发现了 bug、漏洞或滥用?告诉我们。我们重视负责任的披露,48 小时内回复——通常更快。
如何报告
- 邮件:[email protected]——更适合附带可复现 PoC 的书面报告。
- Signal:链接在页脚。适合实时分诊或正在被利用的情况。
- PGP:暂未发布。一旦真正收到敏感报告就会发布。
报告中请至少包含:复现步骤、影响估计、受影响的 URL/主机名、你的联系方式以便跟进。
范围内
- 生产基础设施:
*.internalhost.eu以及任何通过 AS204729 路由的内容()。 - 客户中心:本网站(Paymenter)。
- 邮件基础设施:
mail.internalhost.eu、mx2.internalhost.eu。 - 我们在 github.com/internalhost-eu 上的公开源代码。
范围外
- 客户服务器(VPS/独立/托管):那是客户的。未经所有者书面许可不得测试。我们保留向警方举报针对客户 IP 的未授权研究的权利。
- 拒绝服务和流量攻击。
- 垃圾邮件、钓鱼、针对我们员工或客户的社工。
- 没有可工作 PoC 的理论问题。
- 未经人工验证的自动扫描结果("你的 SSL 在 Qualys 上不是 A+"不是漏洞)。
- 开源项目的上游问题(Laravel、Filament、Paymenter、CloudPanel 等)——请直接向上游报告。
我们的承诺
- 48 小时内回复,通常在 8 个工作小时内。
- 认真调查并随时告知进展。
- 对依本政策善意行事的研究者不采取法律行动。
- 确认的问题可获名人堂提及(如果你想要)以及 Nick 通过 Signal 的个人致谢。
- 公开披露前修复漏洞。默认披露窗口:确认后 90 天,正在被利用时更短。
我们不提供的
没有现金奖励的漏洞赏金项目。我们是个小团队。你能得到的是:
- 本页面的公开致谢(或者匿名,看你)。
- InternalHost 周边(等我们有的话)。
- 关于 bug 本身的对话,不是关于经理驱动的优先级。
名人堂
帮过我们的研究者。谢谢。
暂时为空——做第一个。