Uygulamayı aç
Güvenlik

Sorumlu açıklama, doğru yapılmış.

NoKYCSwap'ta bir güvenlik açığı bulursanız, bize söyleyin. Doksan günlük koordineli açıklama, iyi niyetli araştırmaya karşı hukuki işlem yok, istek üzerine kamuya kredi. Bu sayfa tam şartları açıklar.

Rapor
[email protected] security.txt
ONAY: < 48h · Düzeltme SLA: 14 – 90d · PGP: istek üzerine
Açıklama zaman çizelgesi

Rapordan şuraya: kamu kredisi

1
0. Gün

Rapor

Kısa bir yazı ve bir kavram kanıtı ile [email protected]'a e-posta gönderin. PGP anahtarı istek üzerine mevcuttur. 48 saat içinde onaylıyoruz.

2
1. – 90. Gün

Önceliklendirme ve düzeltme

Yeniden üretir, puanlar ve bir düzeltme dağıtırız. Orta seviyenin üzerinde bir ciddiyet için, düzeltmeyi 14 gün içinde göndermeyi hedefliyoruz; düşük ciddiyet için, 90 gün içinde. En az 14 günde bir durum güncellemesi alırsınız.

3
90. Gün ve sonrası

Kamuya açıklama

Düzeltme yayınlandıktan ve kullanıcılar alma zamanı bulduktan sonra, kısa bir not yayınlar ve size isim veya takma adla kredi veririz — aksini tercih etmediğiniz sürece. Yalnızca koordineli açıklama. Sürpriz ambargo yok.

Kapsam

Sizden istediğimiz test etmek için

Kapsam içinde

Adil oyun

  • nokycswap.io web ön yüzü ve işlettiğimiz herhangi bir alt alan adı (api., vb.).
  • Üretim yüzeyinden ulaşılabilir sunucu tarafı kod yolları.
  • Gösterilebilir etkisi olan istemci tarafı sorunları (XSS, CSRF atlatma, durum sızdıran DOM ezme).
  • İmzalama / CSRF / oturum işlememizde kriptografik zayıflıklar.
  • HTTP(S) üzerinden görünür yanlış yapılandırmalar: CSP atlatma, HSTS/önyükleme boşlukları, CORS izin verme, header enjeksiyon zincirleri.
  • Bir kullanıcının başka bir kullanıcının sipariş durumunu okumasına veya değiştirmesine izin veren mantık kusurları.
Kapsam dışında

Uygun değil ve kapatılacak

  • İkincil bir etkisi olmayan hizmet reddi, kaynak tüketimi, hız sınırı atlatma.
  • Sekme kapma, güvenlik etkisi olmayan tıklama kaçırma, statik varlıklarda eksik güvenlik başlıkları.
  • Kullanıcının tarayıcısında bir saldırgan gerektiren sorunlar (kötü niyetli uzantılar, yerel kötü amaçlı yazılım).
  • Kontrol etmediğimiz e-postalarda From başlıklarını sahtelemek.
  • Üçüncü taraf varlıklar (Cloudflare, fonts.bunny.net, ff.io) — üst akışa bildirin.
  • Makul bir kullanıcının düşmeyeceği self-XSS, UI redressing.
  • Gösterilebilir etkisi olmayan en iyi uygulama önerileri.
Güvenli liman

Taahhütlerimiz araştırmacılara

Hukuki işlem yok

Kapsam dahilinde kalan, yıkıcı test yapmaktan kaçınan ve kullanıcı gizliliğine saygı gösteren iyi niyetli araştırmalara karşı. Raporunuz hakkında işvereninizle, barındırma sağlayıcınızla veya kolluk kuvvetleriyle iletişime geçmeyeceğiz.

Otomatik yasak yok

Aktif test (yetkili tarayıcılar, manuel araştırma) hesap kilitlenmesini tetiklemeyecektir — hesabımız yok. IP seviyesinde hız sınırları geçerlidir; bize bildirin, kaynağınızı beyaz listeye ekleyelim.

İstek üzerine kredi

Düzeltme yayınlandıktan sonra sürüm notlarında ve bu sayfada kısa bir teşekkür yayınlıyoruz. Takma adlı veya anonim kalmak ister misiniz? Raporda öyle söyleyin.

Ödül dürüst konuşması

Henüz ücretli bir ödül programı işletmiyoruz. Önemli raporlara eşantiyon, test ağı kredileri ve dürüst kamu kredisi ile teşekkür ediyoruz. Pistimiz olduğunda, ücretli bir program sıradaki olacak.

Şöhret salonu

Bunu yapan araştırmacılar daha güvenli site

Düzeltme gönderildikten sonra her önemli raporu burada kredilendiriyoruz. Liste şu anda boş — kimse bakmadığı için değil, sadece bu sayfayı yeni yayınladığımız için. İlk olmak isterseniz, [email protected] adresine yazın.

Bir şey mi buldunuz? Önce bize söyleyin.

Her rapora yanıt veriyoruz. Varsayılan olarak özel, sizin zaman çizelgenizde kamuya açık.

Ekibe e-posta gönder Şeffaflığı oku