Eine klare, schrittweise Beschreibung, wie die Schwachstelle reproduziert werden kann

Das betroffene Asset (siehe Assets im Geltungsbereich unten)

Ein Angriffsszenario, das die potenzielle Auswirkung demonstriert

Screenshots, Video oder Proof-of-Concept-Code, falls zutreffend

Web-App: https://app.level.io

API: https://api.level.io

Agent API: https://agents.level.io

Level-Agent: Windows, macOS und Linux

Authentifizierung und Sitzungsverwaltung — Anmeldeabläufe, Sitzungsverwaltung, OAuth, Kontowiederherstellung, Passwortrichtlinien

Zugriffssteuerung — Umgehung von Berechtigungen, CSRF, unbefugter Zugriff zwischen Konten

Injection-Schwachstellen — SQL-Injection, XSS und andere eingabebasierte Angriffe

Kontoübergreifender Gerätezugriff — jeder Pfad, der es einem Kunden ermöglicht, auf die verwalteten Geräte eines anderen Kunden zuzugreifen

Schwachstellen auf Kontoebene — Malware-Upload, Einbettung von Phishing-URLs, RTLO/IDN-Homograph-Angriffe von nicht vertrauenswürdigen Benutzern im selben Konto

Rate-Limiting

Best-Practice-Bedenken ohne Nachweis einer ausnutzbaren Schwachstelle

Sitzungen, die bei Aktivierung von 2FA nicht invalidiert werden

Schwachstellen, die nur Benutzer mit veralteten, ungepatchten Browsern betreffen

Race Conditions ohne Sicherheitsauswirkung

CSRF bei Aktionen ohne Sicherheitsauswirkung (Anmeldung, Abmeldung, nicht authentifizierte Seiten)

Theoretische Risiken ohne einen nachgewiesenen Angriffspfad

Ausgaben von automatisierten Scannern ohne Erklärung

E-Mail-Spoofing / SPF / DKIM / DMARC-Richtlinien

Hyperlink-Injection in E-Mails

Fehlende Sicherheits-Header, sofern nicht mit einer konkreten Schwachstelle verbunden

SSL/TLS-Cipher-Probleme ohne funktionierenden Proof of Concept

Banner-Grabbing und Offenlegung von Softwareversionen

Offene Ports ohne nachgewiesene Schwachstelle

DNSSEC / DANE

HSTS- oder CSP-Header

Offenlegung bekannter öffentlicher Dateien (z. B. robots.txt)

Aufzählung von Benutzernamen oder E-Mail-Adressen

Autocomplete-Attribute in Webformularen

Denial-of-Service gegen Konten anderer Kunden

Social Engineering jeglicher Art gegen andere Kunden oder Level-Mitarbeiter

Spearphishing-Versuche oder Kontaktaufnahme mit dem Support im Rahmen von Tests

Physisches Eindringen

Automatisiertes Scanning, Mail-Bombing, Spam, Brute-Forcing oder automatisierte Angriffe (z. B. Burp Intruder)

Auslesen, Manipulieren oder Zerstören von Benutzerdaten

DoS durch fehlerhafte Eingaben oder manipulierte Datei-Uploads, die 500-Fehler auslösen

DoS durch unbegrenzte oder sehr große Passworteingaben

DoS durch fehlende Paginierung oder große Mengen benutzergenerierter Inhalte, die Antworten verlangsamen

Keine schrittweisen Reproduktionsanweisungen enthalten

Den Zugriff auf Konten anderer Kunden beinhalten

Social Engineering gegenüber Level-Mitarbeitern oder Kunden beinhalten

Automatisierte Angriffstools gegen die Level-Infrastruktur einsetzen

Zum Auslesen, Ändern oder Zerstören von Benutzerdaten führen

Wohin sende ich Schwachstellenberichte? Senden Sie eine E-Mail an [email protected] mit vollständigen Reproduktionsschritten und einem Auswirkungsszenario.

Haben Sie ein Bug-Bounty-Programm? Nein, wir haben kein Bug-Bounty-Programm. Kontaktieren Sie [email protected] mit Fragen.

Darf ich Tests gegen Konten anderer Kunden durchführen? Nein. Tests müssen auf Ihren eigenen Level-Konten durchgeführt werden. Der Zugriff auf Konten anderer Kunden ist ein sofortiges Ausschlusskriterium und kann rechtliche Konsequenzen haben. Kontaktieren Sie uns, wenn Sie eine Sandbox-Umgebung benötigen.

Mein Bericht enthält Ausgaben eines automatisierten Scanners. Ist das ausreichend? Nur wenn er von einer klaren Erläuterung der Schwachstelle, Reproduktionsschritten und einem Angriffsszenario begleitet wird. Rohe Scanner-Ausgaben allein werden nicht bearbeitet.

Wie schnell werden Sie antworten? Antwortzeiten sind nicht garantiert. Kontaktieren Sie [email protected] direkt, wenn Sie eine dringende Offenlegung haben.