Europäische dedizierte Server mit monatlicher Abrechnung und ohne Einrichtungsgebühr L3/L4-DDoS-Schutz inklusive 24/7/365 Support durch echte Techniker
Looking Glass Kontakt
Sicherheit

Verantwortungsvolle Offenlegung für DediStart-Dienste.

Diese Richtlinie erklärt, wie eine Schwachstelle gemeldet wird, welche Tests außerhalb des Anwendungsbereichs liegen und welche Informationen dem Team helfen, einen Bericht schnell zu prüfen.

Sicherheitsproblem melden Team kontaktieren
Offenlegungszusammenfassung
Einzigartige, gut dokumentierte Berichte können für eine Ermessensbelohnung geprüft werden.

Ziel ist eine sichere und verantwortungsvolle Offenlegung. Jede Belohnungsentscheidung bleibt optional, hängt von der internen Validierung ab und ist für qualifizierende Berichte vorbehalten.

Inhalte
Meldedetails
  • Zuletzt aktualisiert 17 Mar 2026
  • Melde-E-Mail [email protected]
  • Antwortmodell Fallweise geprüft
  • Belohnungsmodell Ermessensbasis für qualifizierende Berichte
Offenlegung zuerst: DediStart begrüßt die verantwortungsvolle Meldung glaubwürdiger Sicherheitsprobleme. Forscher, die diese Richtlinie einhalten, helfen dem Team, sicher zu ermitteln und Kunden ohne unnötige Serviceunterbrechung zu schützen.

Übersicht

Kein Produktionssystem ist perfekt, und Sicherheitsüberprüfungen durch erfahrene Forscher können wertvoll sein, wenn sie verantwortungsvoll durchgeführt werden. Wenn Sie der Meinung sind, eine Schwachstelle in einem DediStart-Produkt, -Dienst oder einer Website identifiziert zu haben, melden Sie diese über den unten angegebenen Kanal.

Das Programm ist auf verantwortungsvolle Offenlegung ausgerichtet, nicht auf öffentlichen Wettbewerb. Qualifizierende Berichte können nach interner Validierung, Schweregradbewertung und Duplikatprüfung für eine Ermessensbelohnung in Betracht gezogen werden.

Erwartungen an sichere Berichterstattung

  • Melden Sie das Problem so bald wie möglich nach der Entdeckung und geben Sie genügend Details an, damit das Team den Befund reproduzieren kann.
  • Lassen Sie eine angemessene Zeit für Untersuchung und Behebung, bevor das Problem öffentlich oder gegenüber Dritten offengelegt wird.
  • Verwenden Sie bei Tests oder Meldungen keine Identitätsdiebstahl-, Social-Engineering-, Phishing- oder andere täuschende Kontaktmethoden.
  • Verwenden Sie nur von Ihnen selbst erstellte Konten und greifen Sie nicht auf Daten anderer Benutzer zu, ändern oder vernichten Sie diese nicht.
  • Vermeiden Sie Testmethoden, die die Verfügbarkeit beeinträchtigen, den Service für andere verschlechtern oder unnötige betriebliche Risiken schaffen.
  • Halten Sie den Bericht vertraulich, solange das Problem geprüft wird. Mit dem Bericht bereitgestellte personenbezogene Daten werden ohne Zustimmung nicht weitergegeben, es sei denn, die Offenlegung ist gesetzlich vorgeschrieben.
  • Wenn Sie diese Erwartungen und die anderen Bedingungen dieser Richtlinie einhalten, beabsichtigt Redcluster LTD keine rechtlichen Schritte in Bezug auf den Bericht selbst.

Berechtigung

Ein Bericht kann zur Prüfung im Rahmen dieses Programms in Betracht gezogen werden, wenn alle folgenden Punkte zutreffen:

  1. Sie sind der erste Melder des Problems.
  2. Sie halten die in dieser Richtlinie beschriebenen Erwartungen an sichere Berichterstattung ein.
  3. Sie legen das Problem nicht öffentlich offen, bevor Redcluster LTD eine angemessene Möglichkeit zur Untersuchung und Reaktion hatte.
  4. Sie geben eine klare Erklärung der Auswirkungen zusammen mit reproduzierbaren Schritten oder einem funktionierenden Proof of Concept an.
  5. Sie verwenden nur Ihre eigenen Konten und versuchen nicht, auf Daten zuzugreifen, die Ihnen nicht gehören.
  6. Sie befinden sich nicht in Sanktionsregionen oder unterliegen anderweitig Sanktionsbeschränkungen, die Redcluster LTD an der Programmteilnahme hindern würden.
Hinweis zur Belohnung: Auch wenn ein Bericht gültig ist, bleibt jede Belohnung nach Ermessen und basiert auf der internen Bewertung von Auswirkungen, Einzigartigkeit, Berichtsqualität und allgemeiner Programmeignung.

