$ cat /etc/internalhost/responsible-disclosure

Responsible disclosure

Versiyon 1.0 · Son güncelleme: 2026-05-19 · machine-readable: /.well-known/security.txt

Bug, açık veya kötüye kullanım mı buldun? Bize söyle. Responsible disclosure'a değer veriyoruz ve 48 saat içinde cevap veriyoruz — genelde daha hızlı.

Nasıl raporlanır

  • Email: [email protected] — reproduce edilebilir PoC ile yazılı raporlar için tercih edilen.
  • Signal: footer'da link. Real-time triage veya aktif olarak exploit edilirken için.
  • PGP: henüz yayımlanmadı. Gerçekten hassas raporlar almaya başladığımızda olacak.

Raporuna en azından şunları eklemen rica olunur: reproduce adımları, etki tahmini, etkilenen URL/hostname, follow-up için iletişim bilgilerin.

Kapsam içinde

  • Üretim altyapısı: *.internalhost.eu ve AS204729 () üzerinden yönlendirilen her şey.
  • Müşteri portalı: bu site (Paymenter).
  • Mail altyapısı: mail.internalhost.eu, mx2.internalhost.eu.
  • Public source code'umuz: github.com/internalhost-eu.

Kapsam dışı

  • Müşteri sunucuları (VPS / dedicated / kolokasyon): bunlar müşterilerimize ait. Sahibin yazılı izni olmadan test yok. Müşteri IP'lerinde yetkisiz araştırmayı polise bildirme hakkımızı saklı tutuyoruz.
  • Denial of Service ve hacimsel saldırılar.
  • Spam, phishing, çalışanlarımız veya müşterilerimiz üzerinde social engineering.
  • Çalışan Proof of Concept olmadan teorik sorunlar.
  • Manuel doğrulama olmadan otomatik tarayıcı bulguları ("SSL'in Qualys'te A+ almıyor" bir açık değil).
  • Open-source projelerdeki upstream sorunlar (Laravel, Filament, Paymenter, CloudPanel, vb.) — lütfen onları doğrudan raporla.

Neye söz veriyoruz

  • 48 saat içinde cevap veriyoruz, genelde 8 iş saati içinde.
  • Ciddi şekilde araştırıyoruz ve seni ilerleme hakkında bilgilendiriyoruz.
  • Bu politikayı izleyen iyi niyetli araştırmacılara karşı yasal işlem yapmıyoruz.
  • Doğrulanan sorunlar hall-of-fame'de yer alır (istersen) ve Nick'ten kişisel Signal teşekkürü gelir.
  • Açıkları kamuya duyurmadan önce yamalıyoruz. Varsayılan disclosure penceresi: doğrulamadan sonra 90 gün, aktif exploit varsa daha kısa.

Ne sunmuyoruz

Nakit ödüllü bug-bounty programı yok. Küçük bir ekibiz. Ama şunları alıyorsun:

  • Bu sayfada kamuya açık kredi (ya da anonim, senin seçimin).
  • InternalHost merch (elimizde olunca).
  • Manager öncelikleri değil, bug'ın kendisi hakkında bir sohbet.

Hall of fame

Bize yardım eden araştırmacılar. Teşekkürler.

Şimdilik boş — ilk olan sen ol.