Responsible Disclosure Statement
Bei Conceptboard hat die Sicherheit unserer Systeme höchste Priorität. Trotz unserer größten Anstrengungen können weiterhin Schwachstellen bestehen. Wenn Sie eine Sicherheitslücke entdecken, möchten wir davon erfahren, damit wir Maßnahmen ergreifen können, um diese zu beheben und unsere Nutzer sowie unsere Plattform zu schützen.
Wir schätzen Ihre Unterstützung bei der Verbesserung unserer Sicherheit.
Unsere Zusagen
Wir antworten innerhalb von 5 Werktagen mit einer ersten Bewertung und einem voraussichtlichen Zeitplan zur Behebung.
Wir halten Sie über den Fortschritt der Behebung auf dem Laufenden.
Wir behandeln Ihre Meldung vertraulich.
Wir geben Ihre personenbezogenen Daten ohne Ihre Zustimmung nicht an Dritte weiter, es sei denn, dies ist gesetzlich erforderlich.
Wir nennen Sie als Entdecker (sofern Sie nicht anonym bleiben möchten).
Mögliche Prämien werden nach Validierung des Problems fallweise bewertet. Entscheidungen über Belohnungen liegen im Ermessen von Conceptboard und können Faktoren wie Schweregrad, Auswirkung, Qualität des Berichts und verfügbares Budget berücksichtigen.
Zusätzlich bieten wir öffentliche Anerkennung in unserer Hall of Fame für gültige und wirkungsvolle Beiträge, vorbehaltlich der ausdrücklichen Anfrage und Zustimmung des Forschers.
Safe Harbor
Wenn Sie in gutem Glauben und gemäß dieser Richtlinie handeln: werden wir keine rechtlichen Schritte gegen Sie einleiten. Betrachten wir Ihre Aktivitäten als autorisiert.
Offenlegung
Wir folgen einem koordinierten Offenlegungsprozess: Veröffentlichen Sie die Schwachstelle nicht öffentlich, bevor sie behoben wurde. Wir können die öffentliche Offenlegung nach der Behebung gemeinsam mit Ihnen koordinieren. Übliche Zeiträume liegen zwischen 30 und 90 Tagen, abhängig vom Schweregrad.
Wir bemühen uns, alle Probleme so schnell wie möglich zu beheben, und möchten eine aktive Rolle bei der finalen Veröffentlichung nach deren Behebung einnehmen.
Schwachstelle gefunden? Was jetzt zu tun ist
Zögern Sie nicht: Lassen Sie uns wissen, was Sache ist und übermitteln Sie Ihre Ergebnisse über die folgende Schaltfläche. Wenn Ihr Schwachstellenbericht gültig ist, möchten wir Ihnen danken und Sie für Ihren wertvollen Beitrag anerkennen. Dazu nehmen wir Sie gerne namentlich oder anonym in unsere Conceptboard Hall of Fame auf. Selbstverständlich nehmen wir Sie nur dann in unsere „Hall of Fame“ auf, wenn Sie dies ausdrücklich wünschen.
Bitte gehen Sie wie folgt vor:
Übermitteln Sie Ihre Erkenntnisse über die folgende URL.
Do’s und Dont’s als Teil unseres Bug Bounty Programms
- Melden Sie die Schwachstelle so schnell wie angemessen, um Risiken zu minimieren.
- Melden Sie sie so, dass Vertraulichkeit gewahrt bleibt und unbefugter Zugriff verhindert wird.
- Stellen Sie ausreichend Details zur Reproduktion bereit (z. B. URLs, Endpunkte, Schritte, PoC).
- Handeln Sie nach Treu und Glauben und vermeiden Sie Datenschutzverletzungen oder Serviceunterbrechungen.
- Beschränken Sie Tests auf das notwendige Maß zum Nachweis der Schwachstelle.
- Geben Sie die Schwachstelle nicht an Dritte weiter, bevor sie behoben wurde und eine Offenlegung vereinbart ist.
- Nutzen Sie die Schwachstelle nicht über den notwendigen Nachweis hinaus aus.
- Greifen Sie nicht auf fremde Daten zu, ändern oder löschen Sie diese nicht.
- Nehmen Sie keine dauerhaften Änderungen an Systemen vor.
- Verwenden Sie keine Brute-Force-Angriffe, kein Social Engineering, kein Phishing, keine physischen Angriffe oder Denial-of-Service-Angriffe.
- Greifen Sie nicht wiederholt auf Systeme zu und teilen Sie keinen Zugriff mit anderen.
Geltungsbereich
Diese Richtlinie zur koordinierten Offenlegung von Sicherheitslücken (CVD) gilt für alle Systeme und Dienste von Conceptboard.
Außerhalb des Geltungsbereichs:
Die folgenden Kategorien von Meldungen gelten als außerhalb des Geltungsbereichs und sind nicht für Prämien qualifiziert.
Diese Kategorien spiegeln wiederkehrende Meldungen mit geringem Mehrwert oder ohne verwertbare Erkenntnisse im Conceptboard Bug-Bounty-Programm wider.
