Przejdź do treści
Powrót

// Responsible disclosure

Responsible disclosure / Coordinated Vulnerability Disclosure

Badacze bezpieczeństwa i zgłaszający są mile widziani. Ta strona opisuje, jak odpowiedzialnie zgłosić potencjalne podatności w publicznej obecności webowej skopion.de.

Kontakt

Zgłoszenie na [email protected], najlepiej szyfrowane PGP. Klucz i kanały kontaktu: zobacz /pgp oraz security.txt (RFC 9116).

Zakres

W zakresie: publiczna obecność webowa skopion.de. Poza zakresem: usługi osób trzecich oraz infrastruktura nieprzypisana do SKOPION.

Zasady

  • Brak testów DoS/DDoS
  • Brak socjotechniki
  • Brak eksfiltracji, modyfikacji lub usuwania danych
  • Brak persystencji i ruchu bocznego
  • Brak spamu i automatycznych masowych skanów zakłócających działanie
  • Żadnych ataków fizycznych.

Dobre zgłoszenie zawiera

  • Adres URL lub endpoint
  • Kroki reprodukcji
  • Ocenę wpływu i wagi
  • Dowody (zrzuty ekranu, logi, request/response)
  • Czy użyto narzędzi automatycznych.

Klasyfikacja zgłoszeń

Zgłoszenia bez odtwarzalnego dowodu, wskazanego endpointu i wpływu traktujemy jako informację zwrotną, a nie potwierdzoną podatność. Ogólne uwagi o brakujących nagłówkach bez wykazanej możliwości wykorzystania nie są podatnością.

Przebieg

Potwierdzamy odbiór, oceniamy zgłoszenie i informujemy o statusie. Prosimy o rozsądny czas na naprawę przed publikacją.

Nie przysługuje roszczenie o wynagrodzenie lub premię.