Programm zur Aufdeckung von Schwachstellen

Zuletzt aktualisiert: 15. August 2018

Einführung

Die Informationen auf dieser Seite richten sich an Personen, die Sicherheitsnachforschungen anstellen und daran interessiert sind, das Sicherheitsteam von Zscaler verantwortungsvoll auf Sicherheitsschwachstellen hinzuweisen.

Sicherheit erfordert Transformation, und der beste Weg zur Verbesserung eines Sicherheitsprogramms ist der direkte Austausch mit unseren Kunden und Benutzern. Dieser Austausch und der feste Glaube an die Zusammenarbeit mit der Sicherheits-Community sind der Grundstein für die Aufrechterhaltung einer sicheren Umgebung für all unsere Benutzer. Wenn Sie glauben, in einem Produkt, einem Service oder einer Anwendung von Zscaler eine Sicherheitsschwachstelle entdeckt zu haben, raten wir Ihnen dringend, uns so schnell wie möglich zu informieren. Wir ersuchen Sie, solche Schwachstellenmeldungen vertraulich zu behandeln und nicht zu veröffentlichen, bevor wir das Problem gelöst haben.

Im Gegenzug werden wir uns bemühen, die Berichte zeitnah zu überprüfen und zu beantworten. Unser Partner beim Aufspüren von Programmfehlern, Bugcrowd, wird sich zunächst mit Ihnen in Verbindung setzen, um Ihren Beitrag zu sichten. Zscaler wird gegen Sie keine gerichtlichen oder strafrechtlichen Schritte für die Aufdeckung von Sicherheitsproblemen einleiten, solange Sie (1) die hier aufgeführten Richtlinien befolgen: (2) sich an die Standard Disclosure Terms von Bugcrowd halten; (3) weder Sicherheit noch Datenschutz unserer Benutzer gefährden; und (4) nach Behebung der Probleme keinerlei vertrauliche Daten vernichten, die Sie im Zuge Ihrer Nachforschungen bei Zscaler erfasst haben.

Vielen Dank für Ihre Hilfe!

Umfang und Regeln des Schwachstellenprogramms

Innerhalb des Umfangs

Wir sind hauptsächlich an Informationen über die folgenden Kategorien von Schwachstellen interessiert:

  • Offenlegung sensibler Daten – Speicherung von Cross Site Scripting (XSS), SQL-Injektion (SQLi) usw.
  • Probleme mit Authentifizierung und Session-Management
  • Remotecodeausführung
  • Besonders clevere Schwachstellen oder Einzelfälle, die nicht in bestimmte Kategorien fallen – Zeigen Sie uns Ihre phantasievolle Detektivarbeit!
Außerhalb des Umfangs

Die folgenden Schwachstellenkategorien fallen nicht in den Geltungsbereich unseres Aufdeckungsprogramms und sollten deshalb bei Nachforschungen vermieden werden.

  • Denial of Service (DoS) – entweder durch Netzwerk-Traffic, Erschöpfung der Ressourcen oder andere Gründe
  • User-Aufzählung
  • Probleme, die nur bei alten Browsern/alten Plugins/überholten Software-Browsern auftreten
  • Phishing oder Social Engineering von Zscaler-Mitarbeitern, Benutzern oder Kunden
  • Systeme oder Probleme im Zusammenhang mit der von Zscaler verwendeten Technologie von Drittanbietern
  • Offenlegung von bekannten öffentlichen Dateien und anderen Informationen, die kein wesentliches Risiko darstellen (z. B.: robots.txt)
  • Angriffe oder Schwachstellen, die auf einen kompromittierten Computer eines Benutzers zurückzuführen sind

Bitte beachten Sie, dass von Ihnen erwartet wird, bei Sicherheitsnachforschungen verantwortungsvoll vorzugehen. Bei Entdeckung eines öffentlich zugänglichen Passwortes oder Schlüssels sollten Sie beispielsweise den Schlüssel nicht verwenden, um das Ausmaß der Zugangsgewährung zu testen, oder Daten herunterladen oder exfiltrieren, um nachzuweisen, dass es sich um einen aktiven Schlüssel handelt. Bei Entdeckung einer erfolgreichen SQL-Injection sollten Sie die Schwachstelle nicht über jene Anfangsschritte hinaus ausnutzen, die Sie zur Verdeutlichung Ihres Proof-of-Concept benötigen.

Übermäßiges Exfiltrieren oder Herunterladen von Zscaler-Daten oder Zahlungsforderungen als Gegenleistung für die Vernichtung von Zscaler-Daten werden als außerhalb des Umfangs dieses Programms erachtet. Zscaler behält sich in diesem Fall alle Rechte, Rechtsmittel und Maßnahmen vor, um sich selbst und seine Benutzer zu schützen.

Vergütung für die Aufdeckung von Schwachstellen

Unser öffentliches Programm sieht derzeit außer Zscalers ewige Dankbarkeit keinerlei finanzielle Vergütung vor. Falls Sie für Bugcrowd nachforschen, können Sie Ihren Beitrag unten auch für Ihr Renommee geltend machen. Wenn Sie daran interessiert sind, uns auf engagiertere Weise als Sicherheitsforscher in unserem privaten Programm zu unterstützen, kontaktieren Sie bitte [email protected] mit Ihrer Anfrage und Begründung.

Es liegt im alleinigen Ermessen von Zscaler, im Fall von außergewöhnlichen Beiträgen Ausnahmen von dieser Richtlinie zu machen.

Reporting von Sicherheitsschwachstellen

Bitte verwenden Sie dieses Formular, um Zscaler über das Portal unseres Partners Bugcrowd Sicherheitsschwachstellen zu melden. Zscaler bewertet Schwachstellen im Allgemeinen gemäß der Vulnerability Rating Taxonomy (VRT) von Bugcrowd.