Чинна з: червень 2026
Security Policy
Як повідомити про вразливість у ScaneReport — публічному SaaS на
scanereport.online або у self-hosted інсталяціях.
Машиночитана версія для сканерів — /.well-known/security.txt.
Куди писати
✉️ [email protected]
📨 Telegram @nknaumov
Якщо знахідка чутлива — Telegram надійніший за email. PGP поки не публікуємо;
якщо вам потрібен зашифрований канал — пишіть, домовимось індивідуально.
Безпечне розкриття
Дайте нам розумний час полагодити перед публічним розкриттям —
типово 30 днів для high-severity, 90 днів для critical-severity
на сайтах третіх осіб (self-hosted клієнти).
Ми відповімо протягом 48 годин; рішення тріажу — протягом 7 днів.
Якщо мовчимо — це означає що відповідь застрягла; ткніть ще раз.
Що нас цікавить (in scope)
- Обхід автентифікації або авторизації, ескалація привілеїв.
- Серверні ін'єкції (SQL, command, SSRF, XXE).
- IDOR / горизонтальна ескалація на
/api/* — будь-який спосіб прочитати дані чужого тенанта чи чужої бригади.
- Криптослабкості: налаштування SQLCipher, bcrypt-параметри, реалізація TOTP/2FA, ECDSA-підпис ліцензій.
- Розкриття секретів (session secret, SQLITE_ENCRYPTION_KEY, VAPID-ключі, LICENSE_PRIVATE_KEY).
- CSRF, SSRF, відкритий редирект, що ведуть до реальної шкоди.
- Стійкі XSS, що дозволяють крадіжку сесії.
- Race conditions у видаленні даних / змінні балансу / лічильниках лімітів тарифу.
Поза межами програми (out of scope)
- Self-XSS (потрібна власна взаємодія користувача без шансів закрипити).
- Брутфорс
/auth/* без обходу rate-limit (rate-limit у нас вже стоїть).
- Відсутні security-headers на статичних маркетингових сторінках, якщо вони не призводять до експлойту.
- Знахідки з автоматичних сканерів без PoC або кроків відтворення.
- Все на тестових/staging-субдоменах.
- Соціальна інженерія співробітників (їх немає 🙂) і фізичні атаки.
- Виявлення відсутнього HSTS preload, DMARC/DKIM/SPF на email-домені.
Безпечні методи тестування
- Не використовуйте автоматичні сканери проти продакшну (це створює навантаження і викривлює аналітику).
- Не намагайтеся читати/змінювати/видаляти дані інших користувачів — використовуйте власні тестові акаунти.
- Не публікуйте, не зберігайте і не передавайте чужі персональні дані.
- Не виконуйте DoS / DDoS / спам тестування.
Винагороди
Формальної bug-bounty програми немає (ми невеликий проєкт).
Тим не менш, для якісних знахідок:
- Подяка у списку Hall of Fame на цій сторінці (за згодою).
- Безкоштовна підписка на тариф найвищого рівня — на ваш проєкт або проєкт благодійної організації.
- Кава 🍵, фінансова подяка — для critical-знахідок, обсяг обговорюється.
Hall of Fame
Поки порожній — будьте першим. Допоможіть зробити ScaneReport безпечнішим.
📄 security.txt
🔒 Privacy
📄 Terms