Европейские выделенные серверы с ежемесячной оплатой и без платы за установку Защита от DDoS L3/L4 включена Поддержка живых специалистов 24/7/365
Looking Glass Контакты
Безопасность

Ответственное раскрытие уязвимостей для сервисов DediStart.

Эта политика объясняет, как сообщить об уязвимости, что находится вне области тестирования, и какая информация помогает команде быстро рассмотреть отчёт.

Сообщить о проблеме безопасности Связаться с командой
Краткое изложение раскрытия
Уникальные, хорошо задокументированные отчёты могут быть рассмотрены для дискреционного вознаграждения.

Цель — безопасное и ответственное раскрытие. Любое решение о вознаграждении остаётся необязательным, зависит от внутренней проверки и зарезервировано для квалифицирующихся отчётов.

Содержание
Детали отчётности
  • Последнее обновление 17 Mar 2026
  • Email для отчётности [email protected]
  • Модель ответа Рассматривается в каждом конкретном случае
  • Модель вознаграждения Дискреционное для квалифицирующихся отчётов
Сначала раскрытие: DediStart приветствует ответственное сообщение о реальных проблемах безопасности. Исследователи, следующие этой политике, помогают команде безопасно расследовать и защищать клиентов без ненужных сбоев сервиса.

Обзор

Ни одна производственная система не идеальна, и проверка безопасности опытными исследователями может быть ценной, если она проводится ответственно. Если вы считаете, что обнаружили уязвимость, затрагивающую продукт, сервис или веб-сайт DediStart, сообщите об этом через опубликованный ниже канал.

Программа сосредоточена на ответственном раскрытии, а не на публичных соревнованиях. Квалифицирующиеся отчёты могут быть рассмотрены для дискреционного вознаграждения после внутренней проверки, анализа серьёзности и проверки на дубликаты.

Ожидания безопасного отчётности

  • Сообщите о проблеме как можно скорее после обнаружения и предоставьте достаточно деталей для воспроизведения нахождения командой.
  • Дайте разумное время для расследования и устранения перед публичным раскрытием проблемы или раскрытием третьей стороне.
  • Не используйте имперсонацию, социальную инженерию, фишинг или другие обманные методы связи во время тестирования или отчётности.
  • Используйте только созданные вами учётные записи и не получайте доступ, не изменяйте и не уничтожайте данные, принадлежащие другим пользователям.
  • Избегайте методов тестирования, которые нарушают доступность, снижают качество сервиса для других или создают ненужные операционные риски.
  • Сохраняйте конфиденциальность отчёта, пока проблема находится на рассмотрении. Личная информация, предоставленная с отчётом, не будет передана без согласия, если только раскрытие не требуется по закону.
  • Если вы следуете этим ожиданиям и другим условиям этой политики, Redcluster LTD не намерен предпринимать юридических действий в связи с самим отчётом.

Критерии соответствия

Отчёт может быть рассмотрен в рамках этой программы, если выполнены все следующие условия:

  1. Вы первый, кто сообщил об этой проблеме.
  2. Вы следуете ожиданиям безопасной отчётности, описанным в этой политике.
  3. Вы не публикуете проблему до того, как Redcluster LTD получил разумную возможность расследовать и ответить.
  4. Вы предоставляете чёткое объяснение воздействия вместе с воспроизводимыми шагами или рабочим доказательством концепции.
  5. Вы используете только свои аккаунты и не пытаетесь получить доступ к данным, которые вам не принадлежат.
  6. Вы не находитесь в стране или иным образом не подпадаете под санкционные ограничения, которые препятствовали бы Redcluster LTD участвовать в программе.
Примечание о вознаграждении: Даже если отчёт действителен, любое вознаграждение остаётся дискреционным и основывается на внутренней оценке воздействия, уникальности, качества отчёта и общей пригодности программы.

Находки вне области

Приведённые ниже категории, как правило, выходят за рамки и могут не получить индивидуального ответа, если не демонстрируют значимого, эксплуатируемого воздействия на безопасность.

Социальные и физические атаки

  • Социальная инженерия, фишинг, имперсонация или другие попытки манипулирования сотрудниками или третьими сторонами.
  • Любые физические попытки против имущества компании, инфраструктуры или объектов дата-центра.

Доступность и злоупотребительное тестирование

  • Атаки типа отказ в обслуживании, брутфорс, стресс-тестирование или любое тестирование, которое может снизить доступность сервиса.
  • Отчёты, сгенерированные только автоматизированными инструментами или широким сканированием без продемонстрированного воздействия на конкретный сервис.
  • Отсутствие ограничений частоты запросов, о котором сообщается без практического пути эксплуатации.

Веб-находки с низким сигналом

  • CSRF, self-XSS, только проблемы clickjacking, спуфинг контента на страницах ошибок, гомографические атаки, открытые редиректы, наблюдения о слабой CAPTCHA и проблемы с кешем.

Заголовки, конфигурация и отчёты только об экспозиции

  • Отсутствующие флаги cookie, отсутствующие заголовки безопасности без продемонстрированного воздействия, отсутствующие noreferrer или noopener, наблюдения DKIM/SPF/DMARC, экспозиция версии, листинг директорий, наблюдения SSL, включённый OPTIONS или раскрытие IP сервера.

Пограничные случаи аккаунта и локального устройства

  • Таймауты сессии аутентификации, повторное использование TOTP 2FA, проблемы с политикой паролей, детали верификации смены email, наблюдения за процессом активации 2FA или проблемы, требующие доступа к собственному устройству пользователя.
  • Утверждения о перечислении пользователей, которые зависят от поведения брутфорса, а не от практической слабости приложения.

Стороннее программное обеспечение и внешние системы

  • Ошибки в стороннем программном обеспечении, уязвимости WordPress, уязвимости браузера или манипуляция параметрами платёжного процессора вне прямой поверхности приложения DediStart.
Примечание о проверке: Отчёты, охватывающие только исключённые категории, могут быть закрыты без подробного ответа, так как они не соответствуют области программы.

Что включить в отчёт

Полезный отчёт обычно включает:

  • Затронутое имя хоста, URL, сервис или пользовательский поток.
  • Чёткие шаги воспроизведения, включая требуемое состояние аккаунта, время или детали среды.
  • Наблюдаемое воздействие и последствие безопасности, которое вы считаете следствием проблемы.
  • Доказательство концепции, скриншоты, примеры запросов или журналы, которые помогают команде подтвердить отчёт без повторного чрезмерного тестирования.
  • Ваши предпочтительные контактные данные на случай, если потребуется уточнение.

Канал для сообщений

Отправьте первоначальные находки на указанный ниже канал злоупотреблений и безопасности. Если проблема принята на рассмотрение, дальнейшее общение может продолжаться в этой же ветке.

Email для сообщений о безопасности

[email protected]

Общий контакт сайта

Используйте страницу контактов для не связанных с безопасностью операционных вопросов.