Einleitung

Squarespace verpflichtet sich, stets ein Höchstmaß an Sicherheit zu gewährleisten. Wir ermutigen Sicherheitsanalysten ausrücklich zu einer verantwortungsvollen und unverzüglichen Offenlegung von erkannten Sicherheitslücken. Sämtlichen seriösen Hinweisen gehen wir ausnahmslos nach und setzen uns mit der Quelle in Verbindung, sollten weitere Einzelheiten benötigt werden. Beachten Sie bitte unsere Richtlinien zur verantwortungsvollen Offenlegung von Sicherheitslücken und die unten erläuterten Rahmenkriterien, bevor Sie eine Sicherheitslücke melden.

Richtlinien zur verantwortungsvollen Offenlegung

Wir arbeiten mit einem privaten, von HackerOne verwalteten Bug-Bounty-Programm, in dem Sicherheitsprobleme gemeldet werden müssen. Bitte schicke uns deinen Benutzernamen bei HackerOne, damit wir dich in das Programm einladen können. Anschließend kannst du diesen Bericht erneut dort einreichen und ihn ordnungsgemäß prüfen lassen.

Rahmenkriterien

Relevant:

  • Remote Code Execution (RCE) auf Serverseite

  • Cross Site Scripting (XSS)

  • Cross Site Request Forgery (CSRF)

  • Server Side Request Forgery (SSRF)

  • SQL Injection (SQLi)

  • XML External Entity-Angriffe (XXE)

  • Access Control Issues (ACI)

  • Local File Disclosure (LFD)

Nicht relevant:

  • Squarespace Extensions

  • Rechteerweiterung von einer Nicht-Administrator-Rolle zu einer Administrator-Rolle.

  • Alle Angriffe von einem Benutzer auf einen anderen Benutzer auf derselben Website.

  • Alle Squarespace-Kundenwebsites, die nicht im Besitz des Nachforschenden sind.

  • Denial of Service auf Netzwerkebene.

  • Denial of Service auf Anwendungsebene. Wenn die Beantwortung einer Anfrage zu lange dauert, melde es uns. Mache keinen DoS-Angriff auf das System.

  • Self-XSS. Wir erlauben unseren Benutzern, beliebige Skripte zu ihren >Websites hinzuzufügen. Das Einfügen eines Skripts in ein Tag als Website-Inhaber ist gleichbedeutend mit dieser Funktionalität.
    Hinweis: Self-XSS auf der /config-Route einer Website ist akzeptabel.

  • Unsichere direkte Objektreferenzen bei nicht erratbaren IDs.

  • Doppelte Meldungen, die bereits bearbeitet werden.

  • Mehrere Berichte für den gleichen Sicherheitslückentypen mit geringfügigen Abweichungen.

  • Sämtliche OAuth-Flows.

  • Rate-Limiting-Probleme.

  • Session-Timeout-Probleme.

  • Probleme mit Patches, die weniger als 90 Tage alt sind.

  • 0-Day-Sicherheitslücken, die weniger als 30 Tage alt sind.

  • Richtlinien zur Komplexität von Passwörtern.

  • Fehlende E-Mail-Überprüfung.

  • E-Mail- oder Benutzeraufzählung.

  • Clickjacking bzw. Lücken, die nur durch Clickjacking ausgenutzt werden können.

  • XSS-Probleme, die nur veraltete Browser betreffen.

  • Offene Weiterleitungen.

  • Fehlende Sicherheitshinweise für Cookies.

  • Brute-Force-Angriffe auf Passwörter.

  • Reflected File Download (RFD).

  • Probleme, die den physischen Zugang zum Computer des Betroffenen erfordern.

  • Probleme, die einen privilegierten Zugang zum Netzwerk des Betroffenen erfordern.

Workflow zur Meldung möglicher Sicherheitslücken

Bist du ein Sicherheitsanalyst, gib bitte nachstehend deinen Benutzernamen von Hacker One ein: