DoMe Dynamics
AI Agent Systems
Sicherheit · Responsible Disclosure

Sicherheitslücken melden

Lab-Modus · Hinweise willkommen · kein Bug-Bounty, kein SLA

So meldest du einen Fund

Wenn du eine Sicherheitslücke in einer meiner Web-Properties findest, freue ich mich über einen verantwortungsvollen Hinweis per E-Mail an [email protected]. Bitte gib mir Gelegenheit, den Fund zu prüfen und zu beheben, bevor du ihn öffentlich machst. Maschinenlesbar ist das auch in der security.txt hinterlegt.

Fund melden (vorausgefüllt)

Im Scope

  • dynamic-dome.com (inkl. www)
  • cv.dynamic-dome.com
  • wiki.dynamic-dome.com
  • Öffentliche Repositories unter github.com/dynamic-dome

Nicht im Scope

  • bot.dynamic-dome.com — privates DCO-Lab-System, ausdrücklich nicht im öffentlichen Testumfang
  • Drittanbieter-Infrastruktur (Cloudflare, Anthropic, GitHub) — bitte direkt an den jeweiligen Anbieter
  • Reine Best-Practice-Hinweise ohne nachvollziehbaren Sicherheitsimpact (z. B. fehlende Header ohne Exploit-Pfad)

Was du melden kannst

  • Cross-Site-Scripting (XSS), Injection und ähnliche Web-Schwachstellen
  • Fehlkonfigurationen, die Daten oder geschützte Bereiche exponieren
  • Authentifizierungs-/Autorisierungs-Lücken (z. B. am geschützten CV-Nachweisraum)
  • Versehentlich öffentlich gewordene Secrets, Tokens oder private Daten
  • Umgehung der Séance-Schutzmechanismen (Turnstile, Rate-Limit)

Bitte nicht

  • Keine destruktiven Tests (nichts löschen, verändern oder lahmlegen)
  • Keine Datenexfiltration über das Minimum hinaus, das den Fund belegt
  • Keine Last-/DoS-Tests und kein automatisiertes Hochfrequenz-Scanning
  • Keine Credential-, Token- oder Datenbank-Dumps
  • Kein Social Engineering, kein physischer Zugriff, keine Angriffe auf Dritte

Erwartung & Grenzen

Dies ist ein privates Lab-Projekt einer Einzelperson — es gibt kein Bug-Bounty-Programm und keine zugesicherte Reaktionszeit (SLA). Ich bestätige eingehende Hinweise nach Möglichkeit zeitnah, prüfe sie ernsthaft und behebe relevante Probleme, so schnell es der Lab-Kontext erlaubt. Gutgläubige, nicht-destruktive Forschung im obigen Scope sehe ich als willkommenen Beitrag und nicht als unerwünschten Zugriff.

Vertrauliche Funde

Wenn ein Fund sensibel ist, vermerke das in deiner Meldung — ich behandle ihn vertraulich und veröffentliche keine personenbezogenen oder belastenden Details ohne Abstimmung. Wenn du selbst veröffentlichen möchtest, stimmen wir vorab einen fairen Zeitrahmen ab.

Report-Vorlage

Je vollständiger, desto schneller die Einordnung. Der „Fund melden"-Button oben füllt diese Felder bereits vor:

Betroffene URL / System:
Schweregrad (eigene Einschätzung):

Repro-Schritte:
1. 
2. 

Erwartetes Verhalten:
Tatsächliches Verhalten:
Impact / mögliche Auswirkung:
Betroffene Datenklasse (falls relevant):
Beleg (Screenshot/Log/Request — optional):
Sensitivität (öffentlich teilbar oder vertraulich behandeln?):
Rückkontakt:

Stand: Juni 2026 · Lab-Modus · Kontakt: [email protected]