Europejskie serwery dedykowane z miesięcznym rozliczeniem i bez opłaty instalacyjnej Ochrona L3/L4 DDoS wliczona Wsparcie specjalistów 24/7/365
Looking Glass Kontakt
Bezpieczeństwo

Odpowiedzialne ujawnianie dla usług DediStart.

Ta polityka wyjaśnia, jak zgłosić podatność, co jest poza zakresem testowania i jakie informacje pomagają zespołowi szybko przejrzeć zgłoszenie.

Zgłoś problem bezpieczeństwa Skontaktuj się z zespołem
Podsumowanie ujawnienia
Unikalne, dobrze udokumentowane raporty mogą być rozpatrzone pod kątem uznaniowej nagrody.

Celem jest bezpieczne i odpowiedzialne ujawnienie. Decyzja o nagrodzie pozostaje opcjonalna, zależy od wewnętrznej walidacji i jest zarezerwowana dla kwalifikujących się raportów.

Spis treści
Szczegóły zgłaszania
  • Ostatnia aktualizacja 17 Mar 2026
  • E-mail do zgłaszania [email protected]
  • Model odpowiedzi Rozpatrywane indywidualnie
  • Model nagrody Uznaniowy dla kwalifikujących się raportów
Najpierw ujawnienie: DediStart z zadowoleniem przyjmuje odpowiedzialne zgłaszanie wiarygodnych problemów bezpieczeństwa. Badacze przestrzegający tej polityki pomagają zespołowi bezpiecznie prowadzić dochodzenie i chronić klientów bez zbędnych zakłóceń usług.

Przegląd

Żaden system produkcyjny nie jest doskonały, a przegląd bezpieczeństwa przez doświadczonych badaczy może być wartościowy, gdy jest przeprowadzany odpowiedzialnie. Jeśli uważasz, że zidentyfikowałeś podatność wpływającą na produkt, usługę lub witrynę DediStart, zgłoś ją przez opublikowany poniżej kanał.

Program skupia się na odpowiedzialnym ujawnieniu, nie na publicznej rywalizacji. Kwalifikujące się raporty mogą być rozpatrzone pod kątem uznaniowej nagrody po wewnętrznej walidacji, ocenie ważności i sprawdzeniu duplikatów.

Oczekiwania dotyczące bezpiecznego zgłaszania

  • Zgłoś problem tak szybko, jak to rozsądnie możliwe po odkryciu i podaj wystarczająco dużo szczegółów, aby zespół mógł odtworzyć znalezisko.
  • Daj rozsądny czas na zbadanie i naprawę przed publicznym ujawnieniem problemu lub przekazaniem go stronie trzeciej.
  • Nie używaj podszywania się, socjotechniki, phishingu ani innych zwodniczych metod kontaktu podczas testowania lub zgłaszania.
  • Używaj tylko kont, które sam stworzyłeś i nie uzyskuj dostępu, nie modyfikuj ani nie niszcz danych należących do innych użytkowników.
  • Unikaj metod testowania, które zakłócają dostępność, degradują usługi dla innych lub tworzą niepotrzebne ryzyko operacyjne.
  • Zachowaj poufność raportu podczas jego rozpatrywania. Dane osobowe podane w raporcie nie będą udostępniane bez zgody, chyba że wymagają tego przepisy prawa.
  • Jeśli przestrzegasz tych oczekiwań i innych warunków tej polityki, Redcluster LTD nie zamierza podejmować działań prawnych w związku z samym raportem.

Kwalifikowalność

Raport może być rozpatrzony w ramach tego programu, gdy spełnione są wszystkie poniższe warunki:

  1. Jesteś pierwszym zgłaszającym ten problem.
  2. Przestrzegasz oczekiwań dotyczących bezpiecznego zgłaszania opisanych w tej polityce.
  3. Nie ujawniasz publicznie problemu, zanim Redcluster LTD miał rozsądną możliwość zbadania i odpowiedzi.
  4. Podajesz jasne wyjaśnienie wpływu wraz z odtwarzalnymi krokami lub działającym dowodem koncepcji.
  5. Używasz tylko własnych kont i nie próbujesz uzyskać dostępu do danych, które do Ciebie nie należą.
  6. Nie jesteś zlokalizowany w, ani nie podlegasz ograniczeniom sankcyjnym, które uniemożliwiałyby Redcluster LTD uczestnictwo w programie.
Uwaga o nagrodzie: Nawet gdy raport jest ważny, ewentualna nagroda pozostaje uznaniowa i opiera się na wewnętrznej ocenie wpływu, unikalności, jakości raportu i ogólnej przydatności dla programu.