Nicht im Umfang enthaltene Befunde

Die folgenden Kategorien liegen im Allgemeinen außerhalb des Umfangs und erhalten möglicherweise keine individuelle Antwort, wenn sie keine bedeutende, ausnutzbare Sicherheitsauswirkung nachweisen.

Soziale und physische Angriffe

  • Social Engineering, Phishing, Identitätsdiebstahl oder andere Versuche, Mitarbeiter oder Dritte zu manipulieren.
  • Jeder physische Versuch gegen Unternehmenseigentum, Infrastruktur oder Rechenzentrumsanlagen.

Verfügbarkeit und missbräuchliche Tests

  • Denial-of-Service-Aktivitäten, Brute-Force-Angriffe, Stresstests oder Tests, die die Serviceverfügbarkeit beeinträchtigen könnten.
  • Berichte, die nur durch automatisierte Tools oder Breitband-Scans ohne nachgewiesene, dienstspezifische Auswirkungen erstellt wurden.
  • Fehlende Rate-Limits, die ohne praktischen Exploit-Pfad gemeldet werden.

Webbefunde mit geringem Signal

  • CSRF, Self-XSS, reine Clickjacking-Probleme, Content-Spoofing auf Fehlerseiten, Homograph-Angriffe, offene Weiterleitungen, schwache CAPTCHA-Beobachtungen und cache-bezogene Probleme.

Header-, Konfigurations- und reine Expositionsberichte

  • Fehlende Cookie-Flags, fehlende Sicherheits-Header ohne nachgewiesene Auswirkungen, fehlendes noreferrer oder noopener, DKIM/SPF/DMARC-Beobachtungen, Versionsexposition, Directory-Listing, SSL-Beobachtungen, aktiviertes OPTIONS, oder Server-IP-Offenlegung.

Konto- und lokale Gerät-Grenzfälle

  • Authentifizierungssitzungs-Timeouts, 2FA-TOTP-Wiederverwendung, Passwortrichtlinienbedenken, E-Mail-Änderungsverifizierungsdetails, 2FA-Aktivierungsflow-Beobachtungen oder Probleme, die Zugriff auf das eigene Gerät des Benutzers erfordern.
  • Benutzer-Enumerierungsansprüche, die auf Brute-Force-Verhalten statt einer praktischen Anwendungsschwäche basieren.

Drittanbieter-Software und externe Systeme

  • Fehler in Drittanbieter-Software, WordPress-Schwachstellen, Browser-Schwachstellen oder Zahlungsprozessor-Parameter-Manipulation außerhalb der direkten DediStart-Anwendungsoberfläche.
Prüfungshinweis: Berichte, die nur ausgeschlossene Kategorien abdecken, können ohne detaillierte Antwort geschlossen werden, da sie nicht in den Programmumfang passen.

Was in einen Bericht aufzunehmen ist

Ein nützlicher Bericht enthält in der Regel:

  • Den betroffenen Hostnamen, die URL, den Dienst oder den Benutzerflow.
  • Klare Reproduktionsschritte, einschließlich erforderlichem Kontostatus, Timing oder Umgebungsdetails.
  • Die beobachtete Auswirkung und die Sicherheitskonsequenz, die Sie durch das Problem für möglich halten.
  • Einen Proof of Concept, Screenshots, Anfrage-Samples oder Logs, die dem Team helfen, den Bericht zu validieren, ohne übermäßige Tests zu wiederholen.
  • Ihre bevorzugten Kontaktdaten für den Fall, dass eine Nachverfolgung erforderlich ist.

Meldekanal

Senden Sie erste Befunde an den unten angegebenen Missbrauchs- und Sicherheitskanal. Wenn das Problem zur Prüfung akzeptiert wird, kann die Folgekommunikation über diesen Thread fortgesetzt werden.

Sicherheits-Melde-E-Mail

[email protected]

Allgemeiner Website-Kontakt

Verwenden Sie die Kontaktseite für nicht sicherheitsbezogene Betriebsfragen.