Responsible Disclosure

Bent u beveiligingsonderzoeker en heeft u kwetsbaarheden ontdekt in onze systemen? Dan willen we graag met u samenwerken om deze kwetsbaarheden te verhelpen voordat er misbruik van wordt gemaakt.

De vrijwillige IT specialisten van de TRB zijn constant bezig met het optimaliseren van onze systemen en processen. Op deze manier zijn onze leden en relaties zo goed mogelijk beschermd tegen misbruik en is de bereikbaarheid van onze IT diensten zo optimaal mogelijk. Dit betekent natuurlijk niet dat onze systemen perfect en vrij van alle mogelijke kwetsbaarheden zijn. Vandaar ook dat we graag samenwerken met experts op het gebied van informatiebeveiliging die een mogelijke kwetsbaarheid in een van onze systemen hebben gevonden.

In Scope

We vragen u alle bevindingen met betrekking tot de beveiliging van de TRB diensten aan ons door te geven, liefst zo snel mogelijk. Denk hierbij aan:

  • Remote Code Execution
  • Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • SQL Injection
  • Encryptiekwetsbaarheden
  • Omzeilen van authenticatie of ongeautoriseerde toegang tot data

Niet in scope

Waar is dit meldpunt niet voor bedoeld?

  • opmerkingen over de diensten die de TRB levert
  • opmerkingen of vragen over de bereikbaarheid van onze diensten
  • rapporteren van mogelijk valse of zogenaamde phishing e-mails
  • rapporteren van virussen en/of malware

Het melden van phishing e-mails kan direct door een e-mail (door) te sturen naar: valse-email@trb.nu.

Uitsluitingen

De TRB kent geen beloning toe voor triviale of niet uit te buiten bugs. Hieronder staan een aantal voorbeelden van bekende kwetsbaarheden en geaccepteerde risico’s waarvoor geen beloning wordt uitbetaald.

  • HTTP 404 codes/pagina’s of andere HTTP non-200 codes/pagina’s.
  • Fingerprinting/versie banner disclosure op algemene/publieke services.
  • Publiek toegankelijke bestanden en mappen met niet gevoelige informatie (e.g. robots.txt).
  • Clickjacking en gerelateerd kwetsbaarheden.
  • CSRF op formulieren die beschikbaar zijn zonder sessie (bijvoorbeeld een contactformulier/inlogformulier).
  • Cross-Site Request Forgery op uitlogfunctie.
  • Aanwezigheid van ‘autocomplete’ of ‘save password functionaliteit.
  • Ontbreken van ‘Secure’ / ‘HTTP Only’ vlaggen op niet gevoelige cookies.
  • Zwakke CAPTCHA of CAPTCHA omzeiling.
  • Bruteforce op Vergeet Wachtwoord Pagina en Account Lockout niet afgedwongen.
  • OPTIONS Method staat aan.
  • Username / E-mail enumeratie door bruteforce pogingen: via Login foutmeldingen en ‘Vergeet Wachtwoord’-foutmeldingen
  • Ontbreken van HTTP Security Headers zoals: Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options, Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP.
  • SSL-configuratie-zwakheden: SSL-aanvallen die niet van buitenaf zijn te misbruiken, SSL ‘Forward Secrecy’ ontbreekt, SSL zwakke en onveilige cipher suites.
  • SPF, DKIM, DMARC issues.
  • Host Header Injection