מצאת באג, פגיעות או abuse? ספר לנו. אנחנו מעריכים גילוי אחראי ומגיבים תוך 48 שעות — בדרך כלל מהר יותר.
איך לדווח
- אימייל: [email protected] — מועדף לדוחות כתובים עם PoC הניתן לשחזור.
- Signal: קישור ב-footer. ל-triage בזמן אמת או כשמנוצל פעיל.
- PGP: עוד לא פורסם. יפורסם כשבאמת נקבל דוחות רגישים.
אנא כלול בדוח שלך לפחות: שלבים לשחזור, הערכת השפעה, URL/hostname מושפע, פרטי קשר שלך למעקב.
בתוך ההיקף
- תשתית ייצור:
*.internalhost.euוכל דבר שמנותב דרך AS204729 (). - פורטל לקוחות: האתר הזה (Paymenter).
- תשתית מייל:
mail.internalhost.eu,mx2.internalhost.eu. - הקוד פתוח הציבורי שלנו ב-github.com/internalhost-eu.
מחוץ להיקף
- שרתי לקוחות (VPS / dedicated / colocation): אלה שייכים ללקוחות שלנו. אין בדיקה ללא רשות כתובה מהבעלים. אנחנו שומרים את הזכות לדווח על מחקר לא מורשה על IP של לקוחות למשטרה.
- Denial of Service ומתקפות נפח.
- ספאם, פישינג, הנדסה חברתית של הצוות או הלקוחות שלנו.
- בעיות תאורטיות ללא Proof of Concept עובד.
- ממצאי סורק אוטומטי ללא אימות ידני ("ה-SSL שלך לא קיבל A+ ב-Qualys" זו לא פגיעות).
- בעיות upstream בפרויקטים open-source (Laravel, Filament, Paymenter, CloudPanel וכו') — אנא דווח עליהן ישירות.
למה אנחנו מתחייבים
- אנחנו מגיבים תוך 48 שעות, בדרך כלל תוך 8 שעות עבודה.
- אנחנו חוקרים ברצינות ומעדכנים אותך על ההתקדמות.
- אנחנו לא נוקטים בפעולה משפטית נגד חוקרים שפועלים בתום לב ולפי מדיניות זו.
- בעיות מאומתות מקבלות אזכור ב-hall of fame (אם תרצה) ותודה אישית ב-Signal מ-Nick.
- אנחנו מתקנים פגיעויות לפני גילוי ציבורי. חלון גילוי ברירת מחדל: 90 ימים לאחר אימות, קצר יותר כשמנוצל פעיל.
מה אנחנו לא מציעים
אין תוכנית bug-bounty עם פרסי מזומן. אנחנו צוות קטן. מה שאתה כן מקבל:
- קרדיט ציבורי בדף הזה (או אנונימי, אתה בוחר).
- מרצ'נדייז של InternalHost (כשיהיה לנו).
- שיחה על הבאג עצמו, לא על עדיפויות בעקבות מנהל.
Hall of fame
חוקרים שעזרו לנו. תודה.
ריק כרגע — היה הראשון.