$ cat /etc/internalhost/responsible-disclosure

Responsible disclosure

Verzija 1.0 · Poslednja izmena: 2026-05-19 · machine-readable: /.well-known/security.txt

Pronašao si bug, ranjivost ili zloupotrebu? Reci nam. Cenimo responsible disclosure i odgovaramo u roku od 48 sati — obično brže.

Kako prijaviti

  • Email: [email protected] — preporučeno za pisane izveštaje sa reproducibilnim PoC-om.
  • Signal: link u footeru. Za real-time triažu ili kada se aktivno eksploatiše.
  • PGP: još uvek nije objavljen. Biće kada zaista počnemo da primamo osetljive izveštaje.

Molimo da u izveštaju navedeš barem: korake za reprodukciju, procenu uticaja, pogođeni URL/hostname, kontakt podatke za follow-up.

U opsegu

  • Produkcijska infrastruktura: *.internalhost.eu i sve što se rutira preko AS204729 ().
  • Korisnički portal: ovaj sajt (Paymenter).
  • Mejl infrastruktura: mail.internalhost.eu, mx2.internalhost.eu.
  • Naš javni source code na github.com/internalhost-eu.

Van opsega

  • Korisnički serveri (VPS / dedicated / kolokacija): oni pripadaju našim klijentima. Bez testiranja bez pisane dozvole vlasnika. Zadržavamo pravo da neovlašćeno istraživanje na korisničkim IP-jevima prijavimo policiji.
  • Denial of Service i volumetrijski napadi.
  • Spam, phishing, social engineering naših ljudi ili klijenata.
  • Teorijski problemi bez funkcionalnog Proof of Concepta.
  • Nalazi automatskih skenera bez manuelne verifikacije ("tvoj SSL nije A+ na Qualysu" nije ranjivost).
  • Upstream problemi u open-source projektima (Laravel, Filament, Paymenter, CloudPanel, itd.) — molimo prijavi ih direktno.

Na šta se obavezujemo

  • Odgovaramo u roku od 48 sati, obično u roku od 8 radnih sati.
  • Ozbiljno istražujemo i obaveštavamo te o napretku.
  • Ne preduzimamo pravne radnje protiv istraživača koji deluju u dobroj veri prateći ovu politiku.
  • Potvrđeni problemi dobijaju mesto u hall of fame-u (ako želiš) i lično Signal hvala od Nicka.
  • Zakrpljujemo ranjivosti pre javnog objavljivanja. Default disclosure window: 90 dana nakon potvrde, kraće kad se aktivno eksploatiše.

Šta ne nudimo

Bez bug-bounty programa sa novčanim nagradama. Mi smo mali tim. Ali dobijaš:

  • Javno priznanje na ovoj strani (ili anonimno, tvoj izbor).
  • InternalHost merch (kad ga budemo imali).
  • Razgovor o samom bugu, ne o prioritetima koje vodi menadžer.

Hall of fame

Istraživači koji su nam pomogli. Hvala.

Za sada prazno — budi prvi.