Sorumlu açıklama

Bir güvenlik açığı mı buldunuz?

Her bildirimi ciddiye alıyoruz — içerik yazarlığı ve alim inceleme kuyruğuna sahip, çocuklara yönelik bir platform araştırmacıların yoğun ilgisini çekiyor; bunu Twitter'dan değil, sizden duymayı tercih ederiz. İşte politikamız.

Nasıl bildirilir

Açık bir açıklama (ne, nerede, yeniden üretme adımları, etki) içeren bir raporu moderation@azhar-platform.example adresine gönderin. Varsa ekran kaydı veya HTTP izini ekleyin. Lütfen sorunu düzeltmemiz için bize fırsat tanımadan kamuoyuyla PAYLAŞMAYIN.

Rapor gönder

Taahhütlerimiz

  • Her bildirimi 2 iş günü içinde yanıtlarız.
  • 5 iş günü içinde değerlendirip bir önem derecesi atarız.
  • Kritik sorunları 7 gün, yüksek öncelikli sorunları 30 gün içinde; orta ve düşük öncelikli sorunları ise bir sonraki düzenli sürüm döngüsünde gideririz.
  • Düzeltme yayımlandıktan sonra, isterseniz sizi kamuoyu önünde (değişiklik günlüğümüzde ve security.txt dosyamızda) teşekkürle anarız — anonim kalmak da tamamen uygundur.

Kapsam dahilinde

  • Kimlik doğrulama / oturum atlatma
  • Yetkilendirme açıkları — erişim hakkınız olmayan verileri okuma ya da yazma (kullanıcı bazlı, aile bazlı, alim-yönetici)
  • Enjeksiyon (SQL, NoSQL, sistem istemimizden kaçan prompt enjeksiyonu)
  • Herhangi bir görüntülenen yüzeyde depolanmış XSS veya HTML enjeksiyonu
  • Hız sınırlayıcının, istismar bildirimi kuyruğunun veya alim inceleme sürecinin atlatılması

Kapsam dışında

  • Personele yönelik sosyal mühendislik veya kimlik avı
  • Altyapıya yönelik fiziksel saldırılar
  • Üretim ortamımıza yönelik DoS / DDoS denemeleri (lütfen yerel ortamda test edin)
  • Bağımlı olduğumuz üçüncü taraf hizmetlerdeki bulgular (Firebase, Pinecone, Anthropic, OpenAI'ye doğrudan bildirin)

Aileleri ve alimleri güvende tuttuğunuz için teşekkür ederiz. Küçük bir ekibiz ve raporlarınız platformu daha iyi hale getiriyor.