BL3P

Prijs (BTC)
13.891,87
24u volume
454.64
Markt
Javascript is vereist om BL3P te kunnen gebruiken. Zet het aan of voeg een uitzondering toe
Uw browser-versie is verouderd. We hebben besloten onze tijd te besteden aan het beter maken van Bl3P, in plaats van het te verspillen aan compatibiliteit voor antieke browsers. Installeer a.u.b. Chrome frame als u door wilt gaan met uw huidige browser, of overweeg om Firefox of Chrome te installeren.

Melden van beveiligingsproblemen

Als u een probleem of kwetsbaarheid ontdekt in onze systemen dan stellen we het op prijs als u dit (zo snel mogelijk) bij ons meldt. Beveiligingsfouten belonen we met een bedrag in bitcoins of een vermelding op de “wall of fame”. De hoogte van de beloning hangt af van de impact van de fout en kan oplopen tot maximaal 5 BTC. U kunt rekenen op een beloning als u de eerste bent die ons attendeert op een beveiligingsprobleem én een wijziging in de code of configuratie als gevolg heeft. Enkele voorbeelden van beveiligingsfouten zijn:

Beveiligingsproblemen die in aanmerking komen
Onder andere:
  • Cross Site Scripting (XSS)
  • SQL-injectie
  • Encryptieproblemen
Niet te melden beveiligingsfouten

Sommige beveiligingsfouten komen niet in aanmerking voor een beloning omdat ze een te kleine impact op de beveiliging hebben. De onderstaande type beveiligingsfouten zijn daar voorbeelden van. We vragen geen melding van dergelijke beveiligingsfouten te maken tenzij een combinatie van fouten kan leiden tot een een beveiligingsprobleem met een grotere impact.

  • Algemene foutmeldingen met betrekking tot applicatie of server errors
  • HTTP 404 en overige niet HTTP 200 foutmeldingen
  • De benaderbaarheid van publieke bestanden en directories (als robots.txt)
  • CSRF-issues op delen van de site die voor anonieme gebruikers beschikbaar zijn
  • CSRF-issues die geen (ernstige) ongewenste gevolgen hebben voor gebruikers
  • Trace HTTP functies die actief kunnen zijn
  • SSL aanvallen als BEAST, BREACH, Renegotiation
  • SSL Forward secrecy niet gebruikt
  • Anti-MIME-Sniffing header X-Content-Type-functies
  • Het ontbreken van HTTP security headers
  • De aanwezigheid van HTTPS Mixed Content Scripts / foutmeldingen
Spelregels

Daarnaast hanteren we de volgende spelregels:

  • Richt tijdens het onderzoek geen schade aan
  • Maak geen gebruik van social engineering
  • Maak geen klant- of bedrijfsgegevens openbaar
  • Deel de verkregen toegang niet met anderen indien u onze beveiliging heeft doorbroken
  • Wijzig of verwijder geen gegevens in systemen of database
  • Kopieer niet meer gegevens dan nodig om een kwetsbaarheid aan te tonen
  • Gebruik geen bruteforce-technieken
  • Gebruik geen technieken die de werking van onze diensten of beschikbaarheid beïnvloeden

Beveiligingsissues kunnen worden gemaild naar het volgende e-mailadres: security@bl3p.eu. Versleutel uw bericht met de onderstaande PGP-sleutel(0xB745A874). Beschrijf in het bericht duidelijk het gevonden probleem en de te nemen stappen om het te kunnen reproduceren. Voeg eventueel bijlagen als schermafbeeldingen of gegevensdumps toe om het probleem te verduidelijken. Na ontvangst van de melding zullen we zo snel mogelijk een ontvangstbevestiging sturen. We hebben even de tijd nodig om de melding te onderzoeken en te beoordelen. Na maximaal drie werkdagen ontvangt u een eerste inhoudelijke reactie en laten we weten wat we van de melding vinden.

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1
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=Ym7G
-----END PGP PUBLIC KEY BLOCK-----

Hall of Fame

Wij bedanken de onderstaande bug-hunters voor hun inspanningen om BL3P veiliger te maken. Tevens hebben zij een bounty ontvangen.

ReporterIssueNotes
Hamid Ashraf @hamihax After changing account e-mail, old password reset link stays valid The link expires autamatically after one hour
Harsha Vardhan Redirect after CSRF error could take user back to attacker
Old password reset links stays valid after reset Link is only available to user, timeout after 1 hour
Logging out did not clear browser cache
CSRF token at security not checked correctly If a user had security TFA disabled, an attacker could trick the user into disabling login TFA as well
Upload of malicious image files could overload verification server
James A. Old sessions remain valid after password change
Sahil S. XSS vulnerability in verification system A bug in the localization system could in some cases display unfiltered user input
Insecure session cookie Sessions are IP-locked
Elyesa (Matthew) in der Maur TOTP code could be reused in other session Only for same user
Confirmation link not locked to changed setting
Logout on BL3P did not instantly end session on verification server
Clickjacking defense in BVS not functioning for partial content
Possible name exposure via account restore
Email spam possible with e-mail change confirmation links
XSS in some cases possible via e-mail
Could change account e-mail to existing value
Server side validation of withdrawal bank account broken
Mandeep Jadon Consecutive confirmation link requests did not invalidate former requests
Confirmation links were unjustly reported as being IP-locked.
Krishna Manoj Vandavasi Input validation in verification system insufficient Could lead to higher spam rating for mails from bl3p.eu when entering malicious URLS
Jay K PatelAccount e-mail was not validated properly on change
Ahmad Shuja Some weak passwords were not denied