Ние користиме колачиња за да ја анализираме употребата на веб-страницата и да ја подобриме леснотијата на користење. Погледнете ги нашите Политика за приватност.

Откривање на безбедносна ранливост

Правиме се што е можно за да ги зачуваме нашите системи безбедни. Ако навистина наидете на безбедносен проблем во нашите системи, пријавете ни го за да можеме веднаш да го поправиме. Ова го нарекуваме „објавување на ранливост“ (исто така познато како „координирано откривање на ранливост“ и „одговорно откривање“).

Како да откриете ранливост

  • Пријавете го проблемот на [email protected]. Доколку ова не е можно, јавете ни се на +31 10 529 19 19.
  • Ве молиме дајте што е можно повеќе информации за да ни помогнете да го репродуцираме и решиме проблемот. Ова вклучува детален опис со IP адреси, дневници, слики од екранот итн.
  • Наведете ги и вашите податоци за контакт, како што се телефонски број или адреса на е-пошта за да можеме да ве контактираме доколку ни требаат повеќе информации.

Што да се прави следно

  • Не кажувајте никому за тоа.
  • Уништете ги податоците што сте ги добиле.
  • Не правете повеќе отколку што е потребно за да го покажете проблемот.
  • Не ја искористувајте ранливоста; во спротивно, ќе ги известиме надлежните органи.

Не мора да го откривате следново

  • Социјален инженеринг.
  • Исцрпување на ресурси/напад на DoS или DDoS.
  • Физички напади (лично).
  • Ситуации кои не можат да се репродуцираат.
  • Експлоатите кои не се потврдени со втор метод/алатка А известува за „ранливост“, додека алатката Б известува „нема проблем“.
  • Козметички проблеми како што е лошо прикажување на веб-локација во прелистувачот А. (Можете да ги пријавите овие проблеми на [email protected])
  • Проблеми поврзани со корисникот, како што се работната станица без надзор, кликнување или комбинации на копчиња.
  • Едноставни списоци и броеви на верзии на ОС, услуги и порти.
  • Јавни датотеки што треба да бидат јавно достапни.
  • Недостасува знаменце само за HTTP на колачиња кои не содржат чувствителни информации.
  • Погрешна конфигурација на TLS без доказ за концепт дека оваа ранливост може да се искористи.
  • Нецелосни или исчезнати записи со SPF, DKIM или DMARC.
  • Услуги кои работат кај трети страни (предходно консултирајте се со нивната страница за одговорно откривање).
  • Пронајдени адреси на е-пошта при прекршување на податоците од трета страна.
  • Безбедносни пропусти за кои се издадени поправни ажурирања во последните 2 недели.
  • УРЛ пренасочувања (на валидна страница).
  • Лажирање на локални содржини/кликнување.
  • Јавно регистрирани IP адреси.
  • Јавни датотеки и протекување информации во метаподатоци.
  • Недостасуваат безбедносни заглавија, опции и знаменца.
  • Застарени верзии без докази за експлоатација.

Познати потенцијално ризични прашања

Исто така, веќе ни се познати прашања на кои работиме или кои ги препознаваме како прифатени ризици. Иако не ги идентификуваме овие проблеми на веб-страницата, нашиот тим за поддршка е свесен за нив и ќе го посочи тоа. Затоа нема да обработуваме извештаи за овие прашања.

Како го обработуваме вашето откривање

  • Во рок од 1 работен ден, ќе ви испратиме е-пошта за да го потврдиме приемот на вашата порака.
  • Во рок од 5 работни дена, ќе ви испратиме е-пошта со детален одговор и очекуван датум за решавање. Ќе го решиме проблемот што е можно поскоро, најдоцна во рок од 3 месеци.
  • Ќе ве информираме за напредокот.
  • Ќе одлучиме дали да го откриеме проблемот откако ќе се консултираме со вас. Ние нема да го споменеме вашето име без ваша согласност.

Безбедност.txt

Со објавувањето на RFC 9116 претходно оваа година, сега е достапен стандардизиран формат за организациите да ги објавуваат своите политики и контакти за откривање ранливост (vulnerability disclosure). За таа цел, измислен е формат на текст читлив од луѓе и од компјутер (security.txt), кој сега е објавен на веб-страниците. Може да ја најдете нашата датотека security.txt на https://www.anthura.nl/.well-known/security.txt.