Donorbox Responsible Disclosure Policy over het melden van beveiligingsproblemen
Beveiliging is onze prioriteit @ Donorbox en we doen er alles aan om de veiligheid en privacy van onze gebruikers te waarborgen. Dit beleid is bedoeld om duidelijke richtlijnen te geven over hoe de beveiligingsproblemen op een verantwoorde manier aan Donorbox kunnen worden gemeld.
Dit Responsible Disclosure-beleid stelt dat welke domeinen en soorten kwetsbaarheden of bevindingen en onderzoeken onder dit beleid vallen, hoe u ons kwetsbaarheidsbevindingen kunt sturen en wat u van onze kant kunt verwachten.
We raden u aan contact met ons op te nemen om mogelijke kwetsbaarheden in Donorbox te melden.
Als u te goeder trouw moeite doet om aan dit beleid te voldoen nadat u een kwetsbaarheid heeft ontdekt, willen we dit graag weten, zodat we stappen kunnen ondernemen om het zo snel mogelijk aan te pakken.
Als u een kwetsbaarheid ontdekt met betrekking tot de Donorbox en u wilt deze met ons delen, vragen we u, in de geest van verantwoorde openbaarmaking, om ons een e-mail te sturen waarin u de kwetsbaarheid aantoont door dit beleid te volgen.
Donorbox behoudt zich alle wettelijke rechten voor en kan een klacht indienen bij wetshandhavers in geval van niet-naleving van het beleid.
Donorbox zal dit beleid bijwerken en herzien naarmate we verder gaan in de toekomst en Donorbox behoudt zich alle rechten voor om dit beleid op elk moment te wijzigen of te annuleren.
Hoe een probleem in te dienen
- Als u een mogelijk beveiligingsprobleem wilt onthullen, e-mail het dan naar ons beveiligingsteam:
- security@donorbox.org (Versleutel uw bevindingen met onze PGP-sleutel om te voorkomen dat deze kritieke informatie in verkeerde handen valt)
- Wanneer u een beveiligingsprobleem meldt, doe dit dan op verantwoorde wijze en verstrek:
- een samenvatting van de problemen
- een proof-of-concept
- gebruikte tools, commando's of scripts.
Wat te verwachten
- We zullen uw e-mail strikt vertrouwelijk behandelen
- We zullen uw naam toevoegen aan onze "Hall of fame" als de door u gemelde kwetsbaarheid op dit moment niet bij ons bekend is.
Binnen bereik activa
- donorbox.org
Doelen buiten bereik
- Elk ander domein of subdomein anders dan donorbox.org
- Donorbox. com
- partners.donorbox.com
- community.donorbox.com
Typische kwetsbaarheden geaccepteerd
- OWASP Top 10 kwetsbaarheidscategorieën
- Andere kwetsbaarheden met aangetoonde impact
- SQL injectie
- Cross-Site Scripting (XSS)
- Cross-Site Request Forgery (CSRF)
- Verificatiegerelateerde problemen
- Verificatiegerelateerde problemen
- redirect aanvallen
- Uitvoering van externe code
- Blootstelling aan gegevens
Richtlijnen
- Neem onmiddellijk contact met ons op nadat u het beveiligingsprobleem hebt ontdekt.
- Gebruik exploits alleen voor zover nodig om de aanwezigheid van een kwetsbaarheid te bevestigen.
- Geef ons een redelijke hoeveelheid tijd om het probleem op te lossen en maak het nooit openbaar.
- Zodra u heeft geverifieerd dat er een kwetsbaarheid bestaat of gevoelige gegevens heeft gevonden, moet u uw activiteit stopzetten en niet verder gaan en de bevinding niet bekendmaken aan derden.
- Handel bij het onderzoeken van kwetsbaarheden te goeder trouw en respecteer de gegevensprivacy van andere gebruikers en de beschikbaarheid van de diensten van Donorbox. Veel mensen gebruiken Donorbox dagelijks en het is schadelijk -- en illegaal -- om hun gebruik van Donorbox te verstoren.
- Vraag nooit compensatie of bounty voor het vinden van beveiligingsproblemen en het melden ervan aan ons.
- Gebruik uw accounts bij het vinden van de bug.
- Neem bij twijfel contact met ons op.
Verboden handelingen
- Wis/manipuleer geen gegevens, compromitteer Donorbox-services niet en raak niet betrokken bij derden om onze vertrouwelijke gegevens te delen.
- Schend nooit het privacybeleid van Donorbox-gebruikers.
- Raak niet betrokken bij enige vorm van social engineering, spam en fysieke tests.
- Doe niet mee aan phishing
- Voer geen opdringerig onderzoek uit, zoals DoS-aanvallen, of onderneem geen andere actie die de veiligheid, geloofwaardigheid of beschikbaarheid van gegevens en systemen in gevaar kan brengen.
- Maak het niet openbaar en deel uw bevindingen over de kwetsbaarheid niet met iemand anders.
- Geen testen van Diensten van Derden
- Upload niets gerelateerd aan kwetsbaarheid aan derden. d.w.z. Youtube enz.
- Gebruik nooit een kwetsbaarheid om bestanden te compromitteren of te exfiltreren, om permanente of aanhoudende opdrachtregeltoegang te verkrijgen of om naar andere applicaties, systemen of programma's te draaien.
- U mag Donorbox of de gegevens van zijn klanten op geen enkele manier openen, vernietigen of negatief beïnvloeden
- Overtreed geen wetten of reeds gemaakte afspraken.
- Nooit geautomatiseerde scanner of tools om te zoeken naar kwetsbaarheden in Donorbox.
- Maak geen misbruik van de zwakte die je hebt ontdekt.
- Gegevensvernietiging of -manipulatie is door ons nooit toegestaan.
- Nooit betrokken zijn bij enige vorm van privacyschendingen en -schendingen
- Nooit betrokken zijn bij de verslechtering en verstoring van de ervaring van onze gebruikers en onze diensten.
Rapporten buiten bereik
- Typische kwetsbaarheden geaccepteerd
- Informatieve openbaarmaking van niet-gevoelige gegevens
- WordPress gebruikersnaam opsomming
- CSV-injectie
- PHP-info
- Informatie met betrekking tot de serverstatus enz.
- Client-side applicatie/browser autocomplete of opgeslagen wachtwoord/referenties
- Foutpagina's enz.
- Opsomming van mappen, bestanden of activa, enz.
- Bevindingen met betrekking tot wachtwoordsterkte enz.
- Login/Logout/Niet-geverifieerd/Low-impact CSRF
- Ontbrekende cookie problemen
- Zelfuitbuiting
- Geldige bugs of best practice-kwesties die niet direct verband houden met de beveiligingsstatus van de Donorbox
- Zelf-XSS-achtige bevindingen die niet konden worden gebruikt om andere gebruikers of organisaties aan te vallen.
- Alles wat met social engineering te maken heeft.
- DDOS of DoS.
- SSL-problemen (d.w.z. verkeerde configuratie of versie)
- Verkeerd geconfigureerde SPF-, DKIM- of DMARC-records,
- Elke andere service of bibliotheken die niet rechtstreeks door Donorbox worden gehost of beheerd (d.w.z. dingen van derden).
Disclaimer
- Donorbox behoudt zich het recht voor om definitieve beslissingen te nemen
- Zodra u een bug bij ons indient of een kwetsbaarheid vindt, gaat u ermee akkoord gebonden te zijn aan alle bovengenoemde regels.
Eregalerij
- Donorbox wil graag onze dank uitspreken aan de volgende personen of bedrijven voor het op verantwoorde wijze bekendmaken van de beveiligingsfouten aan ons: