Zum Hauptinhalt springen

Sicherheitslücke Melden

Wie man einen Schwachstellenbericht an Level einreicht, einschließlich Umfangsrichtlinien und was man einbeziehen muss.

Heute aktualisiert

Level führt vierteljährliche Penetrationstests durch und überwacht aktiv auf Schwachstellen, aber die reale Nutzung zeigt Dinge, die automatisierte Tests übersehen. Wenn Sie ein Sicherheitsproblem finden, möchten wir davon hören.

Senden Sie Berichte an [email protected].

ℹ️ HINWEIS: Wenn Sie speziell für die Sicherheitsforschung ein Test-Konto erstellen, fügen Sie « Tester » zu Ihrer E-Mail-Adresse hinzu (z. B. [email protected]), damit wir diese Konten aus unseren Metriken filtern können.

Sicherheitslücke Melden

Was Sie in Ihren Bericht Aufnehmen sollten

Ein nützlicher Bericht wird schneller bearbeitet. Fügen Sie Folgendes ein:

  • Eine klare, schrittweise Beschreibung, wie die Schwachstelle reproduziert wird

  • Das spezifisch betroffene Asset (siehe Assets im Umfang unten)

  • Ein Angriffsszenario, das die potenzielle Auswirkung demonstriert

  • Screenshots, Videos oder Proof-of-Concept-Code, falls zutreffend

Berichte ohne Reproduktionsschritte und Auswirkungsszenario können nicht bearbeitet werden.

Assets im Umfang

Probleme im Umfang

Wir möchten Berichte zu:

  • Authentifizierung und Sitzungsverwaltung — Anmelde-Flows, Sitzungsbehandlung, OAuth, Kontowiederherstellung, Passwortrichtlinien

  • Zugriffskontrolle — Umgehung von Berechtigungen, CSRF, nicht autorisierter Zugriff zwischen Konten

  • Injection-Schwachstellen — SQL-Injection, XSS und andere Eingabe-basierte Angriffe

  • Kundenübergreifender Gerätezugriff — jeder Pfad, der es einem Kunden ermöglicht, auf verwaltete Geräte eines anderen Kunden zuzugreifen

  • Schwachstellen auf Kontoebene — Malware-Upload, Einbettung von Phishing-URLs, RTLO/IDN-Homograph-Angriffe durch nicht vertrauenswürdige Benutzer auf demselben Konto

Tests müssen auf Ihren eigenen Level-Konten durchgeführt werden. Wenn Sie eine Sandbox-Umgebung benötigen, kontaktieren Sie uns vor dem Testen.

Probleme Außerhalb des Umfangs

Diese werden nicht akzeptiert. Reichen Sie Berichte nicht für:

Verhalten, das wir bewertet und akzeptiert haben:

  • Rate Limiting

  • Best-Practice-Bedenken ohne Beweis einer ausnutzbaren Schwachstelle

  • Sitzungen werden nicht ungültig, wenn 2FA aktiviert ist

  • Schwachstellen, die nur Benutzer mit veralteten, ungepatchten Browsern betreffen

  • Race Conditions ohne Sicherheitsauswirkungen

  • CSRF bei Aktionen ohne Sicherheitsauswirkungen (Anmeldung, Abmeldung, nicht authentifizierte Seiten)

  • Theoretische Risiken ohne demonstrierten Angriffspfad

  • Ausgabe von automatisierten Scannern ohne Erklärung

Infrastruktur- / Konfigurationsrauschen:

  • E-Mail-Spoofing / SPF / DKIM / DMARC-Richtlinien

  • Hyperlink-Injection in E-Mails

  • Fehlende Sicherheits-Header, wenn nicht mit einer spezifischen Schwachstelle verknüpft

  • SSL/TLS-Verschlüsselungsprobleme ohne funktionierenden Proof-of-Concept

  • Banner-Grabbing und Software-Version-Offenlegung

  • Offene Ports ohne demonstrierte Schwachstelle

  • DNSSEC / DANE

  • HSTS- oder CSP-Header

  • Offenlegung bekannter öffentlicher Dateien (z. B. robots.txt)

  • Benutzernamen- oder E-Mail-Aufzählung

  • Autovollständungs-Attribute auf Web-Formularen

Betriebsprobleme:

  • Denial of Service gegen Konten anderer Kunden

  • Jede Art von Social Engineering gegen andere Kunden oder Level-Personal

  • Spear-Phishing-Versuche oder Kontakt mit dem Support im Rahmen von Tests

  • Physische Eindringung

  • Automatisierte Scans, Mail-Bombing, Spam, Brute-Force oder automatisierte Angriffe (z. B. Burp Intruder)

  • Lecks, Manipulation oder Zerstörung von Benutzerdaten

Spezifische DoS-Ausschlüsse:

  • DoS über fehlerhafte Eingaben oder gestaltete Datei-Uploads, die 500-Fehler auslösen

  • DoS über unbegrenzte oder sehr große Passwort-Eingaben

  • DoS über fehlende Pagination oder große Mengen benutzergenerierter Inhalte, die Antworten verlangsamen

Disqualifizierende Faktoren

Berichte werden disqualifiziert, wenn sie:

  • Keine schrittweisen Reproduktionsanweisungen enthalten

  • Den Zugriff auf Konten anderer Kunden beinhalten

  • Social Engineering von Level-Personal oder Kunden beinhalten

  • Automatisierte Angriffstools gegen Level-Infrastruktur verwenden

  • Zu Leaks, Änderungen oder Zerstörung von Benutzerdaten führen

FAQ

  • Wohin sende ich Berichte über Sicherheitslücken? Senden Sie eine E-Mail an [email protected] mit vollständigen Reproduktionsschritten und einem Auswirkungsszenario.

  • Haben Sie ein Bug-Bounty-Programm? Nein, wir haben kein Bug-Bounty-Programm. Kontaktieren Sie [email protected], wenn Sie Fragen haben.

  • Kann ich gegen Konten anderer Kunden testen? Nein. Tests müssen auf Ihren eigenen Level-Konten durchgeführt werden. Der Zugriff auf Konten anderer Kunden ist ein unmittelbarer Disqualifizierungsfaktor und kann rechtliche Folgen haben. Kontaktieren Sie uns, wenn Sie eine Sandbox-Umgebung benötigen.

  • Mein Bericht enthält Ausgaben eines automatisierten Scanners. Funktioniert das? Nur wenn es von einer klaren Erklärung der Schwachstelle, Reproduktionsschritten und einem Angriffsszenario begleitet wird. Rohe Scanner-Ausgabe allein wird nicht bearbeitet.

  • Wie schnell werden Sie antworten? Antwortzeiten sind nicht garantiert. Kontaktieren Sie direkt [email protected], wenn Sie eine dringende Offenlegung haben.

Verwandte Artikel
Erste Schritte mit Level
Level sichern
Level Compliance / Zertifizierungen
Gesperrte Konten
Zur Bibliothek Beitragen
Hat dies deine Frage beantwortet?