laporan keselamatan · versi 2 · 15 Julai 2026

Dakwaan yang boleh disahkan.

Ini bukan halaman pemasaran yang berkata 'kami selamat', tetapi satu set dakwaan yang boleh disahkan (SR-N), yang setiapnya boleh anda cabar dalam program bug bounty kami demi satu ganjaran.

01 · Akses ke server anda

Akses ke server anda

SR-1Kata laluan root digunakan sekali dan tidak disimpan di pihak kami.disahkan+

Kata laluan hanya diperlukan untuk membuka sambungan SSH pertama dan memasang pengguna perkhidmatan. Ia dihantar sebagai pengesahan SSH untuk sambungan kami — bukan sebagai argumen skrip atau pemboleh ubah persekitaran. Pangkalan data kami tiada medan untuknya; ia tidak masuk ke persekitaran pelaksanaan skrip dan tidak ditulis ke log (ralat sambungan hanya mengandungi alamat dan port, tidak pernah kata laluan). Dalam ingatan, ia dipadam (sebaik mungkin) selepas digunakan — itu pertahanan berlapis, bukan jaminan: Go mungkin menyimpan salinan nilai tersebut pada heap sehingga pengumpulan sampah (garbage collection).

Kaveat jujur: ini kekal sebagai kata laluan root pada server anda. Selepas pemasangan, kami menyahdayakan log masuk kata laluan dan root melalui SSH, tetapi kami tidak menukar kata laluannya sendiri — tukarkannya sendiri jika anda mahu. 'Kami tidak menyimpannya' itu benar; 'ia berhenti menjadi rahsia' tidak.

SR-2Selepas pemasangan, log masuk kata laluan dan root SSH dinyahdayakan.disahkan+

PasswordAuthentication no, PermitRootLogin no, SSH dipindahkan ke port bukan standard (12011 secara lalai), fail2ban didayakan (sekatan sejam selepas 5 kali gagal), log masuk dengan kunci sahaja. Kunci awam disahkan secara ketat sebelum digunakan: baris baharu (perlindungan daripada menyelitkan kunci tambahan ke dalam authorized_keys) dan kunci yang tidak sah dari segi sintaks ditolak.

Anti-terkunci: port 22 tidak ditutup sehingga kernel mengesahkan (melalui ss) bahawa port SSH baharu benar-benar mendengar; konfigurasi diperiksa dengan sshd -t dan peraturan sudo dengan visudo -cf, kedua-duanya diundurkan jika berlaku ralat.

SR-3Kunci pengurusan hanya disimpan dalam bentuk tersulit.disahkan+

Panel bekerja bukan dengan kata laluan anda, tetapi dengan kunci berasingan (ed25519) yang dijananya sendiri. Bahagian peribadinya berada dalam pangkalan data, disulitkan dengan AES-256-GCM. Kunci penyulitan (KEK) disimpan berasingan daripada pangkalan data — dalam pemboleh ubah persekitaran server — dan dalam pengeluaran ia diwajibkan (tiada lalai yang tidak selamat: tanpa KEK, subsistem kripto tidak akan bermula). Penyulitan yang sama melindungi rahsia-rahsia berat dalam pangkalan data — kata laluan/token/JWT admin Marzban, kunci Reality, kunci penyedia pembayaran, cache kredensial proxy, konfigurasi backup.

Penyulitan bukan sekadar menyembunyikan, tetapi juga mengesahkan data (tag pengesahan GCM): gangguan pada medan tersulit dikesan semasa penyahsulitan dan ditolak. Setiap medan disulitkan dengan nonce rawak yang baharu; nilai KEK tidak pernah sampai ke log — hanya id pendeknya.

