Program for afsløring af sårbarheder
Program for afsløring af sårbarheder
Indledning:
Hos ShopGalaxy.ch tager vi vores kunders sikkerhed og deres data meget alvorligt. Vi er forpligtet til at beskytte vores platforms privatliv og integritet og til at håndtere sikkerhedsbrud, der kan kompromittere vores systemer. For at understøtte dette har vi etableret et program for afsløring af sårbarheder for at identificere og afhjælpe potentielle sårbarheder i samarbejde med sikkerhedsforskere og det bredere samfund .
retningslinier
✅ Ansvarlig offentliggørelse
Sikkerhedsforskere bør udføre deres forskning på en måde, der minimerer risikoen for vores systemer, brugere og deres data. Undgå aktiviteter, der forstyrrer vores tjenester eller kompromitterer brugernes privatliv.
✅ Fortrolighed
Alle oplysninger om opdagede sikkerhedssårbarheder skal holdes fortrolige og må ikke offentliggøres, før problemet er løst.
✅ Ingen udnyttelse
Enhver opdaget sikkerhedssårbarhed må ikke udnyttes til personlig vinding eller ondsindede formål. Dette omfatter adgang til, ændring eller sletning af tredjepartsdata.
✅ Rapport
Rapportér venligst sikkerhedssårbarheder via e-mail til info@shopgalaxy.ch med en detaljeret beskrivelse, inklusive trin til reproduktion, potentiel påvirkning og mulige løsninger .
✅ Samarbejde
Vi værdsætter din støtte og vil arbejde sammen med dig for at forstå og løse eventuelle sikkerhedssårbarheder, der er opdaget. Vi bekræfter modtagelsen af din rapport, holder dig opdateret om fremskridt og giver dig besked, når problemet er løst.
programmets omfang
Vores program dækker alle design- eller implementeringsproblemer , der i væsentlig grad kompromitterer fortroligheden eller integriteten af brugerdata. Dette omfatter:
🔹 XSS (Cross-Site Scripting)
🔹 CSRF (Cross-Site Request Forgery)
🔹 SSRF (Server-Side Request Forgery)
🔹 SSTI (Server-Side Template Injection)
🔹 SQL-injektion
🔹 XXE (ekstern XML-enhed)
🔹 RCE (Remote Code Execution)
🔹 LFI/RFI (Local/Remote File Inclusion)
🔹 Fejl i godkendelses- eller godkendelsesprocesser
Ikke i omfang
Visse problemer er ikke en del af programmet :
❌ Sikkerhedsproblemer uden mulighed for umiddelbar udnyttelse
❌ Social Engineering
❌ Fysiske adgangssårbarheder
❌ Denial-of-Service-angreb (DoS)
❌ E-mail-spoofing
❌ Manglende jailbreak-detektion, binær beskyttelse, certifikatfastgørelse
❌ Manglende HTTP-sikkerhedsheadere (kun relevant med omfattende proof of concept)
❌ Kendte usikre biblioteker (uden bevis for udnyttelse)
❌ Usikre SSL/TLS-cifre (kun relevant med bevis for funktionelt udnyttelse)
meddelelses- og rapportskabelon
📩 Rapportér sikkerhedssårbarheder til: info@shopgalaxy.ch
📝 Rapportens sprog: tysk eller engelsk
📌 Rapport skal indeholde:
1️⃣ Beskrivelse af sårbarheden (type af problem, berørte komponenter)
2️⃣ trin til reproduktion (klar, trin-for-trin instruktioner)
3️⃣ Potentielle påvirkninger (risici for brugere og system)
4️⃣ Proof of Concept (hvis tilgængeligt) (kode, skærmbilleder eller andre beviser)
5️⃣ Foreslåede handlinger (valgfrit) (anbefalinger til udbedring)