Sicherheitspolitik
Kontakt: https://github.com/Cap-go/capgo/security/advisories/new
Kanonisch: https://capgo.app/security.txt
Bei Capgo betrachten wir die Sicherheit unserer Systeme als oberste Priorität. Allerdings kann es trotz aller Bemühungen um die Systemsicherheit weiterhin Schwachstellen geben.
Wenn Sie eine Sicherheitsanfälligkeit entdecken, möchten wir darüber informiert werden, damit wir schnellstmöglich Maßnahmen zur Behebung ergreifen können. Wir möchten Sie bitten, uns zu helfen, unsere Kunden und unsere Systeme besser zu schützen.
Außerhalb des Umfangs stehende Schwachstellen:
- Clickjacking auf Seiten ohne sensible Aktionen.
- Unbefugt/Abmelden/Anmelden CSRF.
- Angriffe, die MITM oder physischen Zugriff auf das Gerät eines Benutzers erfordern.
- Angriffe, die soziale Ingenieurtechnik erfordern.
- Jede Aktivität, die zu einer Unterbrechung unseres Dienstes (DoS) führen könnte.
- Inhalte-Vortäuschung und Textinjektionsprobleme ohne einen Angriffsvektor anzuzeigen/ohne HTML/CSS ändern zu können.
- E-Mail-Spoofing
- Fehlende DNSSEC-, CAA- und CSP-Header
- Fehlendes Secure- oder HTTP-only-Flag bei nicht sensiblen Cookies
- Tote Links
- Benutzerenumeration
Testrichtlinien:
- Führen Sie keine automatisierten Scanner auf den Projekten anderer Kunden aus. Der Einsatz von automatisierten Scannern kann die Kosten für unsere Nutzer in die Höhe treiben. Aggressiv konfigurierte Scanner könnten unbeabsichtigt Dienste stören, Sicherheitsanfälligkeiten ausnutzen, zu Systeminstabilität oder -verletzungen führen und die Nutzungsbedingungen unserer Anbieter verletzen. Unsere eigenen Sicherheitssysteme werden nicht in der Lage sein, feindliche Aufklärung von Whitehat-Forschung zu unterscheiden. Wenn Sie einen automatisierten Scanner ausführen möchten, benachrichtigen Sie uns unter security@capgo.app und führen Sie ihn nur auf Ihrem eigenen Capgo-Projekt aus. Greifen Sie NICHT die Projekte anderer Kunden an.
- Nutzen Sie die Entdeckung der Schwachstelle oder des Problems nicht aus, indem Sie beispielsweise mehr Daten herunterladen als nötig, um die Schwachstelle zu demonstrieren, oder indem Sie Daten anderer Personen löschen oder ändern.
Berichterstattung Richtlinien:
Offenlegungsrichtlinien:
- Um unsere Kunden zu schützen, offenbaren Sie das Problem anderen nicht, bis wir es untersucht, behoben und unsere betroffenen Kunden informiert haben.
- Wenn Sie Ihre Forschung zu Capgo auf einer Konferenz, in einem Blog oder einem anderen öffentlichen Forum öffentlich teilen möchten, sollten Sie uns mindestens 30 Tage vor dem Veröffentlichungstermin einen Entwurf zur Überprüfung und Genehmigung zusenden. Bitte beachten Sie, dass Folgendes nicht enthalten sein sollte:
- Daten zu Projekten von Capgo-Kunden
- Capgo-Kundendaten
- Informationen über Capgo-Mitarbeiter, Auftragnehmer oder Partner
Was wir versprechen:
- Wir werden innerhalb von 7 Geschäftstagen auf Ihren Bericht reagieren und Ihnen unsere Bewertung des Berichts sowie ein erwartetes Lösungsdatum mitteilen.
- Wenn Sie die obigen Anweisungen befolgt haben, werden wir keine rechtlichen Schritte gegen Sie im Zusammenhang mit dem Bericht einleiten.
- Wir werden Ihren Bericht strikt vertraulich behandeln und Ihre persönlichen Daten ohne Ihre Zustimmung nicht an Dritte weitergeben.
- Wir halten Sie über den Fortschritt bei der Lösung des Problems informiert.
- In den öffentlichen Informationen zu dem gemeldeten Problem werden wir Ihren Namen als Entdecker des Problems angeben (es sei denn, Sie wünschen etwas anderes).
Wir bemühen uns, alle Probleme so schnell wie möglich zu lösen, und wir möchten eine aktive Rolle bei der endgültigen Veröffentlichung des Problems spielen, nachdem es gelöst wurde.