Sicurezza

Programma Bug Bounty

BelHost accoglie la divulgazione responsabile da parte dei ricercatori di sicurezza. Esaminiamo tutti i rapporti idonei e possiamo offrire premi per le vulnerabilità valide.

Segnala una Vulnerabilità Leggi le Linee Guida
In questa pagina
Canale di segnalazione
[email protected]

Panoramica

Consideriamo la sicurezza dei nostri sistemi una priorità assoluta. Nessun sistema è perfetto e possono sempre esserci difetti in qualsiasi tecnologia. Siamo lieti di collaborare con ricercatori di sicurezza esperti per proteggere i nostri clienti.

Se ritieni di aver identificato un problema di sicurezza nel nostro prodotto o servizio, ti incoraggiamo a notificarcelo.

Linee guida per la divulgazione responsabile

  • Comunicacelo il prima possibile dopo aver scoperto un potenziale problema di sicurezza, e faremo ogni sforzo per risolverlo rapidamente.
  • Concedici un tempo ragionevole per risolvere il problema prima di qualsiasi divulgazione al pubblico o a terzi.
  • Nessuna impersonificazione non autorizzata: qualsiasi tentativo di ingegneria sociale di un'altra parte attraverso l'impersonificazione di un dipendente BelHost, un altro ricercatore o un team di sicurezza non sarà tollerato.
  • Se rispetti tutte le condizioni stabilite in queste linee guida, non intraprenderemo alcuna azione legale nei tuoi confronti riguardo alla tua segnalazione.
  • La tua segnalazione sarà mantenuta riservata. Non condivideremo le tue informazioni personali con terze parti senza previo consenso, a meno che non sia necessario per rispettare un obbligo legale.

Premi

Per mostrare il nostro apprezzamento, BelHost offre premi per le segnalazioni di vulnerabilità di sicurezza qualificate. I premi possono essere assegnati come compensazione finanziaria o merchandising BelHost. L'importo del premio è a discrezione di BelHost e si basa sulla valutazione interna della gravità della vulnerabilità divulgata. Il premio sarà comunicato dopo la validazione da parte dei nostri team interni.

Idoneità

Per qualificarsi per un premio, devi:

  1. Essere il primo a segnalare la vulnerabilità.
  2. Seguire le linee guida descritte in questa pagina.
  3. Non divulgare pubblicamente la vulnerabilità prima della nostra risoluzione.
  4. Fornire una prova di concetto funzionante che sfrutti il problema di sicurezza.
  5. Usare solo account creati da te e non accedere ai dati di altri utenti.
  6. Non essere residente in nessun paese incluso nell'elenco dei Specially Designated Nationals and Blocked Persons (SDN).
  7. Non essere residente in nessun paese incluso nell'Elenco Consolidato di persone, gruppi ed entità soggetti a sanzioni finanziarie dell'UE.

Esclusioni assolute

Le seguenti categorie sono fuori ambito e generalmente non riceveranno risposta.

Attacchi sociali e fisici
  • Ingegneria sociale (incluso il phishing)
  • Qualsiasi tentativo fisico contro la proprietà o i data center di BelHost
  • Attacco fisico all'infrastruttura
Test di disponibilità e abuso
  • Denial of service
  • Brute forcing
  • Segnalazioni da strumenti e scansioni automatizzate
  • Limiti di velocità mancanti
Problemi web a basso segnale
  • CSRF
  • Self-XSS
  • Clickjacking e problemi sfruttabili solo tramite clickjacking
  • Contraffazione di contenuto nelle pagine di errore o iniezione di testo
  • Attacchi omografi
  • Redirect aperti
  • CAPTCHA debole / bypass CAPTCHA
  • Problemi relativi alla cache
Risultati solo di configurazione e intestazioni
  • Relativi a X-Frame-Options
  • Flag cookie mancanti
  • Intestazioni di sicurezza mancanti che non portano direttamente a una vulnerabilità
  • Assenza di noreferrer, noopener
  • Problemi DKIM/SPF/DMARC
  • Esposizione della versione
  • Elenco di directory
  • Problemi SSL
  • Metodo HTTP OPTIONS abilitato
  • Divulgazione IP del server
Casi limite di account e autenticazione
  • Timeout delle sessioni di autenticazione (le sessioni sono legate all'IP con un timeout di 1 ora)
  • Riutilizzo del codice TOTP 2FA
  • Enumerazione utenti per forza bruta
  • Attivazione 2FA senza conferma email
  • Verifica password al cambio email o 2FA
  • Politica password
  • Qualsiasi attacco che richiede accesso al computer dell'utente (fisico o remoto)
Software di terze parti e non correlato
  • Bug in software di terze parti
  • Vulnerabilità WordPress
  • Qualsiasi tipo di vulnerabilità del browser
  • Manomissione dei parametri per i processori di pagamento
A causa del grande numero di segnalazioni non valide, non ci saranno risposte per segnalazioni contenenti una vulnerabilità elencata nelle nostre esclusioni.

Come segnalare

Si prega di inviare i risultati iniziali a:

[email protected]