Abrir app
Segurança

Divulgação responsável, feito do jeito certo.

Se encontrar uma vulnerabilidade no NoKYCSwap, avise-nos. Divulgação coordenada de noventa dias, sem ação legal contra pesquisa de boa-fé, crédito público sob demanda. Esta página detalha os termos exatos.

Relatar
[email protected] security.txt
ACC: < 48h · SLA de correção: 14 – 90d · PGP: sob demanda
Cronograma de divulgação

Do relatório até crédito público

1
Dia 0

Relatar

Envie e-mail para [email protected] com um relato curto e uma prova de conceito. Chave PGP disponível sob demanda. Acusamos recebimento em até 48 horas.

2
Dia 1 – 90

Triagem e correção

Reproduzimos, pontuamos e implantamos uma correção. Para severidade acima de média, pretendemos publicar a correção em até 14 dias; para baixa, em até 90. Você recebe atualização de status no mínimo a cada 14 dias.

3
Dia 90+

Divulgação pública

Depois que a correção for publicada e os usuários tiverem tempo de aplicá-la, publicamos uma nota breve e creditamos você por nome ou pseudônimo — a menos que prefira o contrário. Apenas divulgação coordenada. Sem embargos-surpresa.

Escopo

O que queremos que você testar

No escopo

Em jogo

  • O frontend web nokycswap.io e qualquer subdomínio que operamos (api., etc.).
  • Caminhos de código do lado do servidor alcançáveis a partir da superfície de produção.
  • Problemas do lado do cliente com impacto demonstrável (XSS, bypass de CSRF, DOM clobbering que vaza estado).
  • Fraquezas criptográficas em nosso manejo de assinatura / CSRF / sessão.
  • Configurações erradas visíveis por HTTP(S): bypass de CSP, lacunas de HSTS/preload, permissividade de CORS, cadeias de injeção de cabeçalho.
  • Falhas de lógica que permitem a um usuário ler ou adulterar o estado do pedido de outro usuário.
Fora do escopo

Inelegível e será fechado

  • Negação de serviço, esgotamento de recursos, bypass de limite de taxa sem impacto secundário.
  • Tab-nabbing, clickjacking sem impacto de segurança, cabeçalhos de segurança ausentes em ativos estáticos.
  • Problemas que exigem um atacante no navegador do usuário (extensões maliciosas, malware local).
  • Falsificação de cabeçalhos From em e-mails que não controlamos.
  • Ativos de terceiros (Cloudflare, fonts.bunny.net, ff.io) — reporte upstream.
  • Self-XSS, redressing de UI em que um usuário razoável não cairia.
  • Sugestões de boas práticas sem impacto demonstrável.
Porto seguro

Nossos compromissos aos pesquisadores

Sem ação legal

Contra pesquisa de boa-fé que permanece dentro do escopo, evita testes destrutivos e respeita a privacidade do usuário. Não contataremos seu empregador, seu provedor de hospedagem nem a aplicação da lei sobre seu relatório.

Sem banimentos automáticos

Testes ativos (scanners autorizados, sondagem manual) não disparam bloqueio de conta — não temos contas. Limites de taxa por IP se aplicam; avise-nos e colocaremos sua origem na allowlist.

Crédito sob demanda

Publicamos um breve agradecimento nas notas de versão e nesta página depois que a correção for publicada. Quer permanecer pseudônimo ou anônimo? Diga isso no relatório.

Papo-reto sobre bounty

Ainda não operamos um programa de bounty pago. Agradecemos relatórios substantivos com merch, créditos de testnet e crédito público honesto. Quando tivermos fôlego financeiro, um programa pago será o próximo passo.

Hall da fama

Pesquisadores que tornaram isto site mais seguro

Creditamos aqui cada relatório substantivo depois que a correção for publicada. A lista atualmente está vazia — não porque ninguém olhou, mas porque acabamos de publicar esta página. Se você quiser ser o primeiro, escreva para [email protected].

Encontrou algo? Avise-nos primeiro.

Respondemos a cada relatório. Privado por padrão, público no seu ritmo.

Envie e-mail para a equipe Leia a transparência