Tentang token keupayaan: token langganan /sub ialah rahsia pembawa (bearer). Untuk carian, kami hanya menyimpan SHA-256-nya, manakala salinan yang diperlukan untuk memaparkan semula pautan yang telah dikeluarkan disimpan sebagai ciphertext AES-GCM. Rekod teks-biasa yang lebih lama dimigrasikan ke format baharu, secara fail-closed, sebelum server HTTP bermula. Pengecam URL webhook pembayaran disimpan secara terbuka tetapi dengan sendirinya tidak mengesahkan sesuatu peristiwa: kesahihannya disahkan secara berasingan oleh tandatangan HMAC.

SR-4Kunci peribadi tidak pernah sampai ke pelayar.disahkan+

Kunci hanya dinyahsulit pada server, dalam ingatan; API biasa tidak pernah memulangkannya. Satu-satunya cara memperolehnya ialah fungsi eksport yang sengaja ('ambil kunci anda'), yang dilindungi oleh log masuk serta kod e-mel sekali guna (kod hanya disimpan sebagai cincangan HMAC, dibandingkan dalam masa malar, TTL 10 minit, 5 percubaan). Jadi kunci boleh diambil dengan sengaja, tetapi tidak 'bocor' melalui permintaan biasa.

SR-5Apabila sebuah server dipadam, kuncinya dibersihkan secara segerak daripada rekodnya.disahkan+

Sebelum keadaan server berubah dan sebelum sebarang operasi rangkaian latar belakang, medan-medan yang menyimpan kunci pengurusan disifarkan secara segerak. Jika pangkalan data tidak mengesahkan pembersihan itu, operasi memulangkan ralat dan boleh dicuba semula. Pemadaman kekal 'lembut' (soft): baris dan data perkhidmatan yang bukan rahsia dikekalkan. Ini tidak bermakna pemadaman fizikal backup yang telah dicipta — kitaran hayatnya dikawal oleh dasar pengekalan backup.

SR-16API rakan kongsi yang diaudit menghadkan akses kepada pemilik sumber.disahkan+

Laluan rakan kongsi yang diaudit memberi kebenaran berdasarkan partner_id, yang diterbitkan server daripada token log masuk bertandatangan — bukan daripada apa yang dihantar klien dalam path atau body. Sebelum memulangkan atau mengubah apa-apa, sistem memeriksa semula bahawa server, kluster, inbound, laluan, pengguna VPN atau pembayaran yang diminta adalah milik akaun anda; pertanyaan pangkalan data yang berkaitan dihadkan oleh partner_id anda, dan skemanya (kunci unik komposit serta kunci asing komposit) menolak pautan silang-rakan kongsi yang tidak sah. Pengasingan berlapis: aplikasi, pemeriksaan semula usecase, penapis partner_id, dan skema.

Kaveat jujur: ini disahkan oleh audit kod di sepanjang laluan permintaan, bukan oleh ujian penembusan awam — jadi SR-16, seperti yang lain, terbuka untuk disangkal dalam bug bounty.

Secara jujur tentang akses panel — ia admin penuh, bukan 'terhad'.nota jujur+

Untuk mengkonfigurasi semuanya secara automatik (memasang Xray+Reality, menerapkan konfigurasi, membaca metrik), panel memegang akses pentadbiran penuh pada server (setara root, melalui pengguna perkhidmatan dengan sudo tanpa kata laluan). Ini perlu untuk pengurusan, dan kami TIDAK menyebutnya 'terhad'.

Apa yang mengurangkan risiko: rahsia dihantar ke server hanya melalui stdin proses (bukan sebagai argumen perintah — ia tidak kelihatan dalam senarai proses); selepas pemasangan awal, setiap sambungan pengurusan mengesahkan host key server yang telah disemat (pinned) — pertukaran server 'di tengah' ditolak. Apa yang anda kawal: akses bergantung pada kunci yang boleh anda batalkan pada bila-bila masa — dengan memadam server (kunci disifarkan) atau sekadar memadam VPS di penyedia anda (kemudian semuanya lenyap).

