Beveiliging

Bug Bounty Programma

BelHost verwelkomt verantwoorde onthulling van beveiligingsonderzoekers. We beoordelen alle in aanmerking komende rapporten en kunnen beloningen aanbieden voor geldige kwetsbaarheden.

Een Kwetsbaarheid Melden Richtlijnen Lezen
Op deze pagina
Meldingskanaal
[email protected]

Overzicht

We beschouwen de beveiliging van onze systemen als een topprioriteit. Geen enkel systeem is perfect, en er kunnen altijd fouten zijn in elke technologie. We kijken er naar uit om samen te werken met bekwame beveiligingsonderzoekers om onze klanten te beschermen.

Als u denkt een beveiligingsprobleem in ons product of onze service te hebben geïdentificeerd, moedigen we u aan ons hiervan op de hoogte te stellen.

Richtlijnen voor verantwoorde openbaarmaking

  • Laat het ons zo snel mogelijk weten na het ontdekken van een potentieel beveiligingsprobleem, en we zullen alles in het werk stellen om het snel op te lossen.
  • Geef ons een redelijke hoeveelheid tijd om het probleem op te lossen voordat u het openbaar maakt of aan een derde partij bekendmaakt.
  • Geen ongeautoriseerde imitatie: pogingen om een andere partij te manipuleren door zich voor te doen als een BelHost-medewerker, een andere onderzoeker of een beveiligingsteam worden niet getolereerd.
  • Als u aan alle in deze richtlijnen gestelde voorwaarden voldoet, zullen we geen juridische stappen tegen u ondernemen met betrekking tot uw melding.
  • Uw melding wordt vertrouwelijk behandeld. We zullen uw persoonlijke informatie niet met derden delen zonder voorafgaande toestemming, tenzij dit noodzakelijk is om aan een wettelijke verplichting te voldoen.

Beloningen

Als blijk van waardering biedt BelHost beloningen voor meldingen van kwalitatieve beveiligingskwetsbaarheden. Beloningen kunnen worden toegekend als financiële compensatie of BelHost-merchandise. Het bedrag van de beloning is naar eigen inzicht van BelHost en is gebaseerd op de interne ernstbeoordeling van de bekendgemaakte kwetsbaarheid. De beloning wordt gecommuniceerd na validatie door onze interne teams.

Geschiktheid

Om in aanmerking te komen voor een beloning, moet u:

  1. De eerste zijn die de kwetsbaarheid meldt.
  2. De richtlijnen volgen zoals beschreven op deze pagina.
  3. De kwetsbaarheid niet openbaar bekendmaken vóór onze oplossing.
  4. Een werkend proof of concept leveren dat het beveiligingsprobleem uitbuit.
  5. Uitsluitend uw eigen gemaakte accounts gebruiken en geen toegang krijgen tot gegevens van andere gebruikers.
  6. Geen inwoner zijn van een land dat voorkomt op de lijst van Specially Designated Nationals and Blocked Persons (SDN).
  7. Geen inwoner zijn van een land dat voorkomt op de Geconsolideerde Lijst van personen, groepen en entiteiten die onderworpen zijn aan EU-financiële sancties.

Absolute uitsluitingen

De volgende categorieën zijn buiten het bereik en zullen over het algemeen geen reactie ontvangen.

Sociale en fysieke aanvallen
  • Social engineering (inclusief phishing)
  • Elke fysieke poging tegen BelHost-eigendom of datacenters
  • Fysieke aanval op de infrastructuur
Beschikbaarheids- en misbruiktests
  • Denial of service
  • Brute forcing
  • Rapporten van geautomatiseerde tools en scans
  • Ontbrekende snelheidslimieten
Webproblemen met laag signaal
  • CSRF
  • Self-XSS
  • Clickjacking en problemen die alleen via clickjacking kunnen worden uitgebuit
  • Content spoofing op foutpagina's of tekstinjectie
  • Homograafaanvallen
  • Open redirects
  • Zwakke CAPTCHA / CAPTCHA-bypass
  • Cache-gerelateerde problemen
Bevindingen voor configuratie en headers alleen
  • Gerelateerd aan X-Frame-Options
  • Ontbrekende cookie-vlaggen
  • Ontbrekende beveiligingsheaders die niet direct tot een kwetsbaarheid leiden
  • Ontbrekende noreferrer, noopener
  • DKIM/SPF/DMARC-problemen
  • Versieonthulling
  • Directory listing
  • SSL-problemen
  • OPTIONS HTTP-methode ingeschakeld
  • Onthulling van server-IP
Edge cases van account en authenticatie
  • Time-outs van authenticatiesessies (sessies zijn IP-gebonden met een time-out van 1 uur)
  • Hergebruik van 2FA TOTP-code
  • Gebruikersenumeratie door brute force
  • 2FA-activering zonder e-mailbevestiging
  • Wachtwoordverificatie bij e-mailwijziging of 2FA
  • Wachtwoordbeleid
  • Elke aanval die toegang vereist tot de computer van de gebruiker (fysiek of op afstand)
Software van derden en niet-gerelateerde software
  • Bugs in software van derden
  • WordPress-kwetsbaarheden
  • Elk type browserkwetsbaarheden
  • Parameterknoeien voor betalingsverwerkers
Vanwege het grote aantal ongeldige meldingen zullen er geen reacties zijn op meldingen die een kwetsbaarheid bevatten die in onze uitsluitingen is opgenomen.

Hoe te melden

Stuur uw eerste bevindingen naar:

[email protected]