Responsible Disclosure Policy

Sollten Sie Schwachstellen in IT-Systemen und Webanwendungen der Universität Stuttgart entdecken, bitten wir Sie, uns darüber zu informieren. Wir werden dann umgehend Maßnahmen ergreifen, um die gefundene Schwachstelle so schnell wie möglich zu beheben.

Bitte beachten Sie folgendes:

Informieren Sie sich vor Ihrer Meldung im Abschnitt "Nicht-qualifizierte Schwachstellen" über die Fälle, die nicht in den Geltungsbereich unserer Responsible Disclosure Policy fallen und in diesem Rahmen nicht bearbeitet werden.
Senden Sie Ihre Ergebnisse zu dem Sicherheitsproblem per E-Mail an mail@cert.uni-stuttgart.de.
Nutzen Sie die Schwachstelle oder das Problem nicht aus, indem Sie beispielsweise Daten herunterladen, hochladen, verändern, löschen oder Code ausführen.
Geben Sie Informationen über die Schwachstelle nicht an dritte Personen oder Institutionen weiter.
Führen Sie keine Angriffe auf unsere IT-Systeme durch, die Infrastruktur kompromittieren, verändern oder manipulieren.
Führen Sie keine Social-Engineering (z.B. Phishing), (Distributed) Denial of Service, Spam oder andere Angriffe auf die Universität Stuttgart durch.
Stellen Sie uns hinreichend Informationen zur Verfügung, damit wir das Problem reproduzieren und analysieren können. Stellen Sie auch eine Kontaktmöglichkeit für Rückfragen bereit.
Wir können leider keine finanziellen Belohnungen (Bug Bounty) anbieten.

In der Regel ist die Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle hinreichend. Komplexe Schwachstellen können aber weitere Erklärungen und Dokumentation erfordern.

Was wir versprechen:

Sie erhalten von uns eine automatische Rückmeldung zum Eingang Ihrer Meldung.
Sollte es sich um eine qualifizierte Meldung handeln, erhalten Sie darüber hinaus eine Rückmeldung auf Ihren Bericht.
Wir werden Ihren Bericht vertraulich behandeln und Ihre personenbezogenen Daten nicht ohne Ihre Zustimmung an Dritte weitergeben.
Eingehende Meldungen werden nach ihrem Inhalt beurteilt und nicht nach Alter, Ausbildung, Geschlecht, Herkunft oder gesellschaftlichem Rang der meldenden Person.
Falls gewünscht, können wir für qualifizierte Schwachstellen ein Dankesschreiben ausstellen.

Qualifizierte Meldung von Schwachstellen

Schwachstellen, deren Ausnutzung zu einer Gefährdung der Systeme der Universität Stuttgart führt und bei denen der Eintritt eines Schadens wahrscheinlich ist, werden als qualifizierte Schwachstellen bezeichnet.

Typische Beispiele sind Cross Site Scripting (XSS), Remote Code Execution (RCE) oder der unbefugter Zugriff auf Eigenschaften oder Konten.

Qualifizierte Meldungen zeichnen sich darüber hinaus dadurch aus, dass

wir die Schwachstelle verifizieren können,
dies die erste Meldung zu dieser Schwachstelle ist,
die Meldung ein gutes und realistisches Angriffsszenario für die Schwachstelle enthält und
wir den Fund als reelles Risiko für Systeme oder Nutzer:innen der Universität bewerten.

Im Fall einer qualifizierten Meldung erhalten Sie immer eine Rückmeldung zu Ihrem Bericht.

