Server dedicati europei con fatturazione mensile e senza tariffa di configurazione Protezione DDoS L3/L4 inclusa Supporto tecnico con operatori reali 24/7/365
Looking Glass Contatto
Sicurezza

Divulgazione responsabile per i servizi DediStart.

Questa politica spiega come segnalare una vulnerabilità, cosa è fuori portata nei test e quali informazioni aiutano il team a esaminare rapidamente un rapporto.

Segnala un problema di sicurezza Contatta il team
Sommario divulgazione
I rapporti unici e ben documentati possono essere esaminati per una ricompensa discrezionale.

L'obiettivo è una divulgazione sicura e responsabile. Qualsiasi decisione di ricompensa rimane opzionale, dipende dalla validazione interna ed è riservata ai rapporti qualificanti.

Sommario
Dettagli della segnalazione
  • Ultimo aggiornamento 17 Mar 2026
  • Email di segnalazione [email protected]
  • Modello di risposta Esaminato caso per caso
  • Modello di ricompensa Discrezionale per i rapporti qualificanti
Prima la divulgazione: DediStart accoglie favorevolmente la segnalazione responsabile di problemi di sicurezza credibili. I ricercatori che seguono questa politica aiutano il team a investigare in sicurezza e proteggere i clienti senza inutili interruzioni del servizio.

Panoramica

Nessun sistema di produzione è perfetto, e la revisione della sicurezza da parte di ricercatori esperti può essere preziosa quando viene effettuata responsabilmente. Se ritieni di aver identificato una vulnerabilità che colpisce un prodotto, servizio o sito web DediStart, segnalala tramite il canale pubblicato di seguito.

Il programma è incentrato sulla divulgazione responsabile, non sulla competizione pubblica. I rapporti qualificanti possono essere considerati per una ricompensa discrezionale dopo la validazione interna, la revisione della gravità e il controllo dei duplicati.

Aspettative di segnalazione sicura

  • Segnala il problema il prima possibile dopo la scoperta e fornisci dettagli sufficienti affinché il team possa riprodurre la scoperta.
  • Concedi un tempo ragionevole per l'investigazione e la remediation prima di divulgare il problema pubblicamente o a terzi.
  • Non usare impersonificazione, ingegneria sociale, phishing o altri metodi di contatto ingannevoli durante i test o le segnalazioni.
  • Usa solo account che hai creato tu stesso e non accedere, modificare o distruggere dati appartenenti ad altri utenti.
  • Evita metodi di test che interrompono la disponibilità, degradano il servizio per altri o creano rischi operativi inutili.
  • Mantieni il rapporto riservato mentre il problema è in esame. Le informazioni personali fornite con il rapporto non saranno condivise senza consenso, a meno che la divulgazione non sia richiesta dalla legge.
  • Se segui queste aspettative e le altre condizioni in questa politica, Redcluster LTD non intende intraprendere azioni legali in relazione al rapporto stesso.

Idoneità

Un rapporto può essere considerato per la revisione nell'ambito di questo programma quando tutte le seguenti condizioni sono vere:

  1. Sei il primo a segnalare il problema.
  2. Segui le aspettative di segnalazione sicura descritte in questa politica.
  3. Non divulghi pubblicamente il problema prima che Redcluster LTD abbia avuto una ragionevole opportunità di investigare e rispondere.
  4. Fornisci una chiara spiegazione dell'impatto insieme a passaggi riproducibili o una proof of concept funzionante.
  5. Utilizzi solo i tuoi account e non tenti di accedere a dati che non ti appartengono.
  6. Non sei situato in, o altrimenti soggetto a, restrizioni di sanzioni che impedirebbero a Redcluster LTD di partecipare al programma.
Nota sulla ricompensa: Anche quando un rapporto è valido, qualsiasi ricompensa rimane discrezionale e si basa sulla valutazione interna dell'impatto, dell'unicità, della qualità del rapporto e dell'idoneità complessiva al programma.

Risultati fuori portata

Le categorie seguenti sono generalmente fuori portata e potrebbero non ricevere una risposta individuale quando non dimostrano un impatto di sicurezza significativo e sfruttabile.

Attacchi sociali e fisici

  • Ingegneria sociale, phishing, impersonificazione o altri tentativi di manipolare il personale o terze parti.
  • Qualsiasi tentativo fisico contro la proprietà aziendale, l'infrastruttura o le strutture del data center.

Test di disponibilità e abusivi

  • Attività di denial-of-service, brute forcing, stress testing o qualsiasi test che potrebbe degradare la disponibilità del servizio.
  • Rapporti generati solo da strumenti automatizzati o scansioni ampie senza un impatto specifico del servizio dimostrato.
  • Limiti di frequenza mancanti segnalati senza un percorso di exploit pratico.

Risultati web a basso segnale

  • CSRF, self-XSS, problemi solo di clickjacking, spoofing di contenuti su pagine di errore, attacchi omografi, reindirizzamenti aperti, osservazioni CAPTCHA deboli e problemi legati alla cache.

Report solo su header, configurazione ed esposizione

  • Flag cookie mancanti, header di sicurezza mancanti senza impatto dimostrato, mancanza di noreferrer o noopener, osservazioni DKIM/SPF/DMARC, esposizione della versione, listing di directory, osservazioni SSL, OPTIONS abilitato o divulgazione dell'IP del server.

Casi limite di account e dispositivo locale

  • Timeout della sessione di autenticazione, riutilizzo TOTP 2FA, preoccupazioni relative alla politica delle password, dettagli di verifica del cambio email, osservazioni del flusso di attivazione 2FA o problemi che richiedono l'accesso al dispositivo dell'utente.
  • Affermazioni di enumerazione degli utenti che dipendono dal comportamento di brute force invece di una debolezza pratica dell'applicazione.

Software di terze parti e sistemi esterni

  • Bug nel software di terze parti, vulnerabilità WordPress, vulnerabilità del browser o manomissione dei parametri del processore di pagamento al di fuori della superficie dell'applicazione DediStart diretta.
Nota di revisione: I rapporti che coprono solo categorie escluse possono essere chiusi senza una risposta dettagliata perché non rientrano nell'ambito del programma.

Cosa includere in un rapporto

Un rapporto utile di solito include:

  • L'hostname, URL, servizio o flusso utente interessato.
  • Passaggi di riproduzione chiari, incluso lo stato dell'account richiesto, i dettagli di tempistica o ambiente.
  • L'impatto osservato e la conseguenza di sicurezza che ritieni derivi dal problema.
  • Una proof of concept, screenshot, campioni di richieste o log che aiutano il team a convalidare il rapporto senza ripetere test eccessivi.
  • I tuoi dati di contatto preferiti nel caso sia necessaria un chiarimento di follow-up.

Canale di segnalazione

Invia le scoperte iniziali al canale di abuso e sicurezza di seguito. Se il problema viene accettato per la revisione, la comunicazione di follow-up può continuare attraverso quel thread.

Email di segnalazione di sicurezza

[email protected]

Contatto generale del sito

Usa la pagina di contatto per domande operative non relative alla sicurezza.