Cookies verwalten
Wir verwenden Cookies, um Ihnen ein besseres Nutzererlebnis zu bieten und die Wirksamkeit unserer Werbung zu messen. Weitere Informationen finden Sie in der Cookie Policy.
Cookie-Einstellungen
Cookies, die für das ordnungsgemäße Funktionieren der Website erforderlich sind, sind immer aktiviert.
Andere Cookies können konfiguriert werden.
Unbedingt erforderliche Cookies
Immer aktiviert
Immer aktiv. Diese Cookies sind unerlässlich, damit Sie die Website nutzen und ihre Funktionen verwenden können. Sie können nicht deaktiviert werden. Sie werden als Reaktion auf Ihre Anfragen gesetzt, beispielsweise wenn Sie Ihre Datenschutzeinstellungen festlegen, sich anmelden oder Formulare ausfüllen.
Analytik-Cookies
Deaktiviert
Diese Cookies sammeln Informationen, die uns helfen, zu verstehen, wie unsere Websites genutzt werden, wie effektiv unsere Marketingkampagnen sind und wie wir unsere Websites auf Ihre Bedürfnisse zuschneiden können. Eine Liste der von uns verwendeten Analyse-Cookies finden Sie hier.
Werbe-Cookies
Deaktiviert
Diese Cookies liefern Werbeunternehmen Informationen über Ihre Online-Aktivitäten, damit diese Ihnen relevantere Online-Werbung anzeigen oder die Häufigkeit der Anzeigeneinblendung begrenzen können. Diese Informationen können an andere Werbeunternehmen weitergegeben werden.
Funktionale Cookies
Deaktiviert
Diese Cookies speichern die Einstellungen der Website-Besucher, Nutzer und ihrer Vertreter, um die Leistung der Werbekampagne zu messen.
Ok
ANMELDEN
TILDA PUBLISHING

Tilda-Bug-Bounty-Programm

~
1. Überblick
Wir arbeiten aktiv mit Sicherheitsforschern zusammen und bieten Belohnungen für die Entdeckung von Sicherheitslücken in der Tilda-Plattform, einschließlich ihrer integrierten Tools und zugehörigen Dienste.

