Sicherheitsprobleme melden
Wenn Sie eine Sicherheitslücke auf thetoyszone.co.uk gefunden haben, bitten wir Sie, uns sofort eine Nachricht zukommen zu lassen. Wir werden alle legitimen Schwachstellenberichte prüfen und unser Möglichstes tun, um die Angelegenheit schnell zu lösen. Bevor Sie einen Bericht einreichen, lesen Sie bitte dieses Dokument, einschließlich der Grundlagen, des Belohnungsprogramms, der Richtlinien für Belohnungen und dessen, was nicht gemeldet werden sollte.
Grundlagen
Wenn Sie die folgenden Prinzipien bei der Meldung eines Sicherheitsproblems an swage thetoyszone.co.uk einhalten, werden wir keine Klage oder Ermittlungsuntersuchung gegen Sie als Reaktion auf Ihren Bericht einleiten.
Wir bitten Sie, dass:
1. Sie uns eine angemessene Zeitspanne zur Überprüfung und Behebung eines von Ihnen gemeldeten Problems einräumen, bevor Sie Informationen über den Bericht veröffentlichen oder diese Informationen an Dritte weitergeben.
2. Sie nicht mit einem privaten Konto interagieren (was das Ändern oder Zugreifen auf Daten des Kontos einschließt), wenn der Kontoinhaber solchen Handlungen nicht zugestimmt hat.
3. Sie sich ehrlich bemühen, Verletzungen der Privatsphäre und Störungen für andere zu vermeiden, einschließlich (aber nicht beschränkt auf) Datenzerstörung und Unterbrechung oder Beeinträchtigung unserer Dienste.
4. Sie eine von Ihnen entdeckte Sicherheitslücke aus keinem Grund ausnutzen. (Dies umfasst das Aufzeigen zusätzlicher Risiken, wie z.B. versuchter Kompromittierung sensibler Unternehmensdaten oder der Versuch, zusätzliche Probleme zu finden.)
5. Sie keine anderen anwendbaren Gesetze oder Vorschriften verletzen.
BELOHNUNGSPROGRAMM
Wir erkennen Sicherheitsforscher an und belohnen sie, die uns helfen, Menschen zu schützen, indem sie Schwachstellen in unseren Diensten melden. Geldprämien für solche Berichte liegen vollständig im Ermessen von thetoyszone.co.uk, basierend auf Risiko, Auswirkungen und anderen Faktoren. Um sich möglicherweise für eine Prämie zu qualifizieren, müssen Sie zunächst die folgenden Anforderungen erfüllen:
1. Halten Sie sich an unsere Grundlagen (siehe oben).
2. Melden Sie einen Sicherheitsfehler: Das heißt, identifizieren Sie eine Schwachstelle in unseren Diensten oder unserer Infrastruktur, die ein Sicherheits- oder Datenschutzrisiko darstellt. (Beachten Sie, dass swage thetoyszone.co.uk letztendlich das Risiko eines Problems bestimmt, und viele Fehler sind keine Sicherheitsprobleme.)
3. Reichen Sie Ihren Bericht über unser Sicherheitszentrum ein. Bitte kontaktieren Sie keine Mitarbeiter.
4. Wenn Sie unbeabsichtigt eine Verletzung der Privatsphäre oder eine Störung (wie z.B. den Zugriff auf Kontodaten, Dienstkonfigurationen oder andere vertrauliche Informationen) verursachen, während Sie ein Problem untersuchen, geben Sie dies in Ihrem Bericht an.
5. Wir untersuchen und beantworten alle gültigen Berichte. Aufgrund der Anzahl der Berichte, die wir erhalten, priorisieren wir jedoch die Bewertungen basierend auf Risiko und anderen Faktoren, und es kann eine schnelle Zeit dauern, bis Sie eine Antwort erhalten.
6. Wir behalten uns das Recht vor, Berichte zu veröffentlichen.
BELOHNUNGEN
Unsere Belohnungen basieren auf den Auswirkungen einer Schwachstelle. Wir werden das Programm im Laufe der Zeit basierend auf Feedback aktualisieren, daher geben Sie uns bitte Feedback zu jedem Bereich des Programms, den Sie für verbesserungswürdig halten.
1. Bitte liefern Sie detaillierte Berichte mit reproduzierbaren Schritten. Wenn der Bericht nicht detailliert genug ist, um das Problem zu reproduzieren, ist das Problem nicht für eine Belohnung qualifiziert.
2. Bei Duplikaten vergeben wir die erste Belohnung, die wir vollständig reproduzieren können.
3. Mehrere Schwachstellen, die durch ein einziges zugrunde liegendes Problem verursacht werden, werden mit einer Belohnung versehen.
4. Wir bestimmen die Höhe der Belohnung basierend auf einer Auswahl von Faktoren, einschließlich (aber nicht beschränkt auf) Auswirkungen, einfacher Ausnutzbarkeit und Qualität des Berichts. Wir notieren speziell die Belohnungen, diese sind unten aufgeführt.
5. Die unten angegebenen Beträge sind der Höchstbetrag, den wir pro Stufe zahlen. Wir streben Fairness an, alle Belohnungsbeträge liegen in unserem Ermessen. Kritische Schweregrad-Schwachstellen (200 £): Schwachstellen, die eine Privilegienerhöhung auf der Plattform von unprivilegiert zu Administrator verursachen, Remote-Code-Ausführung, Finanzdiebstahl usw. ermöglichen.
Beispiele:
- Remote Code Execution
- Remote Shell/Command Execution
Vertikale Authentifizierungs-Bypass
- SQL-Injection, die gezielte Daten preisgibt
- Voller Zugriff auf Konten
Hohe Schweregrad-Schwachstellen (100 £): Schwachstellen, die die Sicherheit der Plattform und der von ihr unterstützten Prozesse beeinträchtigen.
Beispiele:
- Lateraler Authentifizierungs-Bypass
- Offenlegung wichtiger Informationen innerhalb des Unternehmens
- The Toy Zone XSS für einen weiteren Benutzer
- Lokale Dateieinbindung
- Unsachgemäße Handhabung von Authentifizierungs-Cookies
Mittlere Schweregrad-Schwachstellen (50 £): Schwachstellen, die mehrere Benutzer betreffen und nur wenig oder gar keine Benutzerinteraktion erfordern, um ausgelöst zu werden.
Beispiele:
- Gängige Logikdesignfehler und Geschäftsprozessfehler
- Unsichere Objektverweise
Geringe Schweregrad-Schwachstellen: Probleme, die einzelne Benutzer betreffen und Interaktion oder erhebliche Voraussetzungen (MITM) erfordern, um ausgelöst zu werden.
Beispiele:
- Open Redirect
- Reflektives XSS
- Informationslecks mit geringer Sensibilität