Einleitung

Squarespace verpflichtet sich, stets ein Höchstmaß an Sicherheit zu gewährleisten. Wir ermutigen Sicherheitsanalysten ausrücklich zu einer verantwortungsvollen und unverzüglichen Offenlegung von erkannten Sicherheitslücken. Sämtlichen seriösen Hinweisen gehen wir ausnahmslos nach und setzen uns mit der Quelle in Verbindung, sollten weitere Einzelheiten benötigt werden. Beachten Sie bitte unsere Richtlinien zur verantwortungsvollen Offenlegung von Sicherheitslücken und die unten erläuterten Rahmenkriterien, bevor Sie eine Sicherheitslücke melden.

Richtlinien zur verantwortungsvollen Offenlegung

Wir arbeiten mit einem privaten, von HackerOne verwalteten Bug-Bounty-Programm, in dem Sicherheitsprobleme gemeldet werden müssen. Bitte schicke uns deinen Benutzernamen bei HackerOne, damit wir dich in das Programm einladen können. Anschließend kannst du diesen Bericht erneut dort einreichen und ihn ordnungsgemäß prüfen lassen.

Rahmenkriterien

Relevant:

  • Remote Code Execution (RCE) auf Serverseite

  • Cross Site Scripting (XSS)

  • Cross Site Request Forgery (CSRF)

  • Server Side Request Forgery (SSRF)

  • SQL Injection (SQLi)

  • XML External Entity-Angriffe (XXE)

  • Access Control Issues (ACI)

  • Local File Disclosure (LFD)

Nicht relevant:

  • Alle Squarespace-Kundenwebsites oder sonstiger Content von Kunden, die sich nicht im Besitz des Nachforschenden befinden

  • Bereits bekannte Schwachstellen (die beispielsweise zu einem früheren Zeitpunkt von einem internen Team oder einem anderen Nachforschenden entdeckt wurden)

  • Denial of Service auf Netzwerkebene.

  • Denial of Service auf Anwendungsebene. Wenn die Beantwortung einer Anfrage zu lange dauert, melde es uns. Mache keinen DoS-Angriff auf das System.

  • Self-XSS

  • Doppelte Meldungen, die bereits bearbeitet werden.

  • Richtlinien zur Komplexität von Passwörtern.

  • Fehlende E-Mail-Überprüfung.

  • E-Mail- oder Benutzeraufzählung.

  • Clickjacking bzw. Lücken, die nur durch Clickjacking ausgenutzt werden können.

  • XSS-Probleme, die nur veraltete Browser betreffen.

  • Fehlende Sicherheitshinweise für Cookies.

  • Brute-Force-Angriffe auf Passwörter.

  • Reflected File Download (RFD).

  • Probleme, die den physischen Zugang zum Computer des Betroffenen erfordern.

  • Probleme, die privilegierten Zugang zum Netzwerk des Betroffenen erfordern

Workflow zur Meldung möglicher Sicherheitslücken

Wenn du Squarespace-Kunde bist, klicke bitte hier, um eine Support-Anfrage mit Sicherheitsbedenken jeglicher Art einzureichen.

Bist du ein Sicherheitsanalyst, gib bitte nachstehend deinen Benutzernamen von Hacker One ein: