// Responsible disclosure
Responsible disclosure / Coordinated Vulnerability Disclosure
Badacze bezpieczeństwa i zgłaszający są mile widziani. Ta strona opisuje, jak odpowiedzialnie zgłosić potencjalne podatności w publicznej obecności webowej skopion.de.
Kontakt
Zgłoszenie na [email protected], najlepiej szyfrowane PGP. Klucz i kanały kontaktu: zobacz /pgp oraz security.txt (RFC 9116).
Zakres
W zakresie: publiczna obecność webowa skopion.de. Poza zakresem: usługi osób trzecich oraz infrastruktura nieprzypisana do SKOPION.
Zasady
- Brak testów DoS/DDoS
- Brak socjotechniki
- Brak eksfiltracji, modyfikacji lub usuwania danych
- Brak persystencji i ruchu bocznego
- Brak spamu i automatycznych masowych skanów zakłócających działanie
- Żadnych ataków fizycznych.
Dobre zgłoszenie zawiera
- Adres URL lub endpoint
- Kroki reprodukcji
- Ocenę wpływu i wagi
- Dowody (zrzuty ekranu, logi, request/response)
- Czy użyto narzędzi automatycznych.
Klasyfikacja zgłoszeń
Zgłoszenia bez odtwarzalnego dowodu, wskazanego endpointu i wpływu traktujemy jako informację zwrotną, a nie potwierdzoną podatność. Ogólne uwagi o brakujących nagłówkach bez wykazanej możliwości wykorzystania nie są podatnością.
Przebieg
Potwierdzamy odbiór, oceniamy zgłoszenie i informujemy o statusie. Prosimy o rozsądny czas na naprawę przed publikacją.
Nie przysługuje roszczenie o wynagrodzenie lub premię.