Zum Hauptinhalt springen

Sicherheitslücke melden

Wie man einen Schwachstellenbericht an Level einreicht, einschließlich Umfangsrichtlinien und was man einbeziehen muss.

Einführung

Level führt vierteljährlich Penetrationstests durch und überwacht aktiv auf Sicherheitslücken, aber die reale Nutzung offenbart Dinge, die automatisierte Tests übersehen. Wenn Sie ein Sicherheitsproblem finden, möchten wir davon erfahren.

Send reports to [email protected] .

ℹ️ HINWEIS:Wenn Sie speziell für die Sicherheitslückenforschung ein Testkonto erstellen, fügen Sie "Tester" zu Ihrer E-Mail-Adresse hinzu (z. B.[email protected]), damit wir diese Konten von unseren Metriken filtern können.

Sicherheitslücke melden

Was Sie in Ihren Bericht aufnehmen sollten

Ein nützlicher Bericht wird schneller behandelt. Enthalten:

  • Eine klare, schrittweise Beschreibung, wie die Sicherheitslücke reproduziert werden kann

  • Die betroffene spezifische Anlage (sieheVermögenswerte im Umfang below)

  • Ein Angriffszenario, das die potenzielle Auswirkung demonstriert

  • Screenshots, Video oder Proof-of-Concept-Code, falls zutreffend

Berichte ohne Reproduktionsschritte und ein Auswirkungsszenario können nicht bearbeitet werden.

Vermögenswerte im Umfang

Probleme im Umfang

Wir möchten Berichte über:

  • Authentifizierung und Sitzungsverwaltung — Anmeldungsabläufe, Sitzungsbehandlung, OAuth, Kontowiederherstellung, Kennwortrichtlinien

  • Zugriffskontrolle — Berechtigungsumgehungen, CSRF, nicht autorisierter Zugriff zwischen Konten

  • Injektionssicherheitslücken — SQL-Injection, XSS und andere eingabebasierte Angriffe

  • Geräteübergreifender Kundenzugriff — jeder Pfad, der es einem Kunden ermöglicht, auf verwaltete Geräte eines anderen Kunden zuzugreifen

  • Sicherheitslücken auf Kontoebene — Malware-Upload, Phishing-URL-Einbettung, RTLO/IDN-Homograph-Angriffe von nicht vertrauenswürdigen Benutzern auf demselben Konto

Tests müssen auf Ihren eigenen Level-Konten durchgeführt werden.Wenn Sie eine Sandbox-Umgebung benötigen, kontaktieren Sie uns vor dem Testen.

Probleme außerhalb des Umfangs

Diese werden nicht akzeptiert. Senden Sie keine Berichte ein für:

Verhalten, das wir bewertet und akzeptiert haben:

  • Ratenbegrenzung

  • Best-Practice-Bedenken ohne Nachweis einer ausnutzbaren Sicherheitslücke

  • Sitzungen werden nicht ungültig, wenn 2FA aktiviert ist

  • Sicherheitslücken, die nur Benutzer auf veralteten, nicht gepatchten Browsern beeinflussen

  • Wettlaufbedingungen ohne Sicherheitsauswirkungen

  • CSRF bei Aktionen ohne Sicherheitsauswirkungen (Anmeldung, Abmeldung, nicht authentifizierte Seiten)

  • Theoretische Risiken ohne nachgewiesenen Angriffspfad

  • Ausgabe von automatisierten Scannern ohne Erklärung

Infrastruktur-/Konfigurationsrauschen:

  • E-Mail-Spoofing / SPF / DKIM / DMARC-Richtlinien

  • Hyperlink-Injection in E-Mails

  • Fehlende Sicherheitsheader, sofern nicht mit einer bestimmten Sicherheitslücke verbunden

  • SSL/TLS-Cipher-Probleme ohne funktionierenden Proof of Concept

  • Banner-Grabbing und Softwareversion-Offenlegung

  • Offene Ports ohne nachgewiesene Sicherheitslücke

  • DNSSEC / DANE

  • HSTS- oder CSP-Header

  • Offenlegung bekannter öffentlicher Dateien (z. B.robots.txt)

  • Benutzernamens- oder E-Mail-Aufzählung

  • Attribute für Autovervollständigung auf Webformularen

Betriebliche Probleme:

  • Dienstausfallattacke gegen Konten anderer Kunden

  • Jegliche Art von Social Engineering gegen andere Kunden oder Level-Mitarbeiter

  • Spear-Phishing-Versuche oder Kontaktaufnahme mit dem Support als Teil des Tests

  • Physischer Einbruch

  • Automatisiertes Scanning, Mail-Bombing, Spam, Brute-Force oder automatisierte Angriffe (z. B. Burp Intruder)

  • Lecken, Manipulieren oder Zerstören von Benutzerdaten

Spezifische DoS-Ausschlüsse:

  • DoS über fehlerhafte Eingaben oder manipulierte Datei-Uploads, die 500-Fehler auslösen

  • DoS über unbegrenzte oder sehr große Kennworteingaben

  • DoS durch fehlende Paginierung oder große Mengen an benutzergenerierten Inhalten, die Antworten verlangsamen

Disqualifizierende Merkmale

Berichte werden disqualifiziert, wenn sie:

  • Fehlende schrittweise Reproduktionsanweisungen

  • Betreffen den Zugriff auf Konten anderer Kunden

  • Betreffen das Social Engineering von Level-Personal oder Kunden

  • Automatisierte Angriffstools gegen Level-Infrastruktur verwenden

  • Ergeben Lecken, Ändern oder Zerstören von Benutzerdaten

Häufig gestellte Fragen

  • Wohin sende ich Berichte über Sicherheitslücken? Email [email protected] mit vollständigen Reproduktionsschritten und einem Auswirkungsszenario.

  • Haben Sie ein Bug-Bounty-Programm? Nein, wir haben kein Bug-Bounty-Programm. Wenden Sie sich an[email protected] with questions.

  • Kann ich gegen Konten anderer Kunden testen? Nein. Tests müssen auf Ihren eigenen Level-Konten durchgeführt werden. Der Zugriff auf die Konten anderer Kunden ist ein sofortiger Ausschlusskriterium und kann rechtliche Folgen haben. Kontaktieren Sie uns, wenn Sie eine Sandbox-Umgebung benötigen.

  • Mein Bericht enthält die Ausgabe eines automatisierten Scanners. Funktioniert das? Nur, wenn es von einer klaren Erklärung der Sicherheitslücke, Reproduktionsschritten und einem Angriffszenario begleitet wird. Die bloße Scanner-Ausgabe kann nicht bearbeitet werden.

  • Wie schnell werden Sie antworten? Reaktionszeiten sind nicht garantiert. Wenden Sie sich an [email protected] direkt, wenn Sie eine dringende Offenlegung haben.

Verwandte Artikel
Erste Schritte mit Level
Level sichern
Level Konformität / Zertifizierungen
Gesperrte Konten
Level-Preisgestaltung & Mengenrabatte
Hat dies deine Frage beantwortet?