Drupal 8 website weergegeven op een tablet
Ongekende online mogelijkheden met Drupal 8!

Verdien tot € 15.000 met het vinden van beveiligingslekken in Drupal

Het Drupal Security Team maakt gebruik van financiering vanuit EU-FOSS om te belonen voor het  vinden van beveiligingslekken in Drupal 7 en 8 en de belangrijkste contrib modules. Aan dit premie-programma kan iedereen deelnemen. Het Drupal Security Team zal uitkeringen tussen de € 350 ($ 401) en € 15.000 ($ 17,100) per gevonden lek doen. Hoe serieuzer het lek, hoe meer het Drupal Security Team zal uitkeren.

Wie is verantwoordelijk voor het programma?

Het Drupal Security Team is verantwoordelijk voor de uitvoer van het programma dat gefinancierd wordt vanuit de EU-FOSSA op het intigriti reporting platform.

Welke software valt onder het programma??

Software gemaakt door andere partijen, zelfs de software die mee wordt geleverd met Drupal core of contrib projecten, zijn uitgesloten van dit programma.

Kan iedereen deelnemen?

Je kunt niet deelnemen aan dit programma als je in een van de volgende categorieën valt:

  • Als je een project (module, thema, etc.) onderhoudt of je draagt in grote mate bij aan dat project kan het zijn dat je niet wordt betaald voor het melden van een beveiligingslek in dit project. Dit geldt niet voor Drupal core.

  • Je kunt geen beveiligingslek aanmelden die jezelf hebt gecreëerd of hebt toegevoegd. Als je er toch een vindt, meldt deze dan altijd via het normale proces van het Drupal Security Team https://www.drupal.org/security-team/report-issue.

Om betaald te krijgen moet je een account hebben op Drupal.org. Leden van het Drupal Security Team die betrokken zijn bij de uitvoering van dit programma en/of bijbehorende fondsen komen niet in aanmerking voor uitbetaling van een premie in het kader van dit programma.

Het programma geldt alleen voor nieuwe beveiligingslekken die zijn aangemeld na 29-01-2019. Dubbele meldingen van reeds in behandeling zijnde beveiligingslekken komen in principe niet in aanmerking voor een premie.

Alle aangemelde issues moeten grondig onderzocht zijn. Kopieer en plak geen resultaten vanuit een scanner zonder deze eerst te beoordelen.

Hoe kan ik beginnen?

Installeer een lokale kopie van Drupal 8 of 7 vanuit Git  (https://www.drupal.org/project/drupal/git-instructions). Zoek beveiligingslekken zoals XSS, SQL Injection, CSRF, Acces Bypass etc.

Elke inzending over een publieke Drupal website (inclusief drupal.org) zal ervoor zorgen dat je account wordt geblokkeerd van verdere uitbetaling. Dit premie-programma heeft alleen betrekking op algemene Drupal open source code en niet op een specifieke installatie van Drupal.

Als je een beveiligingslek vindt, dien je:

  1. De stappen te noteren om het probleem te reproduceren.

  2. Je ervan te verzekeren dat je een account op drupal.org hebt aangemaakt. Stuur je gebruikersnaam mee met je inzending.

  3. Naar het intigriti platform te gaan en een nieuwe melding aan te maken.

  4. Te wachten met elke discussie of publicatie over je bevindingen. Leden van het intigriti team en het Drupal Security Team moeten je aanmelding beoordelen. Dit kan tot 3 weken duren, afhankelijk van de aanmelding en de bijbehorende complexiteit.

Als je een geldige melding hebt gedaan zullen we overgaan tot uitbetaling. Je mag het beveiligingslek nog steeds niet bekend maken totdat we een release publiceren die het probleem oplost.

Als je geen geldige melding hebt gedaan zullen we je eveneens op de hoogte stellen.

Waar moet de melding uit bestaan?

  • Je melding dient in het Engels te worden geschreven.

  • De melder moet gedetailleerde uitleg van het beveiligingslek geven en de te volgen stappen om het probleem te reproduceren.

  • De kwaliteit van de aanmelding zal worden meegewogen bij het waarderen ervan.

  • Het Drupal Security Team zal ook de ernst van het beveiligingslek meewegen.

  • Melders moeten ook t het Drupal Security Team aanwijzen als partij die de informatie zal vrijgeven.

  • Voeg je drupal.org gebruikersnaam toe.

  • Lekken moeten worden bevestigd door het Drupal Security Team voordat een uitkering wordt toegekend.

Tellen alle beveiligingslekken?

Je tests zullen moeten worden uitgevoerd binnen een lokale omgeving. Tests mogen nooit uitgevoerd worden op live Drupal-sites. Elke test op elke Drupal-site die niet door jou wordt gecontroleerd (lokaal of op je eigen server) wordt automatisch verworpen en je account wordt geblokkeerd voor verdere uitkeringen. Het Drupal Security Team heeft een pagina over hoe je begint met het lokaal installeren van Drupal.

Als een aanvaller geavanceerde permissies, zoals vermeld op  de pagina over het permissiebeleid van het Drupal Security Teamonze permissiebeleid pagina (bijvoorbeeld ‘Access site reports’, ‘Administer users’, ‘Translate interface’, etc.), nodig heeft om een beveiligingslek uit te buiten zal dit lek niet in aanmerking komen voor een uitkering. Contrib modules moeten in aanmerking komen voor een beveiligingsadvies volgens het beleid voor beveiligingsadvies. Er is een lijst van projecten die in aanmerking komen voor het programma beschikbaar.

Beveiligingslekken die zijn uitgesloten van het premie-programma

Hoewel sommige van de volgende problemen legitieme beveiligingslekken zouden kunnen zijn vallen deze buiten de scope van dit premie-programma.

  • Beschrijvende foutmeldingen (bv. Stack Traces, applicatie- of server-foutmeldingen).

  • HTTP 404 codes of andere HTTP codes anders dan 200.

  • Fingerprinting op gemeenschappelijke publieke services.

  • Onthulling van publieke bestanden of mappen (bv. robots.txt).

  • Clickjacking en problemen die alleen te misbruiken zijn via clickjacking.

  • CSRF op formulieren die beschikbaar zijn voor anonieme gebruikers (bv. het contactformulier).

  • Cross-Site Request Forgery bij uitloggen (logout CSRF).

  • ‘Auto aanvullen’ of ‘Sla wachtwoord op’ functionaliteit van de web browser.

  • Gebrek aan Secure/HTTP-Only flags op non-sensitive Cookies.

  • Gebrek aan Security Speedbump bij het verlaten van de site.

  • Opsomming van gebruikers.

  • Ontbrekende HTTP security headers.

  • Elke Denial of Service-aanval.

  • Andere uitzonderingen die niet zijn opgesomd.

  • We willen nog steeds graag meer weten over de problemen in deze categorieën en je krijgt wellicht nog steeds credits voor het melden ervan. Maar we zullen er geen uitkeringen voor doen.

Andere vragen?

Vragen ten aanzien van aanvullende bijzonderheden van dit programma kunnen in het Engels worden gemaild naar security-bounty@drupal.org.