Security Policy

1. How to report vulnerabilities

Report security issues by email only: security@0xccffff.xyz.

Good-faith research is welcome. Please avoid privacy violations and service disruption.

2. In-scope testing

• Authentication bypass and privilege escalation
• IDOR and broken access control
• Stored or reflected XSS
• Sensitive data exposure
• CSRF or abuse that changes protected state

3. Out-of-scope / prohibited activity

• DDoS, load stress, or disruption attempts
• Social engineering or phishing against people
• Physical attacks
• Automated spam/scanning that degrades service
• Any data exfiltration attempt

4. Response process

• Acknowledgement target: within 72 hours
• Status update target: within 7 days when reproducible
• Public disclosure timing is determined after mitigation by maintainer discretion
• No bug bounty or monetary reward commitment

1. 취약점 제보 방법

보안 제보 채널은 이메일만 사용합니다: security@0xccffff.xyz.

선의의 보안 연구는 환영합니다. 개인정보 침해와 서비스 장애를 유발하는 행위는 피해주세요.

2. 허용 범위 (In-scope)

• 인증 우회, 권한 상승
• IDOR 및 접근 제어 취약점
• Stored/Reflected XSS
• 민감 정보 노출
• 보호된 상태를 바꾸는 CSRF/권한 악용

3. 제외/금지 항목 (Out-of-scope)

• DDoS, 과도한 부하 테스트, 서비스 방해
• 사람 대상 사회공학/피싱
• 물리적 공격
• 서비스 품질을 떨어뜨리는 자동 스캔/스팸
• 데이터 탈취 시도

4. 응답 방식

• 접수 확인 목표: 72시간 이내
• 재현 가능한 경우 7일 이내 1차 상태 공유
• 공개 시점은 조치 완료 후 운영자 판단으로 결정
• 버그 바운티/금전 보상은 제공하지 않습니다