Европейски дедикирани сървъри с месечно фактуриране и без такса за настройка L3/L4 DDoS защита включена 24/7/365 поддръжка от реален екип
Looking Glass Контакт
Сигурност

Отговорно разкриване за услугите на DediStart.

Тази политика обяснява как да докладвате уязвимост, какво тестване е извън обхвата и каква информация помага на екипа да прегледа бързо доклад.

Докладвайте проблем със сигурността Свържете се с екипа
Обобщение на разкриването
Уникалните, добре документирани доклади могат да бъдат разгледани за дискреционна награда.

Целта е безопасно и отговорно разкриване. Всяко решение за награда остава незадължително, зависи от вътрешна валидация и е запазено за квалифицирани доклади.

Съдържание
Данни за докладване
  • Последна актуализация 17 Mar 2026
  • Имейл за докладване [email protected]
  • Модел на отговор Разглеждан за всеки случай
  • Модел на награда Дискреционна за квалифицирани доклади
Първо разкриване: DediStart приветства отговорното докладване на достоверни проблеми със сигурността. Изследователи, следващи тази политика, помагат на екипа да разследва безопасно и да защитава клиентите без ненужно прекъсване на услугата.

Преглед

Нито една производствена система не е перфектна и прегледът на сигурността от опитни изследователи може да бъде ценен, когато се извършва отговорно. Ако смятате, че сте открили уязвимост, засягаща продукт, услуга или уебсайт на DediStart, докладвайте я чрез публикувания по-долу канал.

Програмата е насочена към отговорно разкриване, а не към публично състезание. Квалифицираните доклади могат да бъдат разгледани за дискреционна награда след вътрешна валидация, преглед на сериозността и проверка за дубликати.

Очаквания за безопасно докладване

  • Докладвайте проблема възможно най-скоро след откриването му и предоставете достатъчно информация, за да може екипът да възпроизведе находката.
  • Дайте разумно количество време за разследване и отстраняване, преди да разкриете проблема публично или на трета страна.
  • Не използвайте имитация на самоличност, социално инженерство, фишинг или други измамни методи за контакт по време на тестване или докладване.
  • Използвайте само акаунти, създадени от вас, и не осъществявайте достъп, не модифицирайте и не унищожавайте данни, принадлежащи на други потребители.
  • Избягвайте методи на тестване, които нарушават наличността, влошават услугата за другите или създават ненужен оперативен риск.
  • Запазете доклада в тайна, докато проблемът се разглежда. Личната информация, предоставена с доклада, няма да бъде споделяна без съгласие, освен ако законът не изисква разкриване.
  • Ако следвате тези очаквания и другите условия в тази политика, Redcluster LTD не възнамерява да предприема правни действия във връзка с самия доклад.

Допустимост

Докладът може да бъде разгледан в рамките на тази програма, когато всички изброени условия са изпълнени:

  1. Вие сте първият, докладващ проблема.
  2. Спазвате очакванията за безопасно докладване, описани в тази политика.
  3. Не разкривате публично проблема, преди Redcluster LTD да е имал разумна възможност да го разследва и да отговори.
  4. Предоставяте ясно обяснение на въздействието заедно с воспроизводими стъпки или работещо доказателство за концепцията.
  5. Използвате само свои акаунти и не се опитвате да получите достъп до данни, които не ви принадлежат.
  6. Не се намирате и не сте обект на санкционни ограничения, които биха попречили на Redcluster LTD да участва в програмата.
Бележка за награда: Дори когато докладът е валиден, всяка награда остава дискреционна и се основава на вътрешна оценка на въздействието, уникалността, качеството на доклада и цялостната пригодност за програмата.

Находки извън обхвата

Категориите по-долу са като цяло извън обхвата и може да не получат индивидуален отговор, когато не демонстрират значимо, използваемо въздействие върху сигурността.

Социални и физически атаки

  • Социално инженерство, фишинг, имитация на самоличност или други опити за манипулиране на персонал или трети страни.
  • Всеки физически опит срещу имущество на компанията, инфраструктура или съоръжения на дейта центъра.

Наличност и злоупотребно тестване

  • Активности за отказ от услуга, brute force, стрес тестване или всяко тестване, което може да влоши наличността на услугата.
  • Доклади, генерирани само от автоматизирани инструменти или широко сканиране без демонстрирано въздействие, специфично за услугата.
  • Липсващи ограничения за скорост, докладвани без практически път за експлоатация.

Нискосигнални уеб находки

  • Проблеми само с CSRF, self-XSS, clickjacking, подправяне на съдържание на страници за грешки, homograph атаки, открити пренасочвания, наблюдения за слаб CAPTCHA и проблеми, свързани с кеша.

Заглавки, конфигурация и доклади само за излагане

  • Липсващи флагове за бисквитки, липсващи заглавки за сигурност без демонстрирано въздействие, липсващи noreferrer или noopener, наблюдения за DKIM/SPF/DMARC, излагане на версии, листване на директории, наблюдения за SSL, активиран OPTIONS или разкриване на IP на сървъра.

Крайни случаи на акаунти и локални устройства

  • Времеизтичане на сесии за удостоверяване, повторна употреба на 2FA TOTP, проблеми с политиката за пароли, детайли за верификация при промяна на имейл, наблюдения за потока на активиране на 2FA или проблеми, изискващи достъп до собственото устройство на потребителя.
  • Твърдения за изброяване на потребители, зависещи от brute force поведение, а не от практическа слабост на приложението.

Софтуер на трети страни и външни системи

  • Грешки в софтуер на трети страни, уязвимости в WordPress, уязвимости в браузъри или манипулиране на параметри на платежен процесор извън директната повърхност на приложението DediStart.
Бележка за преглед: Докладите, обхващащи само изключени категории, могат да бъдат затворени без подробен отговор, тъй като не отговарят на обхвата на програмата.

Какво да включите в доклада

Полезният доклад обикновено включва:

  • Засегнатото хостнейм, URL, услуга или потребителски поток.
  • Ясни стъпки за възпроизвеждане, включително необходимо състояние на акаунта, хронология или детайли за средата.
  • Наблюдаваното въздействие и последицата за сигурността, за която смятате, че произтича от проблема.
  • Доказателство за концепцията, скрийншоти, примери за заявки или логове, помагащи на екипа да валидира доклада без прекомерно тестване.
  • Вашите предпочитани данни за контакт в случай, че е необходимо допълнително уточнение.

Канал за докладване

Изпратете първоначалните находки до канала за злоупотреба и сигурност по-долу. Ако проблемът бъде приет за преглед, последващата комуникация може да продължи чрез тази нишка.

Имейл за докладване на проблеми със сигурността

[email protected]

Общ контакт за сайта

Използвайте страницата за контакт за въпроси, несвързани с оперативната сигурност.