Nachstehend finden Sie die vollständigen Programmregeln sowie Anweisungen zur Meldung einer Sicherheitslücke.
2. Allgemeine Informationen: Programmumfang
2.1. Geltungsbereich
Dieses Programm deckt Sicherheitslücken in Diensten, Tools und Webanwendungen ab, die Tilda gehören.
Sicherheitstests sind zulässig, sofern sie wie folgt durchgeführt werden:
  • Verwende ausschließlich deine eigenen Tilda-Konten.
  • Im Rahmen der im jeweiligen Tarifplan enthaltenen Funktionen.
  • ohne die Produktionssysteme zu stören.
Um erweiterte Funktionen zu testen, können Sie ein Konto mit einer aktiven 14-tägigen Testversion des Personal-Tarifs verwenden.
2.2. Nicht im Geltungsbereich
Benutzereigene Websites sowie Sicherheitslücken in Diensten und Integrationen von Drittanbietern – wie beispielsweise Zahlungsdienstleister, Lieferdienste, Datenerfassungsdienste usw. – fallen nicht in den Geltungsbereich, selbst wenn sie mit Tilda verbunden sind.
Eine Ausnahme kann gelten, wenn die Sicherheitslücke auf Seiten von Tilda liegt – zum Beispiel bei fehlerhafter Datenübertragung, dem Verlust sensibler Informationen in Anfragen, Mängeln in der Integrationslogik usw.
Die folgenden Berichtskategorien fallen ebenfalls nicht in den Geltungsbereich:
  • Self-XSS und jegliche XSS-Angriffe im Editor.
  • DoS-/DDoS-Angriffe.
  • Brute-Force-Angriffe, bei denen keine Anzeichen dafür vorliegen, dass Schutzmechanismen umgangen wurden.
  • CSV-Injektion.
  • Schwachstellen in der Passwortrichtlinie, ohne dass die Authentifizierung umgangen werden kann.
  • CSRF betrifft Aktionen mit geringen Auswirkungen, wie beispielsweise das Abmelden.
  • Clickjacking ohne nachgewiesene Auswirkungen auf die Sicherheit.
  • Fehlende Sicherheitskontrollen oder Header ohne nachweisbare praktische Auswirkungen.
  • Fehlerhafte SSL/TLS-Konfigurationen.
  • Automatisierte Scanner-Ergebnisse ohne reproduzierbaren Proof of Concept.
  • Offenlegung nicht sensibler Informationen, wie beispielsweise Software-Versionsnummern.
  • Sicherheitslücken, die ausschließlich auf der Verwendung veralteter Softwareversionen beruhen.
  • Social Engineering.
  • Meldungen, die keine tatsächlichen Auswirkungen auf die Sicherheit nachweisen.
3. Prioritätskategorien für Sicherheitslücken
Wir messen Schwachstellen, die die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten beeinträchtigen, höchste Priorität bei, darunter:
  • Ausführung von Code auf dem Server.
  • SQL-Injection.
  • Umgehung der Authentifizierung/Autorisierung.
  • Fehlerhafte Zugriffskontrolle.
  • Server-Side Request Forgery, die auf interne Dienste abzielt.
  • Cross-Site-Scripting mit Auswirkungen auf andere Benutzer.
  • Cross-Site Request Forgery, die sensible Aktionen betrifft.
  • Uneingeschränkter Datei-Upload.
  • Offenlegung vertraulicher Informationen.
  • Kritische Fehler in der Geschäftslogik, die zu unbefugtem Zugriff oder einer Ausweitung von Berechtigungen führen.
4. Programmregeln und Einschränkungen
Im Rahmen dieses Programms dürfen Sie nicht:
  • Handlungen vornehmen, die den Betrieb der Plattform stören oder sich nachteilig auf die Nutzer der Plattform oder andere Dritte auswirken könnten.
  • Sich unbefugten Zugriff auf Benutzerkonten verschaffen.
  • Führen Sie eine automatisierte Massenauswertung durch.
  • Wende Social Engineering an.
  • Gehen Sie über das zur Bestätigung der Sicherheitslücke erforderliche Mindestmaß an Ausnutzung hinaus.
  • Veröffentlichen Sie keinen Proof-of-Concept, bevor die Sicherheitslücke behoben wurde und Sie die Genehmigung des Tilda-Sicherheitsteams erhalten haben.
  • Details zu Sicherheitslücken ohne vorherige Genehmigung von Tilda öffentlich bekannt zu geben.
  • Geben Sie alle personenbezogenen Daten an, die Sie im Rahmen Ihrer Forschung erhoben haben.
5. So reichen Sie einen Sicherheitsbericht ein
Wenn Sie eine Sicherheitslücke entdeckt haben, senden Sie uns bitte eine E-Mail an: bugbounty@tilda.cc
Betreff der E-Mail:
Bug-Bounty-Meldung – [Kurze Beschreibung der Sicherheitslücke]
Ihr Bericht sollte Folgendes enthalten:
  • Der betroffene Dienst oder das betroffene Tool.
  • Die Art der Sicherheitslücke.
  • Eine Beschreibung der möglichen Auswirkungen.
  • Schritt-für-Schritt-Anleitung zur Nachbildung.
  • Gegebenenfalls ein Proof of Concept.
  • Empfehlungen zur Sanierung, sofern vorhanden.
Meldungen ohne reproduzierbare Schritte können abgelehnt werden.
Die durchschnittliche Bearbeitungszeit beträgt 1 Werktag.
6. Einstufung von Sicherheitslücken und Prämien
Die Einstufung und der Schweregrad von Sicherheitslücken werden auf der Grundlage der Bugcrowd Vulnerability Rating Taxonomy (VRT) ermittelt.
Bei der abschließenden Bewertung werden außerdem folgende Faktoren berücksichtigt:
  • Die tatsächlichen Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Daten.
  • Das realistische Anwendungsszenario.
  • Die Komplexität und Reproduzierbarkeit des Angriffs.
  • Das Ausmaß der möglichen Auswirkungen.
  • Das Vorliegen mildernder Umstände oder Einschränkungen.
Die Prämien richten sich nach der zugewiesenen Einstufung und liegen zwischen 25 und 3000 US-Dollar, entsprechend den Auszahlungen auf führenden Bug-Bounty-Plattformen wie HackerOne und Bugcrowd.
Prämien werden nur für die erste korrekte und gültige Meldung einer bestimmten Sicherheitslücke gezahlt.
Die endgültige Entscheidung über die Einstufung der Sicherheitslücke und die Höhe der Prämie trifft das Tilda-Sicherheitsteam auf der Grundlage der festgelegten Kriterien.
7. Kontaktdaten
Sicherheitslücken-Meldungen:
bugbounty@tilda.cc
Allgemeine Anfragen:
team@tilda.cc
Bedingungen der Dienstleistung
Hergestellt am
Tilda