公平游戏
- Web 前端
nokycswap.io及我们运营的任何子域名(api.等)。 - 可从生产表面到达的服务端代码路径。
- 具有可证明影响的客户端问题(XSS、CSRF 绕过、泄漏状态的 DOM clobbering)。
- 我们的签名 / CSRF / 会话处理中的加密弱点。
- 在 HTTP(S) 上可见的错误配置:CSP 绕过、HSTS/preload 缺口、CORS 过于宽松、header 注入链。
- 使用户能够读取或篡改他人订单状态的逻辑缺陷。
安全
负责任披露, 做得正确。
若您在 NoKYCSwap 上发现漏洞,请告诉我们。九十天协调披露,对善意研究不采取法律行动,可根据请求公开致谢。本页详述确切条款。
披露时间线
从报告到 公开致谢
2
第 1 – 90 天
分诊与修复
我们重现、评分并部署修复。高于中等严重性的,我们力争在 14 天内发布修复;低严重性的,在 90 天内发布。您至少每 14 天收到一次状态更新。
3
第 90 天+
公开披露
修复发布且用户有时间更新之后,我们会发布简短说明并以您的姓名或化名致谢 — 除非您另有偏好。仅限协调披露。无突袭禁令。
范围
我们希望您 用于测试
不符合条件,将被关闭
- 拒绝服务、资源耗尽、无次级影响的限流绕过。
- 标签劫持、无安全影响的点击劫持、静态资源缺少安全头。
- 需要攻击者已在用户浏览器内的问题(恶意扩展、本地恶意软件)。
- 在我们无法控制的邮件中伪造
From头。 - 第三方资源(Cloudflare、fonts.bunny.net、ff.io)— 请上报给上游。
- Self-XSS、理性用户不会中招的 UI 重定向。
- 无可证明影响的最佳实践建议。
安全港
我们的承诺 致研究者
不采取法律行动
对于限定在范围内、避免破坏性测试并尊重用户隐私的善意研究。我们不会就您的报告联系您的雇主、您的托管服务商或执法部门。
无自动封禁
主动测试(授权扫描器、手动探测)不会触发账户锁定 — 我们没有账户。IP 级限流适用;请告知我们,我们会将您的来源列入白名单。
根据请求致谢
修复发布后,我们会在发布说明和本页发布简短致谢。想保持化名或匿名?请在报告中说明。
赏金实话实说
我们尚未运营付费赏金计划。我们以周边、测试网积分以及诚实的公开致谢感谢有实质内容的报告。当我们有预算时,付费计划将是下一步。
名人堂
构建此项目的研究者 让站点更安全
每份有实质内容的报告在修复发布后我们都会在此致谢。清单目前为空 — 并非无人看过,只是我们刚刚发布此页面。若您想成为第一位,写信给 [email protected]。
