فتح التطبيق
الأمان

الإفصاح المسؤول، منجز بشكل صحيح.

إذا وجدت ثغرة في NoKYCSwap، أخبرنا. إفصاح منسّق لمدة تسعين يوماً، بلا إجراء قانوني ضد البحث حسن النية، إشادة عامة عند الطلب. هذه الصفحة توضح الشروط الدقيقة.

البلاغ
[email protected] security.txt
تأكيد: < 48h · اتفاقية مستوى خدمة الإصلاح: 14 – 90d · PGP: عند الطلب
الجدول الزمني للإفصاح

من البلاغ إلى إشادة عامة

1
اليوم 0

البلاغ

أرسل بريداً إلى [email protected] مع وصف قصير ودليل مفهوم. مفتاح PGP متاح عند الطلب. نؤكد الاستلام خلال 48 ساعة.

2
اليوم 1 – 90

الفرز والإصلاح

نعيد إنتاج، ونقيم، وننشر إصلاحاً. للخطورة فوق المتوسطة، نهدف إلى شحن الإصلاح خلال 14 يوماً؛ للخطورة المنخفضة، خلال 90. تحصل على تحديث حالة على الأقل كل 14 يوماً.

3
اليوم 90+

إفصاح عام

بعد شحن الإصلاح وحصول المستخدمين على وقت لاستلامه، ننشر ملاحظة قصيرة ونُشيد بك بالاسم أو الاسم المستعار — ما لم تفضّل خلاف ذلك. إفصاح منسّق فقط. لا حظر مفاجئ.

النطاق

ما نريدك للاختبار

ضمن النطاق

نطاق مشروع

  • الواجهة الأمامية لـ nokycswap.io وأي نطاق فرعي نشغّله (api.، إلخ).
  • مسارات الشيفرة من جانب الخادم القابلة للوصول من سطح الإنتاج.
  • مشاكل من جانب العميل بتأثير قابل للإثبات (XSS، تجاوز CSRF، تلاعب DOM يسرّب الحالة).
  • نقاط ضعف تشفيرية في التوقيع / CSRF / معالجة الجلسات لدينا.
  • سوء التهيئة المرئي عبر HTTP(S): تجاوز CSP، فجوات HSTS/preload، تساهل CORS، سلاسل حقن الرؤوس.
  • عيوب منطقية تسمح للمستخدم بقراءة أو العبث بحالة طلب مستخدم آخر.
خارج النطاق

غير مؤهل وسيُغلق

  • الحرمان من الخدمة، استنزاف الموارد، تجاوز حد المعدل بدون تأثير ثانوي.
  • اختطاف التبويب، اختطاف النقر دون تأثير أمني، رؤوس أمان مفقودة على الأصول الثابتة.
  • المشاكل التي تتطلب مهاجماً في متصفح المستخدم (ملحقات ضارة، برامج ضارة محلية).
  • انتحال رؤوس From في رسائل البريد الإلكتروني التي لا نتحكم بها.
  • أصول الطرف الثالث (Cloudflare، fonts.bunny.net، ff.io) — أبلغ المصدر الأصلي.
  • XSS ذاتي، إعادة تصميم واجهة المستخدم التي لا يقع فيها مستخدم معقول.
  • اقتراحات أفضل الممارسات دون تأثير قابل للإثبات.
ملاذ آمن

التزاماتنا للباحثين

لا إجراء قانوني

ضد البحث حسن النية الذي يظل ضمن النطاق، ويتجنب الاختبار المدمّر، ويحترم خصوصية المستخدم. لن نتصل بصاحب العمل، أو مزوّد الاستضافة، أو إنفاذ القانون بشأن بلاغك.

بلا حظر آلي

الاختبار النشط (الماسحات المرخّصة، الفحص اليدوي) لن يؤدي إلى قفل الحساب — ليس لدينا حسابات. تنطبق حدود المعدل على مستوى IP؛ أخبرنا وسنضع مصدرك في القائمة البيضاء.

إشادة عند الطلب

ننشر اعترافاً قصيراً في ملاحظات الإصدار وعلى هذه الصفحة بعد شحن الإصلاح. تريد البقاء باسم مستعار أو مجهول الهوية؟ قل ذلك في البلاغ.

حديث صريح عن المكافآت

لا نشغّل بعد برنامج مكافآت مدفوع. نشكر البلاغات الجوهرية بالبضائع، واعتمادات testnet، والإشادة العامة الصادقة. عندما تكون لدينا الموارد، سيكون البرنامج المدفوع هو التالي.

قاعة المشاهير

الباحثون الذين جعلوا هذا موقع أكثر أماناً

نُشيد بكل بلاغ جوهري هنا بعد شحن الإصلاح. القائمة فارغة حالياً — ليس لأن أحداً لم ينظر، بل لأننا نشرنا هذه الصفحة للتو. إذا أردت أن تكون الأول، اكتب إلى [email protected].

وجدت شيئاً؟ أخبرنا أولاً.

نجيب على كل بلاغ. خاص افتراضياً، عام على جدولك الزمني.

راسل الفريق اقرأ الشفافية