راه‌اندازی اپلیکیشن
امنیت

افشای مسئولانه، به‌درستی انجام‌شده.

اگر آسیب‌پذیری در NoKYCSwap پیدا کردید، به ما بگویید. افشای هماهنگ نود روزه، بدون اقدام قانونی علیه تحقیقات با حسن نیت، اعتبار عمومی در صورت درخواست. این صفحه شرایط دقیق را بیان می‌کند.

گزارش
[email protected] security.txt
تأیید: < 48h · SLA رفع: 14 – 90d · PGP: در صورت درخواست
جدول زمانی افشا

از گزارش تا اعتبار عمومی

1
روز ۰

گزارش

به [email protected] یک گزارش کوتاه و اثبات مفهوم ایمیل بزنید. کلید PGP در صورت درخواست در دسترس است. ما ظرف ۴۸ ساعت تأیید می‌کنیم.

2
روز ۱ – ۹۰

تریاژ و رفع

ما بازتولید، امتیازدهی و یک اصلاح را مستقر می‌کنیم. برای شدت بالاتر از متوسط، هدف ما این است که اصلاح را ظرف ۱۴ روز ارسال کنیم؛ برای شدت پایین، ظرف ۹۰ روز. حداقل هر ۱۴ روز یک به‌روزرسانی وضعیت دریافت می‌کنید.

3
روز ۹۰+

افشای عمومی

پس از انتشار اصلاح و فرصت کاربران برای دریافت آن، یک یادداشت کوتاه منتشر می‌کنیم و شما را با نام یا نام مستعار اعتبار می‌دهیم — مگر اینکه ترجیح دیگری داشته باشید. فقط افشای هماهنگ. بدون تحریم غافلگیرانه.

محدوده

آنچه می‌خواهیم شما برای تست

در محدوده

بازی منصفانه

  • فرانت‌اند وب nokycswap.io و هر زیردامنه‌ای که اداره می‌کنیم (api. و غیره).
  • مسیرهای کد سمت سرور قابل دسترسی از سطح تولید.
  • مشکلات سمت کلاینت با تأثیر قابل نمایش (XSS، دور زدن CSRF، تداخل DOM که حالت را نشت می‌دهد).
  • ضعف‌های رمزنگاری در مدیریت امضا / CSRF / نشست ما.
  • پیکربندی‌های نادرست قابل مشاهده از طریق HTTP(S): دور زدن CSP، شکاف‌های HSTS/preload، مجوزدهی CORS، زنجیره‌های تزریق هدر.
  • نقص‌های منطقی که به کاربر اجازه می‌دهند حالت سفارش کاربر دیگری را بخواند یا دستکاری کند.
خارج از محدوده

واجد شرایط نیست و بسته خواهد شد

  • منع سرویس، تخلیه منابع، دور زدن محدودیت نرخ بدون تأثیر ثانویه.
  • tab-nabbing، clickjacking بدون تأثیر امنیتی، هدرهای امنیتی گمشده در دارایی‌های استاتیک.
  • مسائلی که نیاز به مهاجم در مرورگر کاربر دارند (افزونه‌های مخرب، بدافزار محلی).
  • جعل هدرهای From در ایمیل‌هایی که تحت کنترل ما نیستند.
  • دارایی‌های شخص ثالث (Cloudflare، fonts.bunny.net، ff.io) — به بالادست گزارش دهید.
  • Self-XSS، بازسازی UI که کاربر منطقی در دام آن نمی‌افتد.
  • پیشنهادهای بهترین‌عمل بدون تأثیر قابل نمایش.
پناه امن

تعهدات ما به پژوهشگران

بدون اقدام قانونی

علیه تحقیقات با حسن نیت که در محدوده باقی می‌ماند، از آزمایش مخرب اجتناب می‌کند و به حریم خصوصی کاربر احترام می‌گذارد. ما با کارفرما، ارائه‌دهنده میزبانی یا مجریان قانون شما درباره گزارش شما تماس نخواهیم گرفت.

بدون مسدودیت خودکار

تست فعال (اسکنرهای مجاز، کاوش دستی) باعث قفل شدن حساب نمی‌شود — ما حسابی نداریم. محدودیت‌های نرخ در سطح IP اعمال می‌شود؛ به ما اطلاع دهید تا منبع شما را در لیست سفید قرار دهیم.

اعتباردهی در صورت درخواست

ما پس از انتشار اصلاح، یک قدردانی کوتاه در یادداشت‌های انتشار و در این صفحه منتشر می‌کنیم. می‌خواهید با اسم مستعار یا ناشناس بمانید؟ آن را در گزارش بگویید.

گفتگوی صادقانه درباره پاداش

ما هنوز یک برنامه جایزه پولی اجرا نمی‌کنیم. از گزارش‌های اساسی با کالا، اعتبار تست‌نت و اعتبار عمومی صادقانه تشکر می‌کنیم. وقتی بودجه داشتیم، یک برنامه پولی بعدی خواهد بود.

تالار مشاهیر

پژوهشگرانی که این را ساختند سایت امن‌تر

ما هر گزارش ماهوی را در اینجا پس از ارسال اصلاح اعتباردهی می‌کنیم. فهرست در حال حاضر خالی است — نه چون کسی نگاه نکرده، بلکه چون ما فقط به‌تازگی این صفحه را منتشر کرده‌ایم. اگر می‌خواهید اولین نفر باشید، به [email protected] بنویسید.

چیزی پیدا کردید؟ ابتدا به ما بگویید.

ما به هر گزارش پاسخ می‌دهیم. به‌طور پیش‌فرض خصوصی، عمومی بر اساس زمانبندی شما.

ایمیل به تیم خواندن شفافیت