Prosím odešlete hlášení o zranitelnosti prostřednictvím našeho webového formuláře nebo e-mailem na csirt@muni.cz s předmětem „Hlášení zranitelnosti: [Stručný popis]“.

Vaše hlášení by mělo obsahovat:

• Jasný popis zranitelnosti
• Kroky k reprodukci (mohou zahrnovat snímky obrazovky nebo použité nástroje)
• Možný dopad zranitelnosti
• Časové období, během kterého testování probíhalo
• Jakékoli podpůrné materiály (např. proof-of-concept kód apod.)

Po nezbytném ověření a za předpokladu, že hlášení zranitelnosti splňuje naši politiku, prosíme uveďte, zda si přejete být uvedeni v naší Bezpečnostní Síni slávy.

• Potvrzení a vyhodnocení: Hlášení bude posouzeno a tým jeho přijetí potvrdí nebo si vyžádá doplňující informace k ověření zranitelnosti. Všechna hlášení jsou zpracována do 2 pracovních dnů.
• Náprava: Ověřené zranitelnosti budou odstraněny. Snažíme se zranitelnosti opravit do jednoho týdne, ale složitější případy mohou trvat déle.
• Uznání: Pokud s tím budete souhlasit, váš přínos bude uveden v naší Bezpečnostní Síni slávy. 
  
  Nemůžeme nabídnout žádnou finanční odměnu, ale doufáme, že veřejné uznání vašeho úsilí bude dostatečnou motivací pomoci udělat internet o něco bezpečnějším místem.
  

Žádáme vás, abyste:

• Stahovali pouze data nezbytná k prokázání zranitelnosti
• Zdrželi se čtení, mazání nebo úprav dat třetích stran
• Nesdíleli zjištěný problém s ostatními, dokud nebude vyřešen
• Neprodleně smazali jakékoli osobní údaje, které byste mohli získat
• Nepoužívali sociální inženýrství, DDoS útoky, spam ani aplikace třetích stran

Neodměňujeme triviální zranitelnosti nebo chyby, které nelze zneužít, například:

• Teoretické bezpečnostní problémy bez realistického scénáře zneužití nebo relevantního útokového vektoru
• Problémy, jejichž zneužití by vyžadovalo složité interakce koncového uživatele
• Útoky vyžadující fyzický přístup k zařízení oběti, útok typu man-in-the-middle nebo kompromitovaný uživatelský účet
• Zveřejnění informací o verzi služby (version/banner disclosure) u běžných veřejných služeb
• HTTP kódy 404 nebo jiné HTTP stránky/kódy odlišné od 200
• Zveřejnění známých veřejných souborů (např. robots.txt)
• Clickjacking a problémy, které lze zneužít pouze prostřednictvím clickjackingu
• Chybějící atributy Secure nebo HttpOnly u cookies, které neobsahují citlivá data
• Problémy s HTTP bezpečnostními hlavičkami (např. Strict-Transport-Security, X-Frame-Options apod.)
• Problémy s konfigurací SSL/TLS (např. slabé šifrovací sady, chybějící forward secrecy)
• Problémy s SPF, DKIM nebo DMARC
• Host header injection
• Hlášení starších verzí softwaru bez funkčního exploitu
• Osobní údaje (např. jméno, e-mail, učo, telefonní číslo) na veřejných stránkách určených ke sdílení těchto informací

Přijímáme pouze hlášení, která spadají do naší působnosti a obsahují:

• všechny IPv4 adresy z rozsahu 147.251.0.0/16 
• všechny IPv6 adresy z rozsahu 2001:718:801::/48 
• doména muni.cz a všechny její subdomény