Ответственное раскрытие уязвимостей
Обнаружили проблему с безопасностью?
Мы серьёзно относимся к каждому сообщению — платформа для детей с авторским контентом и очередью проверки учёными привлекает немало исследователей, и мы предпочитаем узнавать о проблемах от вас, а не из социальных сетей. Вот наша политика.
Как сообщить об уязвимости
Отправьте подробное описание (что, где, шаги воспроизведения, последствия) на адрес moderation@azhar-platform.example. Приложите запись экрана или HTTP-трассировку, если они у вас есть. Пожалуйста, НЕ публикуйте информацию об уязвимости до тех пор, пока мы не устраним её.
Отправить сообщениеНаши обязательства
- Мы подтверждаем получение каждого сообщения в течение 2 рабочих дней.
- Мы проводим сортировку и присваиваем степень серьёзности в течение 5 рабочих дней.
- Критические уязвимости мы устраняем в течение 7 дней; высокой степени — в течение 30 дней; средней и низкой — в рамках следующего планового цикла выпуска.
- После выпуска исправления мы публично упоминаем вас (в журнале изменений и файле security.txt), если вы не против — анонимность также приветствуется.
В области проверки
- Обход аутентификации / сессий
- Нарушения авторизации — чтение или запись данных, к которым нет доступа (на уровне пользователя, семьи, учёного-администратора)
- Инъекции (SQL, NoSQL, prompt-инъекции, выходящие за пределы системного промпта)
- Хранимые XSS или HTML-инъекции на любой отображаемой поверхности
- Обход ограничителя запросов, очереди жалоб на нарушения или конвейера проверки учёными
Вне области проверки
- Социальная инженерия или фишинг в отношении сотрудников
- Физические атаки на инфраструктуру
- DoS / DDoS-атаки на наш производственный сервер (пожалуйста, тестируйте локально)
- Уязвимости в сторонних сервисах, которые мы используем (сообщайте напрямую в Firebase, Pinecone, Anthropic, OpenAI)
Благодарим вас за заботу о безопасности семей и учёных. Мы небольшая команда, и ваши сообщения помогают нам делать платформу лучше.