Diese Website verwendet nur erforderliche Cookies, um sicherzustellen, dass unsere Website optimal genutzt werden kann. Wir verwenden keine Cookies, die personenbezogene Daten ohne Ihre vorherige Zustimmung verarbeiten. Cookie Richtlinien

qr1.at
Datenschutz und Datensicherheit

Richtlinien zur Offenlegung von Schwachstellen

book reader icon
1 Minute
24.01.2023
facebook logo gray
linkedin logo gray
mail logo gray
Richtlinien zur Offenlegung von Schwachstellen

Wenn Sie eine Schwachstelle gefunden haben, senden Sie diese bitte mit einem POC an office@qrplanet.com

Je nach Schwachstelle belohnen wir Sie mit einer Prämie. Bitte lesen Sie die folgenden Punkte, welche Schwachstellen akzeptiert werden und welche außerhalb des Geltungsbereichs liegen.

Akzeptierte Schwachstellen

Akzeptierte Schwachstellen innerhalb des Anwendungsbereichs umfassen, sind aber nicht beschränkt auf:

  • Broken Authentication and Session Management
  • Injection vulnerabilities
  • Cross Site Scripting (XSS) - Note: any report based on JavaScript being inserted on a landing page will not be fixed nor rewarded.
  • Remote Code Execution
  • Insecure Direct Object Reference
  • Sensitive Data Exposure
  • Security Misconfiguration
  • Missing Function Level Access Control
  • Using Components with Known Vulnerabilities
  • Directory/Path transversal
  • Exposed credentials
  • Out of scope vulnerabilities

Außerhalb des Geltungsbereichs

Bestimmte Schwachstellen sind außerhalb des Geltungsbereichs. Zu diesen außerhalb des Geltungsbereichs liegenden Schwachstellen gehören unter anderem:

  • Social Engineering attacks
  • Account enumeration using brute-force attacks
  • Weak password policies and password complexity requirements
  • Missing http security headers which do not lead to a vulnerability
  • Reports from automated tools or scans
  • CSP header vulnerabilities
  • Presence of autocomplete attribute on web forms
  • Missing cookie flags on non-sensitive cookies
  • Reports of SSL/TLS issues, best practices or insecure ciphers
  • Test versions of applications
  • Mail configuration issues including SPF, DKIM, DMARC settings
  • Clickjacking on pages with no sensitive actions
  • Cross-Site Request Forgery (CSRF) on unauthenticated forms or forms with no sensitive actions
  • Attacks requiring MITM or physical access to a user's device.
  • Previously known vulnerable libraries without a working Proof of Concept.
  • Comma Separated Values (CSV) injection without demonstrating a vulnerability.
  • Any activity that could lead to the disruption of our service (DoS).
  • Content spoofing and text injection issues without showing an attack vector/without being able to modify HTML/CSS
  • Rate limiting or brute-force issues on non-authentication endpoints
  • Missing best practices in Content Security Policy.
  • Missing HttpOnly or Secure flags on cookies
  • Vulnerabilities only affecting users of outdated or unpatched browsers
  • Software version disclosure / Banner identification issues
  • Tab nabbing
  • Open redirects
  • Issues that require unlikely user interaction
  • Schwachstellen, die von bekannten CVEs betroffen sind, die vor weniger als 30 Tagen veröffentlicht wurden
Letzte Aktualisierung vor einem Jahr