Als u een probleem of kwetsbaarheid ontdekt in onze systemen dan stellen we het op prijs als u dit (zo snel mogelijk) bij ons meldt. Beveiligingsfouten belonen we met een bedrag in bitcoins of een vermelding op de “wall of fame”. De hoogte van de beloning hangt af van de impact van de fout en kan oplopen tot maximaal 5 BTC. U kunt rekenen op een beloning als u de eerste bent die ons attendeert op een beveiligingsprobleem én een wijziging in de code of configuratie als gevolg heeft. Enkele voorbeelden van beveiligingsfouten zijn:
Sommige beveiligingsfouten komen niet in aanmerking voor een beloning omdat ze een te kleine impact op de beveiliging hebben. De onderstaande type beveiligingsfouten zijn daar voorbeelden van. We vragen geen melding van dergelijke beveiligingsfouten te maken tenzij een combinatie van fouten kan leiden tot een een beveiligingsprobleem met een grotere impact.
Daarnaast hanteren we de volgende spelregels:
Beveiligingsissues kunnen worden gemaild naar het volgende e-mailadres: security@bl3p.eu. Beschrijf in het bericht duidelijk het gevonden probleem en de te nemen stappen om het te kunnen reproduceren. Voeg eventueel bijlagen als schermafbeeldingen of gegevensdumps toe om het probleem te verduidelijken. Na ontvangst van de melding zullen we zo snel mogelijk een ontvangstbevestiging sturen. We hebben even de tijd nodig om de melding te onderzoeken en te beoordelen. Na maximaal drie werkdagen ontvangt u een eerste inhoudelijke reactie en laten we weten wat we van de melding vinden.
Wij bedanken de onderstaande bug-hunters voor hun inspanningen om BL3P veiliger te maken. Tevens hebben zij een bounty ontvangen.
Reporter | Issue | Notes |
---|---|---|
Hamid Ashraf @hamihax | After changing account email, old password reset link stays valid | The link expires autamatically after one hour |
Harsha Vardhan | Redirect after CSRF error could take user back to attacker | |
Old password reset links stays valid after reset | Link is only available to user, timeout after 1 hour | |
Logging out did not clear browser cache | ||
CSRF token at security not checked correctly | If a user had security TFA disabled, an attacker could trick the user into disabling login TFA as well | |
Upload of malicious image files could overload verification server | ||
James A. | Old sessions remain valid after password change | |
Sahil S. | XSS vulnerability in verification system | A bug in the localization system could in some cases display unfiltered user input |
Insecure session cookie | Sessions are IP-locked | |
Elyesa (Matthew) in der Maur | TOTP code could be reused in other session | Only for same user |
Confirmation link not locked to changed setting | ||
Logout on BL3P did not instantly end session on verification server | ||
Clickjacking defense in BVS not functioning for partial content | ||
Possible name exposure via account restore | ||
Email spam possible with email change confirmation links | ||
XSS in some cases possible via email | ||
Could change account email to existing value | ||
Server side validation of withdrawal bank account broken | ||
Mandeep Jadon | Consecutive confirmation link requests did not invalidate former requests | |
Confirmation links were unjustly reported as being IP-locked. | ||
Krishna Manoj Vandavasi | Input validation in verification system insufficient | Could lead to higher spam rating for mails from bl3p.eu when entering malicious URLS |
Jay K Patel | Account email was not validated properly on change | |
Ahmad Shuja | Some weak passwords were not denied | |
Jochem Kuijpers | Configuration entries shown in JSON output |