Política de Seguridad

English version here

security.txt

Este sitio sigue el estándar propuesto por la RFC 9116

Búsqueda de fallos

Ten en cuenta que este programa no ofrece recompensas por la presentación de fallos, ya que www.diegomunozbeltran.com es solo un pequeño sitio web personal.

Este programa de divulgación se limita a los activos incluidos en el alcance que figura al final de esta página.

Cosas a buscar

  • Vulnerabilidades en aplicaciones web (inyección de comandos, SSRF, CSRF, XSS, etc.).
  • Configuraciones de seguridad incorrectas.
  • Mejoras de seguridad sugeridas.
  • Filtración de información.
  • Explotación multibyte/binaria.
  • Desanonimización de Tor Hidden Service.
  • Configuración de cabeceras de seguridad.
  • Bypass de Content Security Policy (CSP).
  • Configuración de registros DNS (SPF, DKIM, DMARC, CAA, etc.).
  • Configuración TLS.
  • Auditoría/revisión de seguridad de código.
  • Software con más de 24 horas de desactualización.
  • Etc.

Siéntete libre de usar herramientas automatizadas siempre que no causes interrupciones en la red o en los servicios para mí o terceros.

Las pruebas no deben provocar problemas para otras organizaciones, como proveedores de alojamiento, operadores de red o ISP (por ejemplo, Cloudflare).

Política de divulgación

  • Infórmame de cualquier vulnerabilidad potencial lo antes posible y haré todo lo posible por resolver el problema rápidamente.
  • Comparte conmigo los detalles completos de cualquier vulnerabilidad, incluyendo los pasos para reproducirla cuando proceda.
  • Proporcióname un plazo razonable para corregir el problema antes de su divulgación pública o a terceros.
  • Procura evitar la degradación del servicio, la destrucción de datos o violaciones de la privacidad.

Mientras investigues, por favor no intentes lo siguiente:

  • Denegación de servicio (DoS).
  • Envío masivo de correos (spamming).
  • Phishing.
  • Suplantación o secuestro.
  • Man in the Middle (MitM) o interceptación.
  • Ataques que requieran presencia física en la red de un usuario.
  • Secuestro o robo de nombres de dominio.
  • Secuestro o robo de cuentas.
  • Ciberocupación (cybersquatting).
  • Ingeniería social.
  • Ataques físicos/en la vida real.
  • Cualquier acción que pudiera perjudicar falsamente mi reputación o la de mi sitio web.
  • Cualquier acción que pudiera causarme problemas falsos.
  • Ataques contra sistemas de terceros que estén fuera de mi control general.

Recompensas

  • Agradecimiento mostrado aquí

Ten en cuenta que este programa no ofrece recompensas monetarias por la presentación de fallos.

Los investigadores que envíen falsos positivos, problemas inexistentes o informes basados únicamente en opiniones pueden no ser agradecidos públicamente.

¡Gracias por ayudar a mantener www.diegomunozbeltran.com seguro!