Verantwortliche Offenlegung

Coret Genealogie legt großen Wert auf die Sicherheit seiner Systeme. Trotz der Sorge um die Sicherheit kann es vorkommen, dass es eine Schwachstelle gibt. Wenn Sie eine Schwachstelle in einem unserer Systeme gefunden haben, würde Coret Genealogie dies gerne hören, damit wir so schnell wie möglich Maßnahmen ergreifen können. Coret Genealogie arbeitet gerne mit Ihnen zusammen, um unsere Systeme besser zu schützen.

Inhaltsverzeichnis

• Was verlangt Coret Genealogie von Ihnen?
• Welche Handlungen müssen vermieden werden?
• Was können Sie von Coret Genealogie erwarten?
• Welche Sicherheitslücken wurden gemeldet?
• Fragen zur verantwortungsvollen Offenlegung?

Was verlangt Coret Genealogie von Ihnen?

• Senden Sie Ihre Ergebnisse per E-Mail an responsibledisclosure@coret.org.
• Stellen Sie ausreichende Informationen zur Verfügung, um das Problem so schnell wie möglich zu beheben. Normalerweise reichen die IP-Adresse oder URL des betroffenen Systems und eine Beschreibung der Sicherheitsanfälligkeit aus, komplexere Sicherheitsanfälligkeiten erfordern jedoch möglicherweise mehr.
• Hinterlassen Sie die Kontaktdaten, damit Coret Genealogie Sie kontaktieren kann, um gemeinsam ein sicheres Ergebnis zu erzielen. Hinterlassen Sie mindestens eine E-Mail-Adresse oder Telefonnummer.
• Erstellen Sie den Bericht so bald wie möglich, nachdem Sie die Sicherheitsanfälligkeit entdeckt haben.
• Teilen Sie die Informationen zu dem Sicherheitsproblem erst mit anderen, wenn es behoben ist.
• Verantwortlich für den Umgang mit dem Wissen über das Sicherheitsproblem, indem keine Aktionen ausgeführt werden, die über das zur Veranschaulichung des Sicherheitsproblems erforderliche Maß hinausgehen.

Welche Handlungen müssen vermieden werden?

• Malware platzieren.
• Kopieren, Ändern oder Löschen von Daten in einem System (eine Alternative besteht darin, eine Verzeichnisliste eines Systems zu erstellen).
• Änderungen am System vornehmen.
• Wiederholter Zugriff auf das System oder Freigabe des Zugriffs für andere.
• Nutzung des sogenannten "Brute Forcing" des Zugangs zu Systemen.
• Verwenden Sie Denial-of-Service oder Social Engineering.

Was können Sie von Coret Genealogie erwarten?

• Wenn Sie alle oben genannten Bedingungen erfüllen, wenn Sie eine von Ihnen in einem Coret Genealogie-System entdeckte Sicherheitsanfälligkeit melden, werden wir diesem Bericht keine rechtlichen Konsequenzen hinzufügen.
• Wir behandeln einen Bericht vertraulich und geben personenbezogene Daten nicht ohne Zustimmung des Berichterstatters an Dritte weiter, es sei denn, dies ist gesetzlich oder aufgrund einer gerichtlichen Entscheidung vorgeschrieben.
• Wir senden Ihnen innerhalb von 2 Werktagen eine Eingangsbestätigung.
• Wir antworten auf einen Bericht innerhalb von 5 Arbeitstagen mit der Bewertung des Berichts und einem voraussichtlichen Termin für eine Lösung.
• Wir werden Sie über den Fortschritt bei der Lösung des Problems auf dem Laufenden halten.
• Coret Genealogie löst das Sicherheitsproblem, das Sie in einem System entdeckt haben, so schnell wie möglich, jedoch nicht später als innerhalb von 30 Tagen. Im gegenseitigen Einvernehmen kann festgelegt werden, ob und wie das Problem veröffentlicht wird, nachdem es behoben wurde.
• In gegenseitigem Einvernehmen können wir auf Wunsch Ihren Namen als Entdecker der gemeldeten Sicherheitsanfälligkeit angeben.

Welche Sicherheitslücken wurden gemeldet? - Hall of fame

Date	Name	Vulnerability type	Effected part
2017-03-01	Kenny Hietbrink	Cross-site scripting (XSS)	Open Archives searchresultspage
2017-03-02	Kenny Hietbrink	Cross-site scripting (XSS)	Cross-search API van Coret Genealogie
2017-03-02	Elyesa in der Maur	Cross-site scripting (XSS)	Genealogie Online helppages
2017-04-03	@secuninja	Cross-site scripting (XSS)	Open Archives homepage
2017-04-24	Huy Kha @HuyKha_10	Cross-site scripting (XSS)	Stamboom Gids searchresultpage
2017-04-25	Robert Wiggins	Cross-site scripting (XSS)	Stamboom Gids searchresultpage
2017-04-28	Damian Ebelties	Cross-site scripting (XSS)	Genealogie Online familynamespage
2017-04-28	Damian Ebelties	Cross-site scripting (XSS)	OAI tool
2017-04-28	Pethuraj	Cross-site scripting (XSS)	Stamboom Forum profilepage, searchpictures and familynamespage
2017-04-28	Pethuraj	Cross-site scripting (XSS)	Genealogie Online new publicationspage
2017-04-29	Raju Patil	Cross Site Request Forgery (CRSF)	Open Archive password change page
2017-04-29	Raju Patil	Cross-site scripting (XSS)	Open Archives searchresultspage
2017-04-29	Raju Patil	SQL Injectie	Cross-search API
2017-05-05	Sajibe Kanti	Content Spoofing	Coret Genealogie 404-page
2017-06-30	Damian Ebelties	Cross-site scripting (XSS)	OAI tool
2017-08-27	Raju Patil	Cross Site Scripting (XSS)	A2A validation service
2018-02-01	Ali Hassan Ghori	Cross-site scripting (XSS)	Coret Genealogie
2018-07-13	lacroute serge	Reflected XSS	Open Archives viewer
2018-11-03	Chirag Gupta	Readable REST API	Wordpress blog
2018-11-09	lacroute serge	Cross-site scripting (XSS)	Stamboom Forum recent subjects page
2019-05-06	Saima Usman	Cross-site scripting (XSS)	Open Archives search (placename)
2019-05-10	Kerem Tamcı	Cross-site scripting (XSS)	Open Archives overview2 page
2020-01-18	Yogeshwaran Chandrasekaran	Improper Data Validation & Broken Authentiction	Genealogie Online password reset
2020-01-27	4N_CURZE	Cross-site scripting (XSS)	Genealogie Online language selector
2020-03-31	4N_CURZE	Cross-site scripting (XSS)	Genealogie Online unescaped url parameter
2020-06-01	Script_Kiddie	Cross-site scripting (XSS)	Open Archives language setting page
2021-06-26	gaurang maheta	Security Misconfiguration	Genealogie Online showing composer.json/lock

Vielen Dank an die oben genannten Sicherheitsexperten für ihre Berichte!

Fragen zur verantwortungsvollen Offenlegung?

Wenn Sie Fragen dazu haben, wie Coret Genealogie mit der verantwortungsvollen Offenlegung umgeht, wenden Sie sich bitte an responsibledisclosure@coret.org. Wir helfen Ihnen gerne weiter.