A. Fehlende Sicherheits-Header
- Fehlende oder falsch konfigurierte HTTP-Sicherheits-Header, einschließlich:
- Content Security Policy (CSP)
- HSTS
- X-Frame-Options
- X-Content-Type-Options
- Referrer-Policy
B. Cookie-Attributprobleme
- Fehlende oder schwache Cookie-Einstellungen, wie z. B.:
- Fehlende Secure-, HttpOnly- oder SameSite-Attribute
C. Offenlegung von Informationen ohne sensible Daten
- Exponierung nicht sensibler Informationen, einschließlich:
- Server- oder Framework-Versionen
- X-Powered-By-Header
- Allgemeine Stack-Traces ohne sensible Daten
- Interne Pfade oder Metadaten ohne Auswirkung
D. Ergebnisse automatisierter Scanner
- Berichte, die ausschließlich durch automatisierte Tools generiert wurden, ohne manuelle Validierung oder nachgewiesene Auswirkungen
E. Geschäftslogikprobleme ohne Auswirkung
- Fehler in der Geschäftslogik, die nicht nachweisen:
- Unbefugten Zugriff auf Daten
- Änderung von Daten anderer Nutzer
- Beeinträchtigung der Integrität
- Missbrauch in großem Maßstab
F. Self-XSS
- Cross-Site-Scripting, das nur den meldenden Nutzer betrifft und eine Selbst-Ausführung erfordert
G. Doppelte Meldungen
- Meldungen bereits bekannter Schwachstellen, die in Abschnitt 13 aufgeführt sind
- Erneute Einreichungen ohne neue Ausnutzungstechniken oder erhöhte Auswirkungen
- H. Theoretische AngriffeSchwachstellen ohne funktionsfähigen Proof of Concept (PoC)
- Hypothetische oder nicht reproduzierbare Angriffsszenarien
I. Missbrauch mit geringer Auswirkung
- Missbrauch von Funktionen, der nicht führt zu:
- Sicherheitsrelevanten Auswirkungen
- Systemkompromittierung
- Datenoffenlegung
J. Beobachtungen zu fehlender Rate-Limitierung ohne Ausnutzung
- Berichte über fehlende Rate-Limitierung ohne nachgewiesenen Missbrauch oder Auswirkungen
K. Bereits definierte Ausschlüsse
- DDoS- oder Traffic-Flooding-Angriffe
- Social Engineering und Phishing
- Physische Sicherheitsprobleme
Bekannte Sicherheitsprobleme:
Die folgende Liste zeigt bereits gemeldete Schwachstellen und wiederkehrende Befunde bei Conceptboard. Diese Beispiele dienen der Klarstellung, was bereits bekannt ist und wo ein signifikanter Impact erforderlich ist.
Wichtig:
Die unten aufgeführten Schwachstellen bleiben im Geltungsbereich, wenn eine neue Ausnutzungstechnik, ein Bypass oder ein erhöhter Impact nachgewiesen wird.
Bestätigte Schwachstellenmuster
Exponierte Zugriffstoken in URLs
- /template-ui/account/team?access_token=<JWT>
- /login-redirect?access_token=<JWT>
Auswirkung:
- Übernahme von Konten/Sitzungen
- Administrativer Zugriff
- Token-Leakage über Logs und Analysen
Fehlende Zugriffskontrolle (organisationsübergreifender Zugriff)
- Manipulation der userId in Einladungs-Endpunkten
Auswirkung:
- Unbefugter Zugriff auf Boards
- Datenoffenlegung zwischen Mandanten
- Unbefugte Änderungen
Umgehung rollenbasierter Zugriffskontrollen (Rechteausweitung für Gäste)
- Gastnutzer führen eingeschränkte Aktionen aus
Auswirkung:
- Unbefugte Manipulation von Workflows
CSRF bei zustandsändernden Aktionen
- /account/profile?resendEmail=true
Auswirkung:
- Missbrauch von E-Mail-Funktionen
- Verstärkung von Phishing
Fehlende Rate-Limitierung (E-Mail-Änderungsprozess)
- /account/profile
Auswirkung:
- E-Mail-Flooding
- Ressourcenmissbrauch
EXIF-Metadatenleck
- Hochgeladene Bilder geben GPS-/Gerätedaten preis
Auswirkung:
- Verletzung der Privatsphäre
Clientseitige Parametermanipulation
- Manipulation von Abstimmungen → Integritätsverlust
- Umgehung von Eingabelängen → DoS
- Umgehung von Template-Eindeutigkeit → Spoofing
E-Mail-basierte Injection / Phishing
- Nutzerkontrollierte Eingaben werden in E-Mails reflektiert
Auswirkung
- Phishing aus vertrauenswürdiger Domain
Probleme mit Sitzungs-/Kontozuständen
- E-Mail-Änderung führt zur Kontosperrung
Auswirkung:
- Zugriffsverlust / Übernahmeszenarien