Ethische hackers zijn bij ons welkom

Ethische hackers zijn bij ons welkom

Ethische hackers houden ons scherp

Hoewel we onze systemen zo veilig mogelijk maken, kan het zijn dat er zwakke plekken zijn. Soms komen ethische hackers die zwakheden tegen en dan melden ze dat bij ons. Deze ‘bug hunting community’ bedanken wij voor hun hulp.

Bekijk hieronder de wall of fame.

Met deze pagina bedanken wij de bug hunting community.

Wall of fame

  • Interne applicaties tijdelijk extern beschikbaar; gevonden door; @D3_D0X

    • XSS via uploaden; gevonden door Damian Ebeltjes (hackerone.com/ebeltjes)
    • Dit komt door een verouderde versie van swfupload. Het wordt gebruikt in Websitemaker Classic, een product dat we niet meer verkopen en niet lang meer zullen ondersteunen. Ook te te gebruiken in de oude te raadplegen en niet meer werkende webshop. Het risico is laag daar de omgeving waar te includen niets actief is, niet meer wordt gebruikt en niet meer werkt. Wel zullen dit op zeer korte termijn dichtzetten.
  • XSS-kwetsbaarheid; gevonden door: (elyesa.nl "elyesa.nl")

    • Tijdens onderhoudswerkzaamheden zijn bepaalde interne applicaties, extern beschikbaar geweest. Opgelost: de betreffende applicaties zijn goed beveiligd middels authenticatie en er hebben zich geen geoorloofde logins voorgedaan.
  • Onterecht gebruik HTTP Trace method; gevonden door: anoniem.

    • De kwetsbaarheid zat in het registratieformulier. Opgelost: het gat is gedicht.

Spelregels/Rules

Deze spelregels zijn bedoeld voor hackers. Omdat zij vooral in het Engels werken, zijn deze spelregels ook in het Engels.

Our slogan is 'Eenvoud, Eerlijk, Eigenwijs' (simplicity, honesty, headstrong). We don't have a formal application for you, just tell us what you found and we'll reward you.

To be short, when you are searching for a security issue or bug, you are not allowed to harm Mijndomein or their customers (e.g. retrieve sensitive data, impact performance, cause brand harm).

Longer version

Given the rules of three large, well respected companies: A='Github rules', B='Google rules', C='Facebook terms'. take the intersection of them {allowed_Mijndomein} = A ∩ B ∩ C. Or in plain English, it should not break the terms of those companies.

Scope

As a domain registrar, we own lots of domains. We would like to learn about it if any (i.e. '*') of our products is vulnerable.

Reporting

Please email us.

Optionally: include preferred dates for a job interview :P

Rewards

To be determined by us, but you'll never walk away empty handed!