Zaměřuji se především na webové aplikace větších a známějších společností.🏢 Dále si vybírám webové aplikace, které umožňují uložení platební karty.💳

Berte prosím na vědomí, že každá komplexnější webová aplikace má menší nebo větší bezpečnostní chybu.

Pokud je společnost upozorněna na nějakou zranitelnost, začne si důležitost bezpečnosti více uvědomovat a bude podnikat kroky k předcházení podobných chyb. Společnosti uvedené v tabulce neznamenají, že jsou zranitelné a nebezpečné k používání, ale spíše naopak. Věřím, že po oznamení zranitelností si již na bezpečnost dávají větší pozor a chybám podobného typu se snaží vyvarovat.

V tabulce níže jsou již opravené zranitelnosti. U dalších 3 společností se čeká na opravu.🛠️

WWW Společnost Zranitelnost Detaily
Při hledání a nahlašování zranitelností se řídím pravidly bug bounty programu, vulnerability disclosure programu nebo “etickým kodexem”, obvykle se jedná o tyto pravidla:
  • Není používán útok hrubou silou (brute-force attack)
  • Nejsou prováděny útoky skrze sociální inženýrství, phishing, man-in-the-middle nebo útoky vyžadující fyzický přístup
  • Nedochází k zatěžování systémů vedoucí k přerušení nebo zhoršení služeb
  • Nejsou pouštěny automatizované nástroje/scannery, které generují velké množství trafficu
  • Zranitelnosti nejsou zneužívány na ostatních uživatelích
  • Ke kontaktování společnosti dojde, pokud je nalezena reálně exploitovatelná zranitelnost s rizikem medium nebo vyšší (kromě bug bounty programu)
  • Zranitelnosti jsou zaslány na email uvedený v souboru security.txt
  • V případě neexistujícího souboru je zaslán informační email na zákaznickou podporu s žádosti o kompetentní email nebo přeposlání zprávy. Pokud nedojde k odpovědi do 3 pracovních dnů jsou nálezy zaslány CEO nebo CTO
  • Pokud není k dispozici PGP klíč a je nalezena kritická zranitelnost, dojde nejdříve k dohodě jakým způsobem bude soubor zašifrován
  • V případě, že kontaktuji společnost s nalezenou zranitelností a neexistuje bug bounty program, tak nepožaduji finanční nebo jinou odměnu (pokud mě chcete odměnit, je to vždy na dobrovolné bázi)
  • Po opravě dochází z mé strany k přetestování (prosím o upozornění pokud dojde k opravě)
  • V emailové komunikaci, související s nahlášením, nenabízím zpoplatněné služby
  • V tabulce jsou pouze zranitelnosti nalezené ve svém volném čase a mimo pracovní poměr