Информация 5 Tage - kostenlos Channel-Download-Statistiken Kostenloses Hosting Aktion "Wechsel des Gastgebers"
Hosting.XYZ
Bug Bounty

Es ist uns wichtig, Benutzerdaten zu schützen, daher sind wir bereit, mit Personen zusammenzuarbeiten, die nach Schwachstellen suchen und diese belohnen.

We don't accept any XSS attack since 22 of April 2023 untill future notice.

Belohnung

Das Hosting der Ukraine bietet eine Belohnung für gefundene Schwachstellen. Die Mindestvergütung beträgt 50$, maximal 1000$. Die Höhe der Belohnung hängt vom Grad der Schwachstelle ab, der davon abhängt, wie realistisch es ist, die Schwachstelle auszunutzen:

  1. Hohes Niveau — bis zu 1000$. Zugriff auf die zentrale Datenbank, Zugriff auf den Quellcode, Ausführung beliebiger Befehle auf dem zentralen Server, Ausführung beliebiger Befehle auf dem Hosting-Server als Root.
  2. Mittleres Niveau — bis zu 250$. 
  3. Niedriges Niveau — bis zu 150$. Potenzielle Angriffe, die schwer durchzuführen sind oder bei denen viele Faktoren zusammenpassen müssen. 
  4. Alle XSS-Angriffe, die das Folgen eines Links erfordern, sind auf 50 begrenzt$.
  5. Die in Alpha- und Betaversionen von Diensten gefundenen Schwachstellen sind auf 150 begrenzt$. (29/11/2022)

Berichte

Um das Vertrauen in die Parteien zu stärken, wird der Prozess der Einreichung einer Schwachstellenmeldung nach folgendem Algorithmus durchgeführt:

  1. Du schreibst an email Anfrage bezüglich der Möglichkeit, eine Meldung zu machen. Wir werden antworten, dass wir bereit sind, die neue Sicherheitslücke zu akzeptieren. Wir werden dies nur tun, wenn wir keine anderen Sicherheitslücken in Arbeit haben. Es kann nämlich vorkommen, dass jemand anderes dieselbe Schwachstelle bereits gemeldet hat, und es kann sich herausstellen, dass Sie zwar eine Schwachstelle gemeldet haben, aber keine Belohnung dafür erhalten werden.
  2. Nach Einholung der Einwilligung prüfen Sie die Möglichkeit, die Schwachstelle auszunutzen.
  3. Reichen Sie nur einen Fehler ein. Sie sollten nicht viele Fehler auf einmal einreichen, da es oft vorkommt, dass das Schließen einer Sicherheitslücke diese gleichzeitig an anderen Stellen schließt. Schließlich kann eine Codezeile an Hunderten von Stellen in einem Programm aufgerufen werden.
  4. Wir untersuchen die Auswirkungen und die Realität der Ausnutzung der Schwachstelle.
  5. Wir beheben den Fehler.
  6. Wir zahlen die Vergütung an PayPal, Girokonto oder Karte. Wir haben keine Möglichkeit, Zahlungen in Kryptowährungen (Bitcoin und andere) zu leisten, da wir sie nicht verwenden.

Bedingungen

  1. Das Programm beinhaltet keine Entwicklung von Drittanbietern, Zero-Day-Betriebssystem-Schwachstellen, Fehler in Prozessorkernen und andere Schwachstellen, auf die wir keinen Einfluss haben.
  2. Das Programm wird nur über die von uns erstellte Software vertrieben, die auf den Websites ukraine.com.ua, auth.adm.tools, webmail.online und adm.tools zu finden ist.
  3. Verwenden Sie die gefundene Schwachstelle nicht, um Informationen zu ändern oder unbefugten Zugriff darauf zu erlangen. Verwenden Sie Ihr Konto zum Testen.
  4. Bitte teilen Sie uns schnellstmöglich mit, wenn Sie versehentlich Daten geändert haben, die nicht geändert werden sollen. Sehen, ändern oder speichern Sie keine Daten, die im Falle einer Sicherheitslücke erhalten wurden.
  5. Handeln Sie in guter Absicht, um die Privatsphäre anderer Benutzer nicht zu verletzen, deaktivieren Sie keine Dienste.
  6. Handeln Sie im Rahmen des Gesetzes.
  7. Die Belohnung geht an die erste Person, die die Schwachstelle meldet.
  8. Die Veröffentlichung einer Schwachstelle im Internet vor deren Behebung kann zur Streichung der Prämie führen Wir werden nicht als Reaktion auf Bedrohungen verhandeln (z. B. werden wir keinen Auszahlungsbetrag verhandeln, wenn wir eine Schwachstelle verschleiern oder androhen, eine Schwachstelle oder eine Offenlegung der Öffentlichkeit zu veröffentlichen).
  9. Die Geschwindigkeit der Fehlerbearbeitung hängt von der Schwere der Fehler und der Arbeitsbelastung der Programmierer ab und dauert 3 bis 30 Tage.

