$ cat /etc/internalhost/responsible-disclosure

Atbildīga atklāšana

Versija 1.0 · Pēdējais atjauninājums: 2026-05-19 · mašīnlasāms: /.well-known/security.txt

Atradi kļūdu, ievainojamību vai ļaunprātīgu izmantošanu? Saki mums. Mēs novērtējam atbildīgu atklāšanu un atbildam 48 stundu laikā — parasti ātrāk.

Kā ziņot

  • E-pasts: [email protected] — priekšroka rakstiskiem ziņojumiem ar reproducējamu PoC.
  • Signal: saite kājenē. Reāllaika triāžai vai aktīvi ekspluatētiem gadījumiem.
  • PGP: vēl nav publicēts. Būs, tiklīdz tiešām saņemsim sensitīvus ziņojumus.

Lūdzu, savā ziņojumā ietver vismaz: reproducēšanas soļus, ietekmes novērtējumu, skarto URL/hostname, savu kontaktinformāciju turpinājumam.

Apjomā

  • Produkcijas infrastruktūra: *.internalhost.eu un viss, kas tiek maršrutēts caur AS204729 ().
  • Klientu portāls: šī mājaslapa (Paymenter).
  • Pasta infrastruktūra: mail.internalhost.eu, mx2.internalhost.eu.
  • Mūsu publiskais pirmkods github.com/internalhost-eu.

Ārpus apjoma

  • Klientu serveri (VPS / dedicated / kolokācija): tie pieder mūsu klientiem. Bez testēšanas bez īpašnieka rakstiskas atļaujas. Paturam tiesības ziņot policijai par neatļautu pētniecību uz klientu IP.
  • Denial of Service un volumetriski uzbrukumi.
  • Spam, pikšķerēšana, social engineering pret mūsu darbiniekiem vai klientiem.
  • Teorētiskas problēmas bez strādājoša Proof of Concept.
  • Automātisku skeneru atradumi bez manuālas verifikācijas ("tavs SSL nav A+ uz Qualys" nav ievainojamība).
  • Upstream problēmas open-source projektos (Laravel, Filament, Paymenter, CloudPanel utt.) — lūdzu, ziņo tās tieši.

Ko mēs apņemamies

  • Atbildam 48 stundu laikā, parasti 8 darba stundu laikā.
  • Nopietni izmeklējam un informējam par progresu.
  • Necelam tiesvedību pret pētniekiem, kas rīkojas godprātīgi un seko šai politikai.
  • Apstiprinātas problēmas saņem hall-of-fame pieminējumu (ja vēlies) un personisku Signal pateicību no Nick.
  • Mēs ielāpojam ievainojamības pirms publiskās atklāšanas. Noklusētais atklāšanas logs: 90 dienas pēc apstiprināšanas, īsāks, ja aktīvi ekspluatēts.

Ko mēs nepiedāvājam

Bez bug-bounty programmas ar naudas balvām. Esam maza komanda. Ko tu saņem:

  • Publiska atzinība šajā lapā (vai anonīma, kā tu vēlies).
  • InternalHost merch (tiklīdz būs).
  • Saruna par pašu kļūdu, nevis par menedžera vadītām prioritātēm.

Slavas zāle

Pētnieki, kas mums palīdzēja. Paldies.

Pagaidām tukša — esi pirmais.