Programm zur Aufdeckung von Schwachstellen

Last Updated: May 21, 2020

Einführung

Die Informationen auf dieser Seite richten sich an Personen, die Sicherheitsnachforschungen anstellen und daran interessiert sind, das Sicherheitsteam von Zscaler verantwortungsvoll auf Sicherheitsschwachstellen hinzuweisen.

Sicherheit erfordert Transformation, und der beste Weg zur Verbesserung eines Sicherheitsprogramms ist der direkte Austausch mit unseren Kunden und Benutzern. Dieser Austausch und der feste Glaube an die Zusammenarbeit mit der Sicherheits-Community sind der Grundstein für die Aufrechterhaltung einer sicheren Umgebung für all unsere Benutzer. Wenn Sie glauben, in einem Produkt, einem Service oder einer Anwendung von Zscaler eine Sicherheitsschwachstelle entdeckt zu haben, raten wir Ihnen dringend, uns so schnell wie möglich zu informieren. Wir ersuchen Sie, solche Schwachstellenmeldungen vertraulich zu behandeln und nicht zu veröffentlichen, bevor wir das Problem gelöst haben.

In return, we will work to review reports and respond in a timely manner. Our bug bounty partner, Bugcrowd, will engage with you initially to triage your submission. Zscaler will not seek judicial or law enforcement remedies against you for identifying security issues, so long as you (1) comply with the policies set forth herein; (2) comply with Bugcrowd’s Standard Disclosure Terms; (3) do not compromise the safety or privacy of our users; and (4) do not destroy any sensitive data you might have gathered from Zscaler as part of your research once issues are resolved; and (5) agree to and comply with Zscaler's Confidentiality terms below.

Confidentiality

By engaging or participating in and/or submitting a security vulnerability to Zscaler, you agree to comply with the following confidentiality provisions.

“Confidential Information” means (i) all Zscaler information obtained during security testing or via your participation in the Zscaler Vulnerability Disclosure Program, (ii) all information disclosed to you in connection with the Bugcrowd Bounty Brief, and (ii) all submissions by you. You are not granted any rights in Zscaler’s Confidential Information or intellectual property by engaging in any testing or participating in Zscaler’s Vulnerability Disclosure Program.

Confidential Information does not include information that (i) is or becomes publicly available through no fault of your own and without breaching these provisions, (ii) is independently developed without use of or reference to Confidential Information, or (iii) is or becomes known by you from a source not bound by confidentiality restrictions.

Before engaging in any testing or submitting findings you agree (i) to hold Confidential Information in strict confidence, (ii) to protect such Confidential Information from unauthorized use or disclosure, (iii) to not disclose such Confidential Information to any third party including the public, (iv) to not use such Confidential Information for any purpose outside the scope of participating in Zscaler’s Vulnerability Disclosure Program, and (v) to notify Zscaler immediately upon discovery of any loss or unauthorized disclosure of Confidential Information. Notwithstanding the foregoing, you may disclose Zscaler’s Confidential Information to Zscaler or to Bugcrowd via the Bugcrowd partner portal.

Vielen Dank für Ihre Hilfe!

Umfang und Regeln des Schwachstellenprogramms

Innerhalb des Umfangs

Wir sind hauptsächlich an Informationen über die folgenden Kategorien von Schwachstellen interessiert:

  • Offenlegung sensibler Daten – Speicherung von Cross Site Scripting (XSS), SQL-Injektion (SQLi) usw.
  • Probleme mit Authentifizierung und Session-Management
  • Remotecodeausführung
  • Besonders clevere Schwachstellen oder Einzelfälle, die nicht in bestimmte Kategorien fallen – Zeigen Sie uns Ihre phantasievolle Detektivarbeit!
Außerhalb des Umfangs

Die folgenden Schwachstellenkategorien fallen nicht in den Geltungsbereich unseres Aufdeckungsprogramms und sollten deshalb bei Nachforschungen vermieden werden.

  • Denial of Service (DoS) – entweder durch Netzwerk-Traffic, Erschöpfung der Ressourcen oder andere Gründe
  • User-Aufzählung
  • Probleme, die nur bei alten Browsern/alten Plugins/überholten Software-Browsern auftreten
  • Phishing oder Social Engineering von Zscaler-Mitarbeitern, Benutzern oder Kunden
  • Systeme oder Probleme im Zusammenhang mit der von Zscaler verwendeten Technologie von Drittanbietern
  • Offenlegung von bekannten öffentlichen Dateien und anderen Informationen, die kein wesentliches Risiko darstellen (z. B.: robots.txt)
  • Angriffe oder Schwachstellen, die auf einen kompromittierten Computer eines Benutzers zurückzuführen sind

Bitte beachten Sie, dass von Ihnen erwartet wird, bei Sicherheitsnachforschungen verantwortungsvoll vorzugehen. Bei Entdeckung eines öffentlich zugänglichen Passwortes oder Schlüssels sollten Sie beispielsweise den Schlüssel nicht verwenden, um das Ausmaß der Zugangsgewährung zu testen, oder Daten herunterladen oder exfiltrieren, um nachzuweisen, dass es sich um einen aktiven Schlüssel handelt. Bei Entdeckung einer erfolgreichen SQL-Injection sollten Sie die Schwachstelle nicht über jene Anfangsschritte hinaus ausnutzen, die Sie zur Verdeutlichung Ihres Proof-of-Concept benötigen.

Übermäßiges Exfiltrieren oder Herunterladen von Zscaler-Daten oder Zahlungsforderungen als Gegenleistung für die Vernichtung von Zscaler-Daten werden als außerhalb des Umfangs dieses Programms erachtet. Zscaler behält sich in diesem Fall alle Rechte, Rechtsmittel und Maßnahmen vor, um sich selbst und seine Benutzer zu schützen.

Vergütung für die Aufdeckung von Schwachstellen

Unser öffentliches Programm sieht derzeit außer Zscalers ewige Dankbarkeit keinerlei finanzielle Vergütung vor. Falls Sie für Bugcrowd nachforschen, können Sie Ihren Beitrag unten auch für Ihr Renommee geltend machen. Wenn Sie daran interessiert sind, uns auf engagiertere Weise als Sicherheitsforscher in unserem privaten Programm zu unterstützen, kontaktieren Sie bitte [email protected] mit Ihrer Anfrage und Begründung.

Es liegt im alleinigen Ermessen von Zscaler, im Fall von außergewöhnlichen Beiträgen Ausnahmen von dieser Richtlinie zu machen.

Reporting von Sicherheitsschwachstellen

Please use the form below to report security vulnerabilities to Zscaler through our Bugcrowd partner portal. Zscaler generally scores vulnerability based on the CVSS Score.