Unser Verein ist permanent bemüht, eine sichere und zeitgemäße Struktur anzubieten, die von Gästen und Mitgliedern genutzt werden kann. Diese soll sicher, aktuell und niederschwellig nutzbar sein. Leider sind Sicherheitslücken nie auszuschließen und gegenwärtiger Alltag - begründet durch die Vielfalt und Schnelllebigkeit von Betriebssytemen, zugrundeliegender Hardware/Architektur, Frameworks und so weiter. Solltest du eine Schwachstelle gefunden haben, dann freuen wir uns darüber, wenn du sie nicht ausnutzt, sondern uns hilfst, diese zu beheben und digitale Zivilcourage zeigst.
Sollten uns Schwachstellen in Onlinediensten unseres Vereins auffallen oder gemeldet werden, werden wir umgehend Maßnahmen ergreifen, um dies so schnell wie möglich zu beheben.
Vorgehen im Fall der Fälle
- Sende uns bitte deine Ergebnisse zu den Sicherheitsproblemen per E-Mail an webmaster@stadtfabrikanten.org (idealerweise verschlüsselt).
- Nutze die Schwachstelle oder das Problem nicht selber aus, indem beispielsweise Daten unbefugt heruntergeladen, manipuliert, gelöscht oder Code hochgeladen wird.
- Gib die Informationen über die Schwachstelle nicht an Dritte weiter.
- Führe kein Social-Engineering (z.B. Phishing), DDoS-Attacken, Spam oder andere Angriffe auf uns durch.
- Stelle uns hinreichend Informationen zur Verfügung, damit wir das Problem reproduzieren und analysieren können. Stelle ggf. eine Kontaktmöglichkeit für Rückfragen bereit.
In der Regel ist die Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle hinreichend. Komplexe Schwachstellen können aber weitere Erklärungen und Dokumentation erfordern.
Was wir versprechen
- Wir versuchen die Schwachstelle so schnell wie möglich zu schließen.
- Du erhältst von uns eine Rückmeldung zum Eingang und Fortschritt der Meldung / Bericht.
- Wir handeln gemäß der hier genannten Anweisungen der Sicherheitsrichtlinie.
- Du musst keine Scheu haben uns das Problem zu melden: Strafverfolgungsbehörden im Zusammenhang mit deinen Erkenntnissen werden wir nicht informieren (solange sie nicht erkennbar kriminell sind).
- Dein Bericht wird vertraulich behandelt. D.h. deine personenbezogenen Daten werden nicht ohne Zustimmung an Dritte weitergegeben.
- Wir benennen dich gern in einer Danksagung, sofern du uns die Erlaubnis gibst.
Beispielhafte Schwachstellen
- Cross Site Request Forgery (CSRF)
- Cross Site Scripting (XSS)
- Insecure Direct Object Reference (IDOR)
- Remote Code Execution (RCE)
- Informationslecks
- Ungenügende Fehlerhandhabung
- Unbefugter Zugriff auf Eigenschaften oder Konten
- Möglichkeit der Exfiltration von Daten / Informationen
- Aktiv ausnutzbare Hintertüren (Backdoors)
- Fehlkonfigurationen
- ...
Nützliche Informationspunkte für eine Schwachstellenmeldung
- Titel / Bezeichnung der Schwachstelle
- Schwachstellentyp
- Kurzerklärung ohne technische Details
- Betroffener Dienst / System / Gerät
- Exploitationtechnik (z.B. remote, lokal)
- Authentication (Gast, Nutzer, Admin, ...)
- Art der Benutzerinteraktion (headless, mit User, ...)
- Technische Details
- Proof of Concept
- Aufzeigen von Lösungsmöglichkeiten des Problems
- Autor / Kontaktdaten für Rückfragen
- Einverständnis zur Nennung eines Pseudos/Namens und der gefundenen Schwachstelle in einer Danksagung
Danksagungen
Folgende Schwachstellen wurden bisher gemeldet und behoben. Der Dank gilt ...
- 09.05.2024 - "Potential Security Risk in .htaccess Configuration" // behoben am 10.05.2024 // gemeldet von Kulla Nehru
- 06.05.2024 - "Host Header Poisoning" // behoben am 10.05.2024 // gemeldet von Varel Valensio
- 16.04.2024 - "Excessive Information Exposure via Metrics Endpoint" // behoben am 26.04.2024 // gemeldet von Yogeswaran M
- 10.04.2024 - "~all" Unschärfe in SPF-Record // behoben am 15.04.2024 // gemeldet von Shivam Dhingra
- 10.04.2024 - Drupal Sicherheitslücke // behoben am 11.04.2024 // gemeldet von Shubham Sanjay Deshmukh
- 05.04.2024 - "Clickjacking Vulnerability in Pad Web Application" // behoben am 11.04.2024 // gemeldet von Parth Narula
- 05.04.2024 - ".git Directory Exposure" // behoben am 11.04.2024 // gemeldet von Parth Narula
- 04.04.2024 - "Several configuration files containing sensitive information" // behoben am 08.04.2024 // gemeldet von Suresh S
- 01.04.2024 - "Error log files were exposed" // behoben am 01.04.2024 // gemeldet von Gaurang Maheta