Schwachstellen, für die keine Vergütung gezahlt wird

Die folgenden Fragen liegen außerhalb des Rahmens unseres Prämienprogramms:

  1. Unsere Richtlinie in Bezug auf das Vorhandensein / Fehlen von SPF / DMARC-Datensätzen.
  2. Passwort-, E-Mail- und Kontorichtlinien wie E-Mail-ID-Verifizierung, Linkablauf zurücksetzen, Passwortkomplexität.
  3. Fehlen von CSRF-Token (wenn kein Beweis für eine tatsächliche, vertrauliche Benutzeraktion vorliegt, die nicht durch ein Token geschützt ist).
  4. Angriffe, die physischen Zugriff auf das Gerät des Benutzers erfordern. Sowie Angriffe im Zusammenhang mit dem Abfangen von Datenverkehr. 
  5. Es gibt keine Sicherheitsheader, die nicht direkt zu einer Schwachstelle führen.
  6. Fehlende Best Practices (wir brauchen Beweise für Systemschwachstellen).
  7. Platzieren von schädlichen / willkürlichen Inhalten auf dem Hosting.
  8. Alle gegen sich selbst gerichteten Angriffe, z. B. Self-XSS.
  9. Wir akzeptieren Meldungen über Sicherheitslücken im Betriebssystem und in Produkten von Drittanbietern, belohnen sie jedoch nicht.
  10. Host-Header-Injections, wenn Sie nicht zeigen können, wie sie zu einem Diebstahl von Benutzerdaten führen können.
  11. Verwendung einer bekanntermaßen anfälligen Bibliothek (kein Nutzungsnachweis).
  12. Berichte von automatisierten Tools oder Scans.
  13. Sicherheitslücken, die Benutzer veralteter Browser oder Plattformen betreffen.
  14. Social Engineering von Mitarbeitern oder Auftragnehmern von Hosting Ukraine.
  15. Das Vorhandensein des Autocomplete-Attributs in Webformularen.
  16. Fehlende Cookie-Flags für insensitive Cookies.
  17. Berichte über unsichere SSL-/TLS-Verschlüsselungen (es sei denn, Sie haben einen funktionierenden Proof of Concept, nicht nur einen Bericht von einem Scanner).
  18. Die Möglichkeit festzustellen, ob der Benutzer beim Hosting registriert ist, wenn seine E-Mail-Adresse bekannt ist.
  19. Jede Meldung über die Umgehung unserer Servicebeschränkungen.
  20. Sicherheitslücken für Inhaltsspoofing (wenn Sie nur Text oder ein Bild auf einer Seite einfügen können) liegen außerhalb des Geltungsbereichs. Wir werden eine Spoofing-Schwachstelle akzeptieren und beheben, bei der ein Angreifer ein Bild oder Rich-Text (HTML) eingeben kann, aber keinen Anspruch auf eine Prämie hat. Die Einführung von reinem Text ist außerhalb des Geltungsbereichs.
  21. Erstellen Sie mehrere Konten mit derselben E-Mail-Adresse.
  22. Phishing-Gefahr aufgrund von Unicode-/Punycode- oder RTLO-Problemen.
  23. Schwachstelle aufgrund der Tatsache, dass wir DMARC deaktiviert haben. Es ist keine Schwachstelle, dass Server von Drittanbietern SPF-Einträge ignorieren und E-Mails von Diensten von Drittanbietern (einschließlich Gmail) akzeptieren.
  24. Jede Art von Flood- und Bruteforce-Angriffen, DoS- und DDoS-Angriffen sowie Angriffen, die mit einer Verringerung der Serverleistung einhergehen. 
  25. Angriffe, bei denen der Angreifer Zugriff auf die E-Mail-Adresse oder das Telefon des Opfers hat.
  26. Fehlende Sicherheitsheader COEP, COOP, CORS, CORB, Referrer-policy, Content-Security-Policy, HSTS, Cookie-prefix, SameSiteCookie...
  27. Verfügbarkeit von Informationen über die verwendete Software. Wir sind ein Hosting-Anbieter und geben Kunden Informationen über installierte Software bekannt. Daher können diese Informationen nicht klassifiziert werden.
  28. Das Erhalten der IP-Adresse eines Unternehmensmitarbeiters stellt keine Sicherheitslücke dar. Der technische Support öffnet Links, Sie können einen Phishing-Link oder eine SVG-Datei per E-Mail senden usw.
  29. Das Vorhandensein von EXIF-Daten in Bilddateien, die Benutzer übermitteln. Unsere Kunden veröffentlichen ihre persönlichen Fotos nicht auf unserer Website, die EXIF mit wertvollen Koordinaten enthalten können.
  30. Laden von SVG-Dateien. Wir speichern sie als Anhänge und zeigen sie nicht auf der Website an. Dadurch wird vermieden, dass Daten von der Website abgerufen werden.
  31. Social Engeneering Attacks.
  32. Vorhandensein von CAA-Einträgen im DNS.
  33. «Freundliche Angriffe», die von Nutzern ausgegeben wurden, denen das Opfer Zugang zu den Diensten verschafft hat. 16/05/2023
  34. Alle öffentlichen CVE- und CWE-Schwachstellen in öffentlicher Software, Zertifikaten usw.
  35. Angriffe, die einen physischen Zugang zum Computer des Opfers erfordern. 26/01/2024

Schlussbestimmungen

  1. Sie sind für die Zahlung aller Steuern im Zusammenhang mit Prämien verantwortlich.
  2. Wir können die Bedingungen dieses Programms jederzeit ändern oder beenden. Wir werden keine Änderungen an diesen Programmbedingungen rückwirkend anwenden.
  3. Mitarbeiter der gastgebenden Ukraine und deren Familienangehörige haben keinen Anspruch auf Vergütung.
  4. Hosting Ukraine bietet Ihnen kostenlosen Zugang zu Produkten. Dieser Zugang dient nur zu Testzwecken und kann jederzeit mit oder ohne vorherige Ankündigung widerrufen werden.