Richtlinien zur Offenlegung von Schwachstellen
![Richtlinien zur Offenlegung von Schwachstellen](https://cdn.qrplanet.com/img/kb/5b44f2fc6d961556373d9652/kb/attachments/z19jcWTpzn.png)
Wenn Sie eine Schwachstelle gefunden haben, senden Sie diese bitte mit einem POC an office@qrplanet.com
Je nach Schwachstelle belohnen wir Sie mit einer Prämie. Bitte lesen Sie die folgenden Punkte, welche Schwachstellen akzeptiert werden und welche außerhalb des Geltungsbereichs liegen.
Akzeptierte Schwachstellen
![](https://cdn.qrplanet.com/img/kb/5b44f2fc6d961556373d9652/kb/attachments/cuJlPpRqMz.png)
Akzeptierte Schwachstellen innerhalb des Anwendungsbereichs umfassen, sind aber nicht beschränkt auf:
- Broken Authentication and Session Management
- Injection vulnerabilities
- Cross Site Scripting (XSS) - Note: any report based on JavaScript being inserted on a landing page will not be fixed nor rewarded.
- Remote Code Execution
- Insecure Direct Object Reference
- Sensitive Data Exposure
- Security Misconfiguration
- Missing Function Level Access Control
- Using Components with Known Vulnerabilities
- Directory/Path transversal
- Exposed credentials
- Out of scope vulnerabilities
Außerhalb des Geltungsbereichs
![](https://cdn.qrplanet.com/img/kb/5b44f2fc6d961556373d9652/kb/attachments/Bhub1reHYe.png)
Bestimmte Schwachstellen sind außerhalb des Geltungsbereichs. Zu diesen außerhalb des Geltungsbereichs liegenden Schwachstellen gehören unter anderem:
- Social Engineering attacks
- Account enumeration using brute-force attacks
- Weak password policies and password complexity requirements
- Missing http security headers which do not lead to a vulnerability
- Reports from automated tools or scans
- CSP header vulnerabilities
- Presence of autocomplete attribute on web forms
- Missing cookie flags on non-sensitive cookies
- Reports of SSL/TLS issues, best practices or insecure ciphers
- Test versions of applications
- Mail configuration issues including SPF, DKIM, DMARC settings
- Clickjacking on pages with no sensitive actions
- Cross-Site Request Forgery (CSRF) on unauthenticated forms or forms with no sensitive actions
- Attacks requiring MITM or physical access to a user's device.
- Previously known vulnerable libraries without a working Proof of Concept.
- Comma Separated Values (CSV) injection without demonstrating a vulnerability.
- Any activity that could lead to the disruption of our service (DoS).
- Content spoofing and text injection issues without showing an attack vector/without being able to modify HTML/CSS
- Rate limiting or brute-force issues on non-authentication endpoints
- Missing best practices in Content Security Policy.
- Missing HttpOnly or Secure flags on cookies
- Vulnerabilities only affecting users of outdated or unpatched browsers
- Software version disclosure / Banner identification issues
- Tab nabbing
- Open redirects
- Issues that require unlikely user interaction
- Schwachstellen, die von bekannten CVEs betroffen sind, die vor weniger als 30 Tagen veröffentlicht wurden