  • CRIME/BEAST attacks 
  • Logout CSRF 
  • Banner or version disclosures 
  • Missing SPF records 
  • Directory listing (unless sensitive data can be found) 
  • Blackhat SEO techniques 
  • Any bug that relies upon an outdated browser 

DomainFactory will not accept reports from automated vulnerability scanners. 

WHAT TO INCLUDE IN SUBMISSION? 

  1. How was the vulnerability discovered? 
  2. Steps to reproduce the vulnerability with any supported videos, images, codes, or POC;  
  3. A clear description of any accounts used in your report and any relationships between them. 
  4. List of tools if any used to discover the reported vulnerability. 

SUGGESTIONS FOR GOOD REPORTS: 

  1. The more detailed your steps for reproducing the bug, the better. This should include any pages that you visited, user IDs, links clicked, etc. 
  2. Videos and images are always useful but are even more useful if accompanied by a description. 
  3. Exploit code that consistently works can allow us to verify your vulnerability more quickly. 
  4. Remember – details, details, details! 

CONFIDENTIALITY: 

Any information that you collect about DomainFactory, DomainFactory employees, or DomainFactory customers (“Confidential Information”) through the Coordinated Vulnerability Disclosure program must be kept confidential and may only be used in connection with the Program. You may disclose vulnerabilities only after proper remediation has occurred and you may not disclose Confidential Information without DomainFactory’s prior written consent. Any disclosure of Confidential Information outside of this requirement will result in immediate removal from the Program. 

LEGAL: 

By participating in DomainFactory ‘s Coordinated Vulnerability Disclosure, you acknowledge that you have read and agree to DomainFactorys’s Universal Terms of Service Agreement and Privacy Policy

Your testing must not violate any law, disrupt services, or compromise any data that is not your own. 

Bitte haben Sie einen Moment Geduld. Die Seite wird geladen.