Verantwortungsvolle Offenlegung
Our customers trust us to keep their data secure and confidential. We take security seriously and work constantly to ensure that trust is well-founded. Hast du etwas zu melden? Kontaktiere uns bitte unter security@teamretro.com
Responsible disclosure
Wir ermutigen alle, die verantwortungsvolle Offenlegung praktizieren und unsere Richtlinien sowie Nutzungsbedingungen einhalten, an unserem Schwachstellen-Offenlegungsprogramm teilzunehmen. Please avoid automated testing and only perform security testing with your own data. Please do not disclose any information regarding the vulnerabilities until we fix them. Wir können nach eigenem Ermessen eine Anerkennung für hochwertige, wirkungsvolle Berichte anbieten, die ein echtes Sicherheitsrisiko aufzeigen.
Du kannst Schwachstellen melden, indem du security@teamretro.com kontaktierst. Bitte füge einen Proof of Concept bei. Wir werden so schnell wie möglich auf deine Einsendung antworten und keine rechtlichen Schritte einleiten, wenn du die Regeln befolgst.
Abdeckung:
- secure.teamretro.com
Ausschlüsse:
- *.eu.teamretro.com
- ww1.teamretro.com
- ww2.teamretro.com
- ww3.teamretro.com
- www.teamretro.com
- at.teamretro.com
- help.teamretro.com
- feedback.teamretro.com
- mail.teamretro.com
- status.teamretro.com
- track.teamretro.com
- games.teamretro.com
- icebreaker.teamretro.com
- ideas.teamretro.com
- planning-poker.teamretro.com
- www-assets.teamretro.com
Akzeptierte Schwachstellen sind die folgenden:
- Cross-Site Scripting (XSS)
- Offene Weiterleitung
- Cross-Site Request Forgery (CSRF)
- Befehls-/Datei-/URL-Inklusion
- Authentifizierungsprobleme
- Code-Ausführung
- Code- oder Datenbank-Injektionen
Dieses Schwachstellen-Offenlegungsprogramm beinhaltet NICHT:
- Konto-/E-Mail-Aufzählungen
- Denial of Service (DoS)
- Angriffe, die die Zuverlässigkeit/Integrität unseres Geschäfts beeinträchtigen könnten
- Spam-Angriffe
- Clickjacking auf Seiten ohne Authentifizierung und/oder sensible Zustandsänderungen
- Warnungen vor gemischten Inhalten
- Fehlendes DNSSEC
- Inhalts-Spoofing / Text-Injektion
- Timing-Angriffe
- Social Engineering
- Phishing
- Unsichere Cookies für nicht-sensible Cookies oder Drittanbieter-Cookies
- Schwachstellen, die eine extrem unwahrscheinliche Benutzerinteraktion erfordern
- Exploits, die physischen Zugriff auf den Computer eines Benutzers erfordern
- Fehlende Sicherheits-Header, die nicht direkt zu einer Schwachstelle führen
- Fehlende Best Practices (wir benötigen Nachweise einer Sicherheitslücke)
- Berichte, die von automatisierten Scannern ohne nachgewiesene Auswirkungen generiert wurden
- Fehlende Sicherheits-Header ohne nachgewiesenen Exploit
- SSL/TLS-Konfigurationsprobleme ohne nachgewiesenen Exploit
- Fehlende Ratenbegrenzung
- Self-XSS (erfordert, dass das Opfer Code in seine eigene Konsole einfügt)
- Login-/Logout-CSRF
- Schwachstellen, die veraltete oder nicht unterstützte Browser erfordern
- Doppelte Berichte oder bereits bekannte Probleme
Einreichungsanforderungen
Alle Berichte müssen Folgendes enthalten, sonst werden sie nicht geprüft:
- Betroffene URL oder Endpunkt
- Schritt-für-Schritt-Anleitung zur Reproduktion
- Proof of Concept (Screenshots, Video oder Code)
- Beschreibung der Sicherheitsauswirkungen
Automatisiertes Scannen ist ohne vorherige schriftliche Genehmigung nicht gestattet. Alle Tests müssen manuell durchgeführt werden und alle Details des Schwachstellen-Offenlegungsprogramms müssen vertraulich bleiben.
Unser Dank geht an die folgenden Sicherheitsforscher:
- Abin Joseph
- daniel_v
- Ananda Dhakal
- Luiz Viana
- Aman Gupta
- Vipul Sahu
- Hsu Myat Noe
- Tomasz Bartoszewski
- Harry Gertos
- Sathwik Veeramaneni
- Yassine Nafiai
- SIDN SOC
- Burhan Chhotaudepur
- Faizan Nehal
- Aaditya Kumar Sharma
- Syed Ahsan Raza
- Mohammed Eldawody
- Yaniv Shoshani
- Lucas Werkmeister
- Ankit Rathva