Открыть приложение
Безопасность

Ответственное раскрытие, сделано правильно.

Если вы нашли уязвимость в NoKYCSwap, сообщите нам. Скоординированное раскрытие за девяносто дней, никаких судебных действий против добросовестного исследования, публичное признание по запросу. На этой странице изложены точные условия.

Отчёт
[email protected] security.txt
Подтверждение: < 48h · SLA исправления: 14 – 90d · PGP: по запросу
Сроки раскрытия

От отчёта до публичное признание

1
День 0

Отчёт

Напишите на [email protected] короткое описание и PoC. PGP-ключ доступен по запросу. Мы подтверждаем получение в течение 48 часов.

2
День 1 – 90

Сортировка и исправление

Мы воспроизводим, оцениваем и выкатываем исправление. Для серьёзности выше средней цель — выпустить исправление в течение 14 дней; для низкой — в течение 90. Вы получаете обновление статуса минимум каждые 14 дней.

3
День 90+

Публичное раскрытие

После выхода исправления и времени на обновление пользователями мы публикуем короткую заметку и указываем вас по имени или нику — если только вы не предпочитаете иное. Только скоординированное раскрытие. Никаких внезапных эмбарго.

Область

Чего мы хотим от вас для тестирования

В рамках

Разрешено

  • Веб-фронтенд nokycswap.io и любой поддомен, которым мы управляем (api. и т. д.).
  • Серверные пути кода, доступные с продакшена.
  • Проблемы на стороне клиента с доказуемым влиянием (XSS, обход CSRF, DOM clobbering, утечка состояния).
  • Криптографические уязвимости в нашей подписи / CSRF / обработке сессий.
  • Ошибки конфигурации, видимые по HTTP(S): обход CSP, пробелы HSTS/preload, разрешительность CORS, цепочки инъекций заголовков.
  • Логические ошибки, позволяющие одному пользователю читать или изменять состояние заказа другого.
Вне рамок

Не подходит и будет закрыто

  • Отказ в обслуживании, исчерпание ресурсов, обход лимитов без побочного воздействия.
  • Tab-nabbing, clickjacking без влияния на безопасность, отсутствующие заголовки безопасности на статических ресурсах.
  • Проблемы, требующие присутствия атакующего в браузере пользователя (вредоносные расширения, локальные зловреды).
  • Подмена заголовков From в почте, которую мы не контролируем.
  • Сторонние ресурсы (Cloudflare, fonts.bunny.net, ff.io) — сообщайте поставщику.
  • Self-XSS, UI-redressing, на который разумный пользователь не попадётся.
  • Рекомендации по лучшим практикам без доказуемого влияния.
Безопасная гавань

Наши обязательства к исследователям

Никаких судебных действий

В отношении добросовестного исследования в рамках scope, избегающего деструктивного тестирования и уважающего приватность пользователей. Мы не будем связываться с вашим работодателем, хостинг-провайдером или правоохранительными органами по поводу вашего отчёта.

Никаких автоматических блокировок

Активное тестирование (авторизованные сканеры, ручная проверка) не приведёт к блокировке аккаунта — у нас нет аккаунтов. Применяются ограничения на уровне IP; сообщите нам, и мы внесём ваш источник в белый список.

Упоминание по запросу

Мы публикуем короткое признание в примечаниях к релизу и на этой странице после выпуска исправления. Хотите остаться под псевдонимом или анонимно? Укажите это в отчёте.

Честный разговор о вознаграждениях

Мы пока не ведём платной программы вознаграждений. Мы благодарим за содержательные отчёты мерчем, тестнет-кредитами и честным публичным признанием. Когда появится возможность, следующей будет платная программа.

Зал славы

Исследователи, сделавшие это сайт безопаснее

Мы упоминаем каждый содержательный отчёт здесь после выхода фикса. Список пока пуст — не потому что никто не смотрел, а потому что мы только что опубликовали эту страницу. Если хотите быть первым, напишите на [email protected].

Что-то нашли? Сначала скажите нам.

Мы отвечаем на каждый отчёт. По умолчанию — приватно, публично по вашему графику.

Написать команде Читать о прозрачности