Политика ответственного раскрытия
Руководство по сообщению об уязвимостях в системах WebDirect.
Чтобы сообщить об уязвимости, напишите нам:
[email protected]Область применения
Политика распространяется на уязвимости в webdirect.md, связанных поддоменах и API WebDirect.
Как сообщить
Напишите на [email protected] с описанием уязвимости, шагами воспроизведения и PoC (без ущерба). Для чувствительных отчётов: PGP-ключ на /.well-known/pgp-key.txt.
Что ожидать
Подтверждение в 2 рабочих дня. Оценка в 10 рабочих дней. Критические уязвимости — устранение в 30 дней.
Правила поведения
Не получайте доступ к лишним данным. Не проводите DoS-атаки. Не раскрывайте публично до устранения.
Наши обязательства
Не преследуем соблюдающих политику. Отмечаем вклад с согласия. Формальная bug bounty программа отсутствует, но ценим ответственных исследователей.
Вне области
Социальная инженерия, физические атаки, объёмный DDoS и результаты автосканеров без ручной проверки вне применения.