Coordinated Vulnerability Disclosure

Coordinated Vulnerability Disclosure

Bij Saxion vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is. Als je een zwakke plek in één van onze systemen heeft geconstateerd, dan vernemen wij dit graag, zodat wij zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met je samenwerken om onze gebruikers en onze systemen beter te kunnen beschermen en de impact/risico’s zo veel mogelijk te beperken.

Geen uitnodiging tot actief scannen

Ons zogenoemde Coordinated Vulnerability Disclosure beleid is geen uitnodiging om ons netwerk of onze systemen uitgebreid actief te scannen op zwakke plekken. Wij monitoren namelijk zelf ons bedrijfsnetwerk. Daardoor is de kans groot dat wij je scan oppikken, dat het Saxion SOC onderzoek doet, wat mogelijk leidt tot onnodige kosten.

Strafrechtelijke vervolging

Het is mogelijk dat je tijdens je onderzoek handelingen uitvoert die volgens het strafrecht strafbaar zijn. Heb je je aan onderstaande voorwaarden gehouden, dan ondernemen wij geen juridische stappen tegen je. Het Openbaar Ministerie heeft echter altijd het recht om zelf te beslissen of het je strafrechtelijk vervolgt.

Wat vragen wij van jou:

  • Mail je bevindingen naar [email protected]. Versleutel je bevindingen met onze PGP key om te voorkomen dat de informatie in verkeerde handen valt.
  • Maak geen misbruik van de gevonden kwetsbaarheid door meer gegevens te downloaden dan noodzakelijk om de kwetsbaarheid aan te tonen of de gegevens te veranderen of te verwijderen.
  • Deel de kwetsbaarheid niet met anderen, totdat de kwetsbaarheid is verholpen
  • Maak geen gebruik van aanvallen op fysieke beveiliging of applicaties van derden, van social engineering, (distributed) denial-of-service, malware, of spam.
  • Geef ons voldoende informatie om de kwetsbaarheid te reproduceren, zodat wij deze zo snel mogelijk kunnen oplossen.

Wat beloven wij jou:

  • Wij zullen binnen 5 werkdagen op de melding reageren, met onze beoordeling en wanneer wij verwachten de kwetsbaarheid verholpen te hebben;
  • Wij behandelen de melding vertrouwelijk en zullen de gegevens van de melder niet delen met derden zonder uitdrukkelijke toestemming van de melder, tenzij dat noodzakelijk is om te kunnen voldoen aan onze een wettelijke verplichting;
  • Wij willen je bedanken, als je op een verantwoorde manier een kwetsbaarheid hebt gemeld, door middel van een vermelding in onze Hall of Fame.

Buiten de reikwijdte

Het Coordinated Vulnerability Disclosure beleid geldt alleen voor systemen van de Saxion Hogeschool zelf en alleen voor echte kwetsbaarheden. Daarom zijn bepaalde meldingen out of scope. Triviale kwetsbaarheden of bugs die niet misbruikt kunnen worden komen niet in aanmerking voor opname in de Hall of Fame. Hieronder staan voorbeelden van bekende kwetsbaarheden en aanvaarde risico’s die buiten de reikwijdte van het Coordinated Vulnerability Disclosure beleid vallen:

  • Authenticatie op publieke FTP mirrors voor open-source projecten;
  • Publiek aangeboden software en/of broncode;
  • HTTP 404-codes/-pagina’s of andere HTTP niet-200-codes/-pagina’s en content spoofing/tekstinjectie op deze pagina’s;
  • Fingerprinting/versievermelding op publieke services;
  • Ontbrekende limieten op inlogpogingen;
  • Openbaarmaking van publieke bestanden, gegevensoverzichten of niet-gevoelige informatie (bijvoorbeeld robots.txt);
  • Clickjacking en problemen die alleen te exploiteren zijn via clickjacking;
  • Geen secure/HTTP-only flags op niet-gevoelige cookies; Voorbeelden van gevoelige cookies zijn sessie cookies en cookies met persoonsgegevens; Voorbeelden van niet-gevoelige cookies zijn loadbalancer preferences en taal-instellingen;
  • Options HTTP-methode ingeschakeld;
  • Foutieve 'referer' header opties;
  • Alles rondom mixed-contentwaarschuwingen;
  • Alles wat verband houdt met HTTP/XML-beveiligingsheaders, zoals:
    • Strict-Transport-Security
    • X-frame-options
    • X-XSS-Protection
    • X-Content-Type-Options
    • Content-Security-Policy
    • Cross-Domain-Policy;
  • Problemen met SSL-configuratie:
    • SSL forward secrecy uitgeschakeld
    • Zwakke/onveilige cipher suites
    • Host header-injectie;
  • Problemen met SPF, DKIM of DMARC;
  • Rapporteren van verouderde versies van software zonder een Proof of Concept van een werkende exploit;
  • Informatielekken in metadata.