Виділені сервери в Європі з щомісячною оплатою та без плати за налаштування Захист від DDoS L3/L4 включено Підтримка живих фахівців 24/7/365
Looking Glass Контакт
Безпека

Відповідальне розкриття вразливостей для послуг DediStart.

Ця політика пояснює, як повідомити про вразливість, що знаходиться поза рамками тестування, та яка інформація допомагає команді швидко розглянути звіт.

Повідомити про проблему безпеки Зв'язатися з командою
Підсумок розкриття
Унікальні, добре задокументовані звіти можуть бути розглянуті для отримання дискреційної винагороди.

Мета — безпечне та відповідальне розкриття. Будь-яке рішення про винагороду залишається необов'язковим, залежить від внутрішньої перевірки та зарезервовано для кваліфікованих звітів.

Зміст
Деталі звітування
  • Останнє оновлення 17 Mar 2026
  • Email для звітування [email protected]
  • Модель відповіді Розглядається в кожному конкретному випадку
  • Модель винагороди Дискреційна для кваліфікованих звітів
Спочатку розкриття: DediStart вітає відповідальне повідомлення про достовірні проблеми безпеки. Дослідники, які дотримуються цієї політики, допомагають команді безпечно розслідувати та захищати клієнтів без непотрібного порушення роботи послуги.

Огляд

Жодна виробнича система не є досконалою, і перевірка безпеки досвідченими дослідниками може бути цінною, якщо вона проводиться відповідально. Якщо ви вважаєте, що виявили вразливість, що впливає на продукт, послугу або веб-сайт DediStart, повідомте про неї через опублікований нижче канал.

Програма зосереджена на відповідальному розкритті, а не на публічній конкуренції. Кваліфіковані звіти можуть розглядатися для отримання дискреційної винагороди після внутрішньої перевірки, оцінки серйозності та перевірки на дублікати.

Очікування безпечного звітування

  • Повідомте про проблему якомога швидше після виявлення та надайте достатньо деталей для відтворення знахідки командою.
  • Надайте розумний час для розслідування та усунення проблеми перед публічним розкриттям або повідомленням третій стороні.
  • Не використовуйте методи видавання себе за іншу особу, соціальної інженерії, фішингу чи інші оманливі методи контакту під час тестування або звітування.
  • Використовуйте лише облікові записи, які ви самі створили, і не отримуйте доступ, не змінюйте та не знищуйте дані інших користувачів.
  • Уникайте методів тестування, що порушують доступність, погіршують обслуговування для інших або створюють непотрібний операційний ризик.
  • Зберігайте конфіденційність звіту, поки проблема перебуває на розгляді. Особиста інформація, надана зі звітом, не буде передана без згоди, якщо розкриття не вимагається законом.
  • Якщо ви дотримуєтесь цих очікувань та інших умов цієї політики, Redcluster LTD не має наміру вживати юридичних заходів у зв'язку з самим звітом.

Відповідність вимогам

Звіт може бути розглянутий для розгляду в рамках цієї програми, якщо виконуються всі наступні умови:

  1. Ви є першим репортером проблеми.
  2. Ви дотримуєтесь очікувань безпечного звітування, описаних у цій політиці.
  3. Ви не розкриваєте проблему публічно до того, як Redcluster LTD матиме розумну можливість розслідувати та відповісти.
  4. Ви надаєте чітке пояснення впливу разом з відтворюваними кроками або робочим доказом концепції.
  5. Ви використовуєте лише свої власні облікові записи та не намагаєтеся отримати доступ до даних, що вам не належать.
  6. Ви не знаходитесь та не підпадаєте під санкційні обмеження, що перешкодило б Redcluster LTD брати участь у програмі.
Примітка про винагороду: Навіть якщо звіт є дійсним, будь-яка винагорода залишається дискреційною та базується на внутрішній оцінці впливу, унікальності, якості звіту та загальної відповідності програмі.

Знахідки поза рамками

Категорії нижче, як правило, знаходяться поза рамками та можуть не отримати індивідуальної відповіді, якщо вони не демонструють значного, реального впливу на безпеку.

Соціальні та фізичні атаки

  • Соціальна інженерія, фішинг, видавання себе за іншу особу чи інші спроби маніпулювання персоналом або третіми сторонами.
  • Будь-яка фізична спроба проти майна компанії, інфраструктури або об'єктів центру обробки даних.

Доступність та образливе тестування

  • Активність на відмову в обслуговуванні, брутфорсинг, стрес-тестування або будь-яке тестування, що може погіршити доступність послуги.
  • Звіти, згенеровані лише автоматизованими інструментами або широким скануванням без демонстрованого впливу на конкретну послугу.
  • Відсутні обмеження частоти запитів, повідомлені без практичного шляху використання.

Знахідки веб-сайту з низьким сигналом

  • CSRF, Self-XSS, проблеми лише з clickjacking, підробка вмісту на сторінках помилок, гомографічні атаки, відкриті перенаправлення, слабкі спостереження CAPTCHA та проблеми, пов'язані з кешем.

Заголовки, конфігурація та звіти лише про розкриття

  • Відсутні прапорці файлів cookie, відсутні заголовки безпеки без демонстрованого впливу, відсутні noreferrer або noopener, спостереження DKIM/SPF/DMARC, розкриття версій, перелік каталогів, спостереження SSL, увімкнені OPTIONS або розкриття IP сервера.

Крайні випадки облікових записів та локальних пристроїв

  • Тайм-аути сесії автентифікації, повторне використання 2FA TOTP, проблеми з політикою паролів, деталі підтвердження зміни email, спостереження за потоком активації 2FA або проблеми, що вимагають доступу до власного пристрою користувача.
  • Заяви про перелік користувачів, що залежать від поведінки брутфорсингу замість практичної слабкості додатка.

Стороннє програмне забезпечення та зовнішні системи

  • Помилки в сторонньому програмному забезпеченні, вразливості WordPress, вразливості браузера або підробка параметрів платіжного процесора поза прямою поверхнею додатка DediStart.
Примітка про розгляд: Звіти, що охоплюють лише виключені категорії, можуть бути закриті без детальної відповіді, оскільки вони не відповідають обсягу програми.

Що включити у звіт

Корисний звіт зазвичай включає:

  • Уражений хост, URL, послугу або потік користувачів.
  • Чіткі кроки відтворення, включаючи необхідний стан облікового запису, терміни або деталі середовища.
  • Спостережуваний вплив та наслідки безпеки, що виникають з проблеми.
  • Доказ концепції, скріншоти, зразки запитів або журнали, які допомагають команді перевірити звіт без повторного надмірного тестування.
  • Ваші контактні дані для подальших пояснень.

Канал звітування

Надсилайте початкові знахідки на канал зловживань та безпеки нижче. Якщо проблема прийнята для розгляду, подальша комунікація може продовжуватися через цей thread.

Email для звітування про безпеку

[email protected]

Загальний контакт з сайтом

Використовуйте сторінку контактів для неопераційних питань, не пов'язаних з безпекою.