Wyniki poza zakresem

Poniższe kategorie są generalnie poza zakresem i mogą nie otrzymać indywidualnej odpowiedzi, gdy nie wykazują znaczącego, możliwego do wykorzystania wpływu na bezpieczeństwo.

Ataki społecznościowe i fizyczne

  • Socjotechnika, phishing, podszywanie się lub inne próby manipulowania pracownikami lub stronami trzecimi.
  • Wszelkie fizyczne próby przeciwko mieniu firmy, infrastrukturze lub obiektom centrum danych.

Dostępność i nadużywające testowanie

  • Działania typu odmowa usługi, brute force, testy obciążeniowe lub jakiekolwiek testowanie, które mogłoby obniżyć dostępność usługi.
  • Raporty generowane wyłącznie przez zautomatyzowane narzędzia lub szerokie skanowanie bez wykazanego, specyficznego dla usługi wpływu.
  • Brakujące limity prędkości zgłaszane bez praktycznej ścieżki wykorzystania.

Niskosygnałowe wyniki webowe

  • Problemy z CSRF, self-XSS, wyłącznie clickjackingiem, spoofingiem treści na stronach błędów, atakami homograficznymi, otwartymi przekierowaniami, obserwacjami słabych CAPTCHA i problemami związanymi z pamięcią podręczną.

Nagłówki, konfiguracja i raporty o samej ekspozycji

  • Brakujące flagi cookie, brakujące nagłówki bezpieczeństwa bez wykazanego wpływu, brakujące noreferrer lub noopener, obserwacje DKIM/SPF/DMARC, ekspozycja wersji, listowanie katalogów, obserwacje SSL, włączone OPTIONS lub ujawnienie IP serwera.

Przypadki brzegowe konta i lokalnego urządzenia

  • Limity czasu sesji uwierzytelniania, ponowne użycie TOTP 2FA, obawy dotyczące polityki haseł, szczegóły weryfikacji zmiany e-mail, obserwacje przepływu aktywacji 2FA lub problemy wymagające dostępu do własnego urządzenia użytkownika.
  • Twierdzenia o enumeracji użytkowników zależne od zachowania brute-force zamiast praktycznej słabości aplikacji.

Oprogramowanie stron trzecich i systemy zewnętrzne

  • Błędy w oprogramowaniu stron trzecich, podatności WordPress, podatności przeglądarki lub manipulowanie parametrami procesora płatności poza bezpośrednią powierzchnią aplikacji DediStart.
Uwaga przeglądowa: Raporty obejmujące wyłącznie wykluczone kategorie mogą zostać zamknięte bez szczegółowej odpowiedzi, ponieważ nie mieszczą się w zakresie programu.

Co uwzględnić w raporcie

Użyteczny raport zazwyczaj zawiera:

  • Nazwę hosta, adres URL, usługę lub przepływ użytkownika, których dotyczy problem.
  • Jasne kroki odtworzenia, w tym wymagany stan konta, czas lub szczegóły środowiska.
  • Zaobserwowany wpływ i konsekwencję bezpieczeństwa, która Twoim zdaniem wynika z problemu.
  • Dowód koncepcji, zrzuty ekranu, próbki żądań lub logi, które pomogą zespołowi zweryfikować raport bez powtarzania nadmiernych testów.
  • Preferowane dane kontaktowe, na wypadek gdyby konieczne było dalsze wyjaśnienie.

Kanał zgłaszania

Wyślij wstępne ustalenia na poniższy kanał nadużyć i bezpieczeństwa. Jeśli problem zostanie przyjęty do rozpatrzenia, dalsza komunikacja może być kontynuowana w tym wątku.

E-mail do zgłaszania problemów bezpieczeństwa

[email protected]

Ogólny kontakt ze stroną

Użyj strony kontaktowej w przypadku niebezpieczeństwa pytań operacyjnych niezwiązanych z bezpieczeństwem.