Nicht-qualifizierte Schwachstellen

Die folgenden Schwachstellen und IT-Sicherheitslücken fallen nicht in den Geltungsbereich der Responsible Disclosure Policy der Universität Stuttgart:

Fehlkonfigurationen, die das Potential eines Information Leaks haben, aber zum Zeitpunkt der Meldung keine relevanten Daten enthalten.
Formulare mit fehlenden CSRF-Token.
Fehlende sicherheitsrelevante Kopfzeilen (Security Header), die nicht direkt zu einer ausnutzbaren Schwachstelle führen.
Die Verwendung einer als anfällig oder öffentlich als gebrochen bekannten Bibliothek (ohne aktiven Nachweis der Ausnutzbarkeit).
Social Engineering gegen Personen oder Einrichtungen der Universität Stuttgart.
(Distributed) Denial of Service Angriffe.
Bots, SPAM oder Massenregistrierung.
Verletzungen von Best Practices (z.B. certificate pinning, security header).
Verwendung von anfälligen und „schwachen“ Cipher-Suites / Chiffren.

Diese Aufzählung ist nicht abschließend. Wenn Sie uns eine nicht-qualifizierte Schwachstellen melden, erhalten Sie außer der automatisierten Eingangsbestätigung keine weitere Rückmeldung.

Responsible Disclosure (English Version)

If you discover vulnerabilities in the IT systems and web applications of the University of Stuttgart, please inform us. We will then take immediate action to remedy the vulnerability as quickly as possible.

Please note the following:

Before reporting, please refer to the section “Non-qualified vulnerabilities” for information on cases that do not fall within the scope of our Responsible Disclosure Policy and will not be processed within this framework.
Send your findings regarding the security issue by email to mail@cert.uni-stuttgart.de.
Do not exploit the vulnerability or issue by, for example, downloading, uploading, modifying, or deleting data or executing code.
Do not disclose information about the vulnerability to third parties or institutions.
Do not carry out attacks on our IT systems that compromise, alter, or manipulate the infrastructure.
Do not carry out social engineering (e.g., phishing), (distributed) denial of service, spam, or other attacks on the University of Stuttgart.
Provide us with sufficient information so that we can reproduce and analyze the problem. Please also provide a contact option for any queries.
Unfortunately, we cannot offer any financial rewards (bug bounty).

As a rule, the address or URL of the affected system and a description of the vulnerability are sufficient. However, complex vulnerabilities may require further explanation and documentation.

What we promise:

You will receive automatic confirmation from us that we have received your report.
If your report is deemed valid, you will also receive feedback on your report.
We will treat your report confidentially and will not disclose your personal data to third parties without your consent.
Reports received will be assessed based on their content and not on the age, education, gender, origin, or social status of the person reporting.
If desired, we can issue a letter of thanks for qualified vulnerabilities.

Qualified reporting of vulnerabilities

Vulnerabilities whose exploitation could compromise the systems of the University of Stuttgart and where damage is likely to occur are referred to as qualified vulnerabilities.

Typical examples include cross-site scripting (XSS), remote code execution (RCE), or unauthorized access to properties or accounts.

Qualified reports are also characterized by the fact that

we can verify the vulnerability,
this is the first report of this vulnerability,
the report contains a good and realistic attack scenario for the vulnerability, and
we assess the finding as a real risk to the university's systems or users.

In the case of a qualified report, you will always receive feedback on your report.

Non-qualified vulnerabilities

The following vulnerabilities and IT security gaps do not fall within the scope of the University of Stuttgart's Responsible Disclosure Policy:

Misconfigurations that have the potential to lead to information leaks but do not contain any relevant data at the time of reporting.
Forms with missing CSRF tokens.
Missing security headers that do not directly lead to an exploitable vulnerability.
The use of a library known to be vulnerable or publicly known to be broken (without active proof of exploitability).
Social engineering against individuals or institutions at the University of Stuttgart.
(Distributed) denial-of-service attacks.
Bots, SPAM, or mass registration.
Violations of best practices (e.g., certificate pinning, security header).
Use of vulnerable and “weak” cipher suites/ciphers.

This list is not exhaustive. If you report a non-qualified vulnerability to us, you will not receive any further feedback other than the automated confirmation of receipt.