버그, 취약점, 오남용을 발견했어요? 알려주세요. 우리는 책임 있는 공개를 중요하게 여기고 48시간 안에 응답해요 — 보통 더 빨라요.
신고 방법
- 이메일: [email protected] — 재현 가능한 PoC가 있는 문서 보고에 적합해요.
- Signal: 푸터의 링크. 실시간 분류나 실제로 악용 중일 때.
- PGP: 아직 게시 안 함. 실제로 민감한 보고가 들어오기 시작하면 공개할 거예요.
최소한 다음을 보고에 포함해 주세요: 재현 절차, 영향도 추정, 영향받는 URL/호스트명, 후속 연락처.
범위 안
- 운영 인프라:
*.internalhost.eu및 AS204729로 라우팅되는 모든 것(). - 고객 포털: 이 웹사이트(Paymenter).
- 메일 인프라:
mail.internalhost.eu,mx2.internalhost.eu. - 공개된 우리 소스코드: github.com/internalhost-eu.
범위 밖
- 고객 서버(VPS / 전용 / 코로케이션): 그건 고객 소유예요. 소유자의 서면 허가 없이는 테스트 금지. 고객 IP에서의 무단 조사는 경찰에 신고할 권리를 보유해요.
- 서비스 거부 및 대규모 트래픽 공격.
- 스팸, 피싱, 우리 직원이나 고객 대상 사회공학.
- 작동하는 PoC 없는 이론적 문제.
- 수동 검증 없는 자동 스캐너 결과("Qualys에서 SSL이 A+ 안 나옴"은 취약점이 아니에요).
- 오픈소스 프로젝트(Laravel, Filament, Paymenter, CloudPanel 등)의 상위 이슈 — 그건 직접 보고해 주세요.
우리의 약속
- 48시간 안에 응답, 보통 영업시간 8시간 이내.
- 진지하게 조사하고 진행 상황을 알려드려요.
- 이 정책을 따라 선의로 행동하는 연구자에게 법적 조치를 하지 않아요.
- 확인된 이슈는 hall-of-fame에 언급(원할 경우)되고 Nick으로부터 개인적인 Signal 감사를 받아요.
- 공개 전에 패치해요. 기본 공개 기간: 확인 후 90일, 실제로 악용 중이면 더 짧음.
우리가 제공하지 않는 것
현금 보상이 있는 버그 바운티 프로그램은 없어요. 우리는 작은 팀이에요. 받을 수 있는 것:
- 이 페이지에서의 공개적 크레딧(원하지 않으면 익명).
- InternalHost 굿즈(만들면).
- 매니저 주도 우선순위가 아니라 버그 자체에 대한 대화.
Hall of fame
도와준 연구자들. 감사해요.
아직 비어 있어요 — 첫 번째 분이 되어 주세요.