02 · Data dan privasi anda

Data dan privasi anda

SR-6Pengguna VPN berada pada server anda; kami memegang metadata perkhidmatan seminimum mungkin.disahkan+

Akaun VPN itu sendiri (VLESS/Reality) dicipta dan berada dalam Marzban pada server master anda. Secara berpusat, kami hanya menyimpan apa yang diperlukan untuk mengeluarkan pautan langganan: token langganan rawak dan snapshot tersulit bagi kredensial proxy (sebuah cache; sumber kebenarannya ialah Marzban anda). Kami tiada sejarah trafik, IP, atau lawatan pengguna.

Berikut ialah senarai jujur tentang di mana email pengguna akhir memang melalui pangkalan data pusat kami: email kod log masuk dihantar oleh kami, jadi alamat itu melalui baris gilir penghantaran kami (untuk sebarang log masuk ke etalase, termasuk yang percuma); semasa pembayaran, email pembeli tiba dalam webhook pembayaran dan masuk ke log pembayaran; semasa memaut Telegram, email disimpan ke profil. Inilah satu-satunya titik sentuh — bersifat fungsian dan atas keperluan; tiada satu pun daripadanya melibatkan trafik atau tingkah laku pengguna.

Data perkhidmatan ini kami simpan hanya selama yang diperlukan dan kami bersihkan secara automatik: email dikeluarkan daripada baris gilir penghantaran sebaik sahaja dihantar, kandungan peristiwa pembayaran selepas diproses, dan peristiwa yang menunggu percubaan semula dalam tempoh 90 hari. Anda boleh memadamkan akaun anda berserta data yang berkaitan dengannya dengan menghubungi sokongan (lihat risiko 7 untuk butiran). Kami mendedahkan perkara ini secara terbuka dan bukannya menyembunyikannya di sebalik kata-kata yang kabur.

SR-7Kami tidak mengumpul log trafik atau lawatan anda, dan server tidak menyimpan jurnal lawatan.disahkan+

Platform CreateYourVPN tidak menerima atau menyimpan maklumat tentang laman mana yang anda atau pengguna anda lawati. Skema pengambilan metrik bersifat tertutup: secara fizikal ia tiada medan untuk IP, domain, atau lawatan — hanya agregat (kiraan unik dalam talian, jumlah bait, CPU/RAM/beban). Setiap nod mengesahkan dengan token HMAC yang terikat pada id-nya sendiri dan hanya boleh menulis metrik untuk dirinya sendiri. Pengimbang pada nod (HAProxy) berfungsi sebagai penghala TCP mengikut SNI dan tidak menyahsulit trafik. Pada server itu sendiri, jurnal sistem (journald) disimpan tidak lebih daripada kira-kira sejam dan tidak dimajukan ke syslog.

Melampaui peringkat platform, server juga tidak menyimpan jurnal lawatan: pengelogan akses Xray dipaksa dimatikan pada setiap tolakan konfigurasi (platform menetapkan log.access kepada none), jadi proksi tepi tidak merekod alamat yang disambungkan oleh pengguna. Ini dikuatkuasakan dalam kod dan disebarkan ke seluruh armada.

SR-8Analitik web ialah Google Analytics; tiada penjejak lain.disahkan+

Untuk memahami cara laman dan panel digunakan, kami menggunakan Google Analytics (sepanduk kuki memberi amaran tentang pengumpulan kuki dan statistik; butirannya ada dalam Dasar Privasi). Tiada penjejak pihak ketiga lain: tiada Sentry, PostHog, Mixpanel, atau piksel iklan (disahkan dengan mencari kedua-dua frontend). Backend langsung tiada telemetri pihak ketiga. Gerai pengguna akhir langsung tidak diliputi analitik — tiada GA, tiada penjejak (boleh disahkan daripada sumbernya).

Kaveat: GA menerima IP anda (di pihak Google) dan alamat halaman panel yang dilihat; URL panel hanya mengandungi pengecam kluster, bukan e-mel.

SR-9Pembayaran adalah luaran — kami tidak menerima nombor kad penuh.disahkan+

Pembayaran dan semua data kad dikendalikan di pihak penyedia (Tribute / Lemon Squeezy). Kami hanya menerima webhook bertandatangan (HMAC-SHA256, perbandingan masa malar, disahkan sebelum body dihuraikan dan sebelum sebarang penulisan pangkalan data: tanpa mengetahui rahsianya, sesuatu peristiwa gagal pengesahan). Kami tidak menerima nombor kad penuh (PAN) atau CVV. Penghantaran semula webhook yang sama (percubaan semula penyedia) tidak menyebabkan pemberian berganda — peristiwa dinyahduplikat.

Kaveat: penyedia mungkin menyertakan metadata kad (jenama dan 4 digit terakhir) serta nama dan e-mel pembayar dalam body webhook. Body asal diperlukan oleh worker sehingga pemprosesan selesai; selepas berjaya diproses, ia dipadam bersama petunjuk e-mel. Peristiwa yang menunggu percubaan semula atau semakan manual menyimpan body asal hanya sehingga akhir tempoh pengekalan (90 hari tanpa aktiviti), selepas itu metadata kad dan e-mel pembayar dipadam secara automatik. 'Tiada nombor kad penuh' itu benar, tetapi itu sifat para penyedia (kami sendiri tidak menapis body); 'kami tidak melihat apa-apa tentang kad langsung' tidak.

Apa yang kami simpan tentang anda (rakan kongsi), secara jujur.nota jujur+

E-mel (diperlukan untuk log masuk), masa log masuk terakhir, mod antara muka; untuk pengebilan — baki dan Telegram (untuk tambah nilai). IP rakan kongsi tidak disimpan dalam pangkalan data, dan kami tidak menyimpan sebarang sejarah klik atau tindakan dalam panel (selain log akses ringkas semasa ralat).

03 · Pengukuhan server

Pengukuhan server

SR-10Firewall menolak segalanya kecuali yang diperlukan.disahkan+

Firewall menolak sambungan masuk secara lalai. Yang terbuka ke luar: 443 (VPN, Xray+Reality), SSH pada port bukan standard (12011 secara lalai), dan — pada server master — port panel admin Marzban, hanya untuk IP control-plane. Port 80 dibuka secara berasingan hanya dalam mod Let's Encrypt untuk HTTP-01. Port 22 ditutup selepas SSH dipindahkan.

Port pengurusan nod hanya terbuka kepada IP server master, bukan ke luar (kegagalan pengikatan ini membatalkan pemasangan). Jika firewall tidak menjadi aktif, pemasangan gagal. ICMP echo dihadkan hanya untuk IPv4; kami tidak menjanjikan server 'tidak kelihatan', dan ICMP IPv6 dikekalkan supaya IPv6 berfungsi dengan betul.

SR-11Kemas kini keselamatan automatik.disahkan+

Unattended upgrades memasang kemas kini pakej keselamatan secara automatik. Kaveat: but semula automatik sengaja dinyahdayakan (supaya kernel yang belum disahkan tidak but semula dengan sendirinya) — yang bermaksud pembetulan yang memerlukan but semula (kernel, kadangkala OpenSSH) hanya digunakan selepas but semula manual atau berjadual. 'Penampalan automatik' benar untuk userland, bukan untuk yang memerlukan but semula.

Secara jujur tentang 'menjadi tidak kelihatan' — kami tidak mendakwanya.nota jujur+

Kami TIDAK mendakwa server 'tidak kelihatan' atau 'tidak boleh diimbas'. Port 443 terbuka dan menjawab sambungan TCP seperti mana-mana server web. Sifat 'pada sambungan yang salah ia kelihatan seperti sebuah laman web biasa yang tidak berkaitan' disediakan oleh protokol Reality di dalam Xray — komponen berasingan yang tidak kami jadikan pernyataan mutlak.

04 · Platform (panel kawalan)

Platform (panel kawalan)

SR-12Log masuk ke akaun CreateYourVPN anda tanpa kata laluan.