Zie Cyber Safety

Responsible disclosure

Ondanks onze zorg voor de beveiliging kan het voorkomen dat er een zwakke plek in één van onze systemen zit. Als je een kwetsbaarheid hebt gevonden, horen we dit graag. Dit zodat we zo snel mogelijk de benodigde maatregelen kunnen treffen. Samen met jou werken wij graag aan continue beveiliging van onze systemen.

In de procedure Responsible disclosure wordt beschreven hoe het melden van een ontdekte kwetsbaarheid werkt. 

Het netwerk van de Universiteit Twente biedt ruimte aan studenten, verenigingen en startende bedrijven om hun website te hosten. Ondanks dat die sites zich dus op het netwerk van de universiteit bevinden, vallen ze niet onder de verantwoordelijkheid van de universiteit. Responsible disclosure meldingen over deze sites worden wel geaccepteerd. De meldingen worden doorgegeven aan de betreffende verantwoordelijke, maar daarna door de universiteit gesloten. Deze meldingen geven geen recht op vermelding in de Hall of Fame en er worden geen updates over de voortgang verstrekt.

Meld een responsible disclosure via het hiervoor bestemde mailadres: responsible-disclosure@utwente.nl.
Meldingen moeten duidelijk zijn en de benodigde stappen bevatten om de kwetsbaarheid te reproduceren. De stappen moeten in de tekst van het bericht zelf staan. Hoewel afbeeldingen, films en andere bestanden aan de verduidelijking kunnen bijdragen, worden ze routinematig niet geopend vanwege veiligheidsoverwegingen met betrekking tot ongevraagde bijlagen en links.

We bedanken iedereen, die een kwetsbaarheid op een verantwoorde wijze heeft gemeld, via onze Hall of Fame.

Out of scope

De Universiteit Twente accepteert geen triviale kwetsbaarheden of bugs die niet kunnen worden misbruikt. Hieronder staan voorbeelden van bekende en geaccepteerde kwetsbaarheden en risico's die buiten het bereik van het beleid voor verantwoordelijke openbaarmaking vallen:

  • HTTP 404-codes / pagina's of andere HTTP-codes / -pagina's en Content Spoofing / tekstinjectie op deze pagina's.
  • fingerprint version banner informatie op gemeenschappelijke / openbare diensten.
  • openbaarmaking van bekende publieke bestanden of mappen of niet-gevoelige informatie, (bijvoorbeeld robots.txt).
  • clickjacking en problemen die alleen misbruikt kunnen worden door clickjacking.
  • gebrek aan Secure / HTTPOnly vlaggen op niet-gevoelige cookies.
  • OPTIONS HTTP method ingeschakeld.
  • alles gerelateerd aan HTTP-beveiligingsheaders, bijvoorbeeld:
    • Strict-Transport-Security.
    • X-Frame-Options.
    • X-XSS-Protection.
    • X-Content-Type-Options.
    • Content-Security-beleid.
  • Problemen met SSL-configuraties:
    • SSL forward secrecy niet ingeschakeld.
    • zwakke / onveilige cipher suites.
  • SPF, DKIM, DMARC-problemen.
  • host header injectie. 
  • melding van oudere versies van software zonder proof of concept of exploit.
  • informatielekken in metadata.