BL3P

BTC/EUR
selecteer markt

BTC / EUR 60.664,75
Laatste prijs (BTC)
60.664,75
24u volume
10.95
Javascript is vereist om BL3P te kunnen gebruiken. Zet het aan of voeg een uitzondering toe
Uw browser-versie is verouderd. We hebben besloten onze tijd te besteden aan het beter maken van Bl3P, in plaats van het te verspillen aan compatibiliteit voor antieke browsers. Installeer a.u.b. Chrome frame als u door wilt gaan met uw huidige browser, of overweeg om Firefox of Chrome te installeren.

Melden van beveiligingsproblemen

Als u een probleem of kwetsbaarheid ontdekt in onze systemen dan stellen we het op prijs als u dit (zo snel mogelijk) bij ons meldt. Beveiligingsfouten belonen we met een bedrag in bitcoins of een vermelding op de “wall of fame”. De hoogte van de beloning hangt af van de impact van de fout en kan oplopen tot maximaal 5 BTC. U kunt rekenen op een beloning als u de eerste bent die ons attendeert op een beveiligingsprobleem én een wijziging in de code of configuratie als gevolg heeft. Enkele voorbeelden van beveiligingsfouten zijn:

Beveiligingsproblemen die in aanmerking komen
Onder andere:
  • Cross Site Scripting (XSS)
  • SQL-injectie
  • Encryptieproblemen
Niet te melden beveiligingsfouten

Sommige beveiligingsfouten komen niet in aanmerking voor een beloning omdat ze een te kleine impact op de beveiliging hebben. De onderstaande type beveiligingsfouten zijn daar voorbeelden van. We vragen geen melding van dergelijke beveiligingsfouten te maken tenzij een combinatie van fouten kan leiden tot een een beveiligingsprobleem met een grotere impact.

  • Algemene foutmeldingen met betrekking tot applicatie of server errors
  • HTTP 404 en overige niet HTTP 200 foutmeldingen
  • De benaderbaarheid van publieke bestanden en directories (als robots.txt)
  • CSRF-issues op delen van de site die voor anonieme gebruikers beschikbaar zijn
  • CSRF-issues die geen (ernstige) ongewenste gevolgen hebben voor gebruikers
  • Trace HTTP functies die actief kunnen zijn
  • SSL aanvallen als BEAST, BREACH, Renegotiation
  • SSL Forward secrecy niet gebruikt
  • Anti-MIME-Sniffing header X-Content-Type-functies
  • Het ontbreken van HTTP security headers
  • De aanwezigheid van HTTPS Mixed Content Scripts / foutmeldingen
  • SPF Record settings
Spelregels

Daarnaast hanteren we de volgende spelregels:

  • Richt tijdens het onderzoek geen schade aan
  • Maak geen gebruik van social engineering
  • Maak geen klant- of bedrijfsgegevens openbaar
  • Deel de verkregen toegang niet met anderen indien u onze beveiliging heeft doorbroken
  • Wijzig of verwijder geen gegevens in systemen of database
  • Kopieer niet meer gegevens dan nodig om een kwetsbaarheid aan te tonen
  • Gebruik geen bruteforce-technieken
  • Gebruik geen technieken die de werking van onze diensten of beschikbaarheid beïnvloeden

Beveiligingsissues kunnen worden gemaild naar het volgende e-mailadres: security@bl3p.eu. Beschrijf in het bericht duidelijk het gevonden probleem en de te nemen stappen om het te kunnen reproduceren. Voeg eventueel bijlagen als schermafbeeldingen of gegevensdumps toe om het probleem te verduidelijken. Na ontvangst van de melding zullen we zo snel mogelijk een ontvangstbevestiging sturen. We hebben even de tijd nodig om de melding te onderzoeken en te beoordelen. Na maximaal drie werkdagen ontvangt u een eerste inhoudelijke reactie en laten we weten wat we van de melding vinden.

Hall of Fame

Wij bedanken de onderstaande bug-hunters voor hun inspanningen om BL3P veiliger te maken. Tevens hebben zij een bounty ontvangen.

ReporterIssueNotes
Hamid Ashraf @hamihax After changing account email, old password reset link stays valid The link expires autamatically after one hour
Harsha Vardhan Redirect after CSRF error could take user back to attacker
Old password reset links stays valid after reset Link is only available to user, timeout after 1 hour
Logging out did not clear browser cache
CSRF token at security not checked correctly If a user had security TFA disabled, an attacker could trick the user into disabling login TFA as well
Upload of malicious image files could overload verification server
James A. Old sessions remain valid after password change
Sahil S. XSS vulnerability in verification system A bug in the localization system could in some cases display unfiltered user input
Insecure session cookie Sessions are IP-locked
Elyesa (Matthew) in der Maur TOTP code could be reused in other session Only for same user
Confirmation link not locked to changed setting
Logout on BL3P did not instantly end session on verification server
Clickjacking defense in BVS not functioning for partial content
Possible name exposure via account restore
Email spam possible with email change confirmation links
XSS in some cases possible via email
Could change account email to existing value
Server side validation of withdrawal bank account broken
Mandeep Jadon Consecutive confirmation link requests did not invalidate former requests
Confirmation links were unjustly reported as being IP-locked.
Krishna Manoj Vandavasi Input validation in verification system insufficient Could lead to higher spam rating for mails from bl3p.eu when entering malicious URLS
Jay K PatelAccount email was not validated properly on change
Ahmad Shuja Some weak passwords were not denied
Jochem Kuijpers Configuration entries shown in JSON output