Dutch
English

Responsible Disclosure

Meld een Kwetsbaarheid Download PGP Key

Bij WebSec beschouwen we de beveiliging van onze systemen als een topprioriteit. Maar hoeveel moeite we ook doen om de systeembeveiliging te waarborgen, er kunnen nog steeds kwetsbaarheden aanwezig zijn.

Hoewel onze systemen regelmatig pentests ondergaan, zijn we erg benieuwd of de gemeenschap daarbuiten nog steeds beveiligingsproblemen binnen onze webapplicaties kan vinden. Dus als u een beveiligingsonderzoeker / ethische hacker bent en een kwetsbaarheid ontdekt, dan horen we dat graag van u, zodat we zo snel mogelijk maatregelen kunnen treffen en onze diensten kunnen verbeteren op basis van uw bevindingen.

Wat we van u vragen

  1. Klik op de knop "Een Kwetsbaarheid Indienen" om ons uw bevindingen te sturen of, als dit niet werkt, versleutel uw bevindingen met onze PGP-sleutel en e-mail deze naar ons op security@websec.nl om te voorkomen dat deze kritieke informatie in verkeerde handen valt.
  2. Maak geen misbruik van de kwetsbaarheid of het probleem dat u hebt ontdekt, bijvoorbeeld door meer gegevens te downloaden dan nodig is om de kwetsbaarheid aan te tonen of door gegevens van anderen te verwijderen of te wijzigen.
  3. Maak het probleem niet bekend aan anderen totdat het is opgelost.
  4. Onderneem geen fysieke aanvallen, (distributed) denial of service of niet-relevante spam aanvallen, en verstrek altijd voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar complexe kwetsbaarheden kunnen verdere uitleg vereisen.
  5. Publiceer uw bevindingen niet zonder onze toestemming, we willen betrokken zijn bij elke publicatie over onze beveiliging.
  6. Respecteer onze Triage Agents, we behouden ons het recht voor om verdere communicatie en beloningen te allen tijde af te wijzen, specifiek wanneer onze agenten zich bedreigd / geïntimideerd of ongemakkelijk voelen. In dergelijke gevallen kunnen we de onderzoeker ook blokkeren van verdere deelname aan ons kwetsbaarheidsmeldingsprogramma.

Wat u van ons kunt verwachten

  1. We reageren binnen 3 werkdagen op uw melding met onze evaluatie van het rapport en een verwachte oplossingsdatum,
  2. Als u de bovenstaande instructies hebt gevolgd, zullen we geen juridische stappen tegen u ondernemen met betrekking tot het rapport,
  3. We behandelen uw rapport met strikte vertrouwelijkheid en geven uw persoonlijke gegevens niet door aan derden zonder uw toestemming,
  4. We houden u op de hoogte van de voortgang bij het oplossen van het probleem (Hoewel we misschien niet altijd op tijd kunnen antwoorden omdat onze agenda behoorlijk druk kan zijn),
  5. Voor geldige rapporten plaatsen we uw naam op onze website (tenzij u anders wenst) en als blijk van onze dank voor uw hulp bieden we een beloning voor elk geldig rapport van een beveiligingsprobleem dat ons nog niet bekend was en dat een CVSSv3.1-score van 4.0 of hoger heeft.

Het type beloning hangt af van de Kwaliteit van het Rapport, Geldigheid, Impact en Exploiteerbaarheid we zullen meten welke beloning geschikt is voor uw bevinding. Een beloning kan van het volgende type zijn: Vermelding in de Hall of Fame, Swag Pack, Formele brief van Erkenning & Waardering, Steam of Origin CD Keys en in sommige gevallen een Financiële Beloning.

Opmerking: Hoewel we in sommige gevallen een beloning kunnen geven, zijn we op geen enkele manier verplicht om dit te doen, het verstrekken van beloningen is altijd volledig naar ons eigen goeddunken. Ook zijn alle bel

oningen definitief en kunnen niet worden ingewisseld voor een ander type beloning.

Wat classificeert als een kwetsbaarheid

Bevindingen met een duidelijke beveiligingsimpact die we graag accepteren zijn onder andere:

  • Remote Code Execution
  • Unrestricted File Upload
  • SQL Injection
  • XML External Entity
  • Local / Remote File Inclusion
  • Stored / Reflected Cross-Site Scripting
  • Server-Side Request Forgery
  • any type of Improper Access Control (Auth Bypass / IDOR)
  • Whitelist Security Bypass
  • Information Leakage / Exposure of a non-default page

Wat classificeert niet als een kwetsbaarheid

Rapporten die we niet accepteren omvatten:

  • Intentional Directory Listings
  • SPF, DKIM, DMARC, MTA-STS, Missing CAA Record of andere laag risico DNS / Mailserver problemen.
  • Cookies met ontbrekende Secure Flag of HttpOnly attribuut.
  • Rapporten over Bibliotheken met bekende kwetsbaarheden zoals verouderde jQuery.
  • Rapporten over onjuiste caching zonder een geldige / bewezen beveiligingsimpact.
  • Onjuiste Configuratie of ontbrekende beveiligingsheaders
  • Non State Changing CSRF
  • Captcha omzeilingen
  • Ontbrekende Rate limit

Testomvang & Beloningsgeschiktheid

Binnen Scope:

  • Domein: websec.nl (Geschikt)
  • Domein: prjam.websec.nl (Geschikt)

OSINT Scope:

We accepteren ook rapporten van publiekelijk blootgestelde geldige inloggegevens of geldige inloggegevens verkregen door middel van social engineering of phishing. Dit is van toepassing op het volgende:

  • Social Engineering van Geldige Medewerkersaccounts
  • OSINT Blootgestelde Geldige Inloggegevens van Medewerkers

Als u enige phishing op ons probeert, gebruik dan de volgende header: "X-WebSec-VDP: Uwnaamhier" in uw e-mail(s), zodra u een rapport indient zal dit ons helpen te identificeren welke mails door u zijn verzonden.

SE Buiten bereik:

  • Telefoonnummer: +31 (0) 85-0023061
  • E-mail: contact [at] websec.nl, security [at] websec.nl
  • Fysieke SE op onze kantoorlocaties
  • Elk type Social Engineering (SE) dat een aanval op derden inhoudt, zoals een ISP of stakeholders.