وجدت bug أو ثغرة أو إساءة استخدام؟ أخبرنا. نقدّر الإفصاح المسؤول ونرد خلال 48 ساعة — عادة أسرع.
كيف تُبلّغ
- بريد إلكتروني: [email protected] — مفضّل للتقارير المكتوبة بـ PoC قابل للتكرار.
- Signal: الرابط في الفوتر. للمعالجة الفورية أو عند الاستغلال النشط.
- PGP: غير منشور بعد. سيُنشر عندما نتلقى فعلاً تقارير حساسة.
يرجى تضمين الحد الأدنى في تقريرك: خطوات إعادة الإنتاج، تقدير التأثير، الـ URL/hostname المتأثر، معلومات تواصلك للمتابعة.
ضمن النطاق
- البنية التحتية للإنتاج:
*.internalhost.euوأي شيء يُمرَّر عبر AS204729 (، ). - بوابة العملاء: هذا الموقع (Paymenter).
- بنية البريد:
mail.internalhost.eu،mx2.internalhost.eu. - الكود المصدري العام لدينا على github.com/internalhost-eu.
خارج النطاق
- خوادم العملاء (VPS / مخصصة / إيواء): تلك ملك للعملاء. لا اختبار بدون إذن مكتوب من المالك. نحتفظ بحق التبليغ عن البحث غير المصرّح به على IPs العملاء للشرطة.
- هجمات Denial of Service والهجمات الحجمية.
- سبام، تصيّد، هندسة اجتماعية لموظفينا أو عملائنا.
- قضايا نظرية بلا Proof of Concept عملي.
- نتائج الماسحات الآلية بدون تحقق يدوي ("SSL لا يحصل A+ على Qualys" ليست ثغرة).
- قضايا upstream في مشاريع المصدر المفتوح (Laravel، Filament، Paymenter، CloudPanel، إلخ.) — يرجى التبليغ عنها مباشرة.
ما نلتزم به
- نرد خلال 48 ساعة، عادة خلال 8 ساعات عمل.
- نحقّق بجدية ونُبقيك على اطلاع بالتقدم.
- لا نتخذ إجراءات قانونية ضد الباحثين الذين يعملون بحسن نية ويتبعون هذه السياسة.
- القضايا المؤكدة تحصل على ذكر في hall of fame (إن رغبت) وشكر شخصي عبر Signal من Nick.
- نُرقّع الثغرات قبل الإفصاح العام. نافذة الإفصاح الافتراضية: 90 يوماً بعد التأكيد، أقصر عند الاستغلال النشط.
ما لا نقدّمه
لا برنامج bug-bounty بمكافآت نقدية. نحن فريق صغير. ما تحصل عليه:
- تنويه عام على هذه الصفحة (أو مجهول، حسب رغبتك).
- منتجات InternalHost (متى توفرت).
- محادثة عن الـ bug نفسه، لا عن أولويات الإدارة.
Hall of fame
الباحثون الذين ساعدونا. شكراً.
فارغ حالياً — كن الأول.