Ausschlüsse # Exclusions

Owned by Rico Neitzel
Last updated: Jan 24, 2024
4 min read

 

Bitte achten Sie bei der Meldung von Schwachstellen darauf, sowohl das mögliche Angriffsszenario und die Ausnutzbarkeit (1) als auch die (2) Sicherheitsauswirkungen des Fehlers zu prüfen und anzugeben.

Die folgenden Probleme gelten als nicht relevant:

  • Schwachstellen in benutzerdefiniertem Code, der von Händlern entwickelt wurde.

  • Schwachstellen in Erweiterungen von Drittanbietern.

  • Schwachstellen, die das Deaktivieren von Sicherheitsfunktionen erfordern, die in Standardkonfigurationen aktiviert sind.

  • Unauthentifizierte/Abmelde-/Anmelde-CSRF.

  • Angriffe, die MITM oder physischen Zugriff auf ein Benutzergerät erfordern.

  • Verwendung bekanntermaßen anfälliger Bibliotheken ohne Nachweis der Ausnutzung, z. B. OpenSSL.

  • Cross-Site Scripting (XSS)-Schwachstellen in der Admin-Schnittstelle (URLs mit /admin/), bei denen der Code nur im Front-End-Kontext, aber nicht im Admin-Kontext ausgeführt wird. Händlern ist ausdrücklich gestattet, aktive Inhalte beim Gestalten ihrer Shops zu verwenden, daher ist dies eine erforderliche Funktion. Die Admin-XSS-Fähigkeit verleiht dem Administrator keine zusätzlichen Befugnisse, um Schaden anzurichten, über das hinaus, was andere administrative Funktionen bereits ermöglichen. XSS-Probleme, bei denen ein Administrator mit eingeschränktem Zugriff andere Administrationsseiten beeinflussen kann, sind gültig.

  • Schwachstellen, die umfangreiche oder umständliche Social-Engineering-Maßnahmen erfordern. Zum Beispiel, wenn ein Benutzer ein XSS in ein Eingabefeld eingibt und dann das Formular absendet, um ein nicht-persistentes XSS auszulösen.

  • Open Redirects/Weiterleitungen beim Verlassen der Seite.

  • Fehlende HTTP-Sicherheits-Header, insbesondere http-security Header.

  • Berichte von automatisierten Skripten oder Scannern (ohne Nachweis der Ausnutzung).

  • Kontenbesetzung, indem Benutzern die Registrierung mit bestimmten E-Mail-Adressen verwehrt wird.

  • Berichte über bewährte Verfahren ohne einen gültigen Exploit (z. B. Verwendung von "schwachen" TLS-Verschlüsselungen).

  • Clickjacking auf Seiten ohne sensible Aktionen.

  • Comma Separated Values (CSV) Injection ohne Demonstration einer Schwachstelle.

  • Content-Spoofing und Text-Injection-Probleme ohne Angriffsvektor/aufzeigen der Möglichkeit, HTML/CSS zu modifizieren.

  • Cross-Site Request Forgery (CSRF) auf unauthentifizierten Formularen oder Formularen ohne sensible Aktionen.

  • Denial-of-Service.

  • Offenlegung von Server- oder Softwareversionsnummern.

  • Hypothetische Subdomain-Übernahmen ohne stichhaltige Beweise.

  • Probleme, die auf unwahrscheinlichen Benutzerinteraktionen beruhen.

  • Fehlende Best-Practices in der Content-Security-Policy.

  • Fehlende Best-Practices in der SSL/TLS-Konfiguration.

  • Fehlende E-Mail-Best-Practices (ungültige, unvollständige oder fehlende SPF/DKIM/DMARC-Einträge usw.).

  • Fehlende HttpOnly- oder Secure-Flags bei Cookies.

  • Open Redirect - es sei denn, es kann ein zusätzlicher gravierender Sicherheitsmangel nachgewiesen werden.

  • Vermutete Sicherheitsschwächen ohne konkrete Beweise für die Möglichkeit, einen Benutzer zu kompromittieren (z. B. fehlende RateLimits, fehlende Header usw.).

  • Bereits bekannte anfällige Bibliotheken ohne einen funktionierenden Proof-of-Concept.

  • Öffentliche Zero-Day-Schwachstellen, für die seit weniger als 1 Monat einen offiziellen Patch gibt, werden fallweise bewertet.

  • RateLimit- oder Brute-Force-Probleme an Nicht-Authentifizierungsendpunkten.

  • Berichte, die das Verhalten von oder Schwachstellen in veralteten Browsern ausnutzen.

  • Spam-Berichte.

  • Self-XSS.

  • Sitzungsinvalidierung oder andere sicherheitsbezogene Verbesserungen im Zusammenhang mit dem Account-Management, wenn ein Anmeldecredential bereits bekannt ist (z. B. das Passwort-Reset-Link läuft nicht sofort ab, das Hinzufügen von MFA lässt andere Sitzungen nicht ablaufen usw.).

  • Social Engineering.

  • Softwareversionsoffenlegung/Banner-Identifikationsprobleme/Beschreibende Fehlermeldungen oder Header (z. B. Stack-Traces, Anwendungs- oder Serverfehler).

  • Tabnabbing (Phishing).

  • Unbestätigte Berichte von automatisierten Schwachstellenscannern.

  • Benutzer-/Händler-Enumeration.

  • Schwachstellen, die nur Benutzer von veralteten oder nicht gepatchten Browsern betreffen (weniger als 2 stabile Versionen hinter der neuesten veröffentlichten stabilen Version).

When reporting vulnerabilities, please consider (1) attack scenario/exploitability, and (2) security impact of the bug. The following issues are considered out of scope:

  • Vulnerabilities in custom code developed by merchants.

  • Vulnerabilities in third party extensions.

  • Vulnerabilities that require disabling security features enabled in default configurations.

  • Unauthenticated/logout/login CSRF.

  • Attacks requiring MITM or physical access to a user's device.

  • Use of known-vulnerable libraries without proof of exploitation, e.g. OpenSSL.

  • Cross-Site Scripting (XSS) bugs in the admin interface (URLs containing /admin/) where the code is only executed in front-end context but not in admin context. Merchants are explicitly allowed to use active content when designing their stores, so this is a required feature. The admin XSS capability does not give the administrator any additional powers to do harm beyond what other administrative features already allow. XSS issues where an administrator with limited access can impact other administration pages are valid.

  • Vulnerabilities that require extensive or obtuse social engineering. For example, a user typing an XSS into an input field, and then submitting the form to trigger a non-persistent XSS.

  • Open Redirects/Forwards when leaving the site.

  • Missing HTTP security headers, specifically http security headers.

  • Reports from automated scripts or scanners (without proof of exploitation).

  • Account squatting by preventing users from registering with certain email addresses

  • Best practice reports without a valid exploit (e.g., use of "weak" TLS ciphers)

  • Clickjacking on pages with no sensitive actions

  • Comma Separated Values (CSV) injection without demonstrating a vulnerability

  • Content spoofing and text injection issues without showing an attack vector/without being able to modify HTML/CSS

  • Cross-Site Request Forgery (CSRF) on unauthenticated forms or forms with no sensitive actions

  • Denial of service

  • Disclosure of server or software version numbers

  • Hypothetical subdomain takeovers without supporting evidence

  • Issues that are premised on unlikely user interaction

  • Missing best practices in Content Security Policy

  • Missing best practices in SSL/TLS configuration

  • Missing email best practices (invalid, incomplete or missing SPF/DKIM/DMARC records, etc.)

  • Missing HttpOnly or Secure flags on cookies

  • Open redirect - unless an additional security impact can be demonstrated

  • Perceived security weaknesses without concrete evidence of the ability to compromise a user (e.g., missing rate limits, missing headers, etc.)

  • Previously known vulnerable libraries without a working Proof-of-Concept

  • Public Zero-day vulnerabilities that have had an official patch for less than 1 month will be awarded on a case by case basis

  • Rate limiting or bruteforce issues on non-authentication endpoints

  • Reports exploiting the behavior of, or vulnerabilities in, outdated browsers

  • Reports of spam

  • Self-XSS

  • Session invalidation or other improved-security related to account management when a credential is already known (e.g., password reset link does not immediately expire, adding MFA does not expire other sessions, etc.)

  • Social engineering

  • Software version disclosure / Banner identification issues / Descriptive error messages or headers (e.g. stack traces, application or server errors)

  • Tabnabbing

  • Unconfirmed reports from automated vulnerability scanners

  • User/merchant enumeration

  • Vulnerabilities only affecting users of outdated or unpatched browsers (less than 2 stable versions behind the latest released stable version)