Ultimo aggiornamento: aprile 2026
Se hai scoperto una vulnerabilità nel sito o nei servizi di SalentoSec, te ne siamo grati. Questa pagina spiega in modo trasparente come segnalarla, cosa puoi aspettarti da noi, e cosa NON è autorizzato fare.
Sono in scope: il sito salentosec.org e i suoi sottodomini (api.*, www, ecc.); il dominio salentosec.org se attivo; salentosec.org/.well-known/*; gli endpoint esposti a /api/*. La superficie applicativa è ridotta perché siamo PHP minimale, ma esiste.
NON sono in scope: i siti di terze parti che linkiamo (CTF platforms, OWASP, leccemeteo.it, ecc.); i social account (Telegram, Instagram, ecc.); gli account email dei nostri membri; i domini intellisecsalento.it se non attivati; qualsiasi vulnerabilità nei browser o nei sistemi degli utenti.
Test che possano impattare disponibilità del servizio (DoS, DDoS, stress test, brute-force massivi). Esfiltrazione massiva di dati anche se accessibili. Modifica dei dati di altri utenti o tentativi di acceso a account che non sono tuoi. Phishing o social engineering verso membri SalentoSec. Pubblicazione del problema prima della patch e della nostra autorizzazione (responsible disclosure).
Email a security@salentosec.org. Includi: descrizione, passi per riprodurre, impatto stimato, eventuali PoC o screenshot, il tuo handle se vuoi essere citato in Hall of Fame.
Acknowledgment entro 72 ore. Triage entro 7 giorni. Update sullo stato ogni 14 giorni finché aperto. Ringraziamento pubblico (con il tuo consenso) nella Hall of Fame qui sotto, una volta risolto il problema. Per ora non offriamo bounty in denaro: siamo no-profit. Se in futuro avremo budget per bounty, rispetteremo la sequenza temporale di chi ha segnalato.
Ci impegniamo a NON perseguire legalmente chi segnala in buona fede e nel rispetto di questa policy. Considereremo le tue azioni come autorizzate ai sensi della legge italiana, sempre che tu abbia operato dentro lo scope, senza danni, e con responsible disclosure.
Public file: /.well-known/security.txt
Persone che ci hanno aiutato a chiudere problemi di sicurezza.
Nessun report ancora. Speriamo lo rimanga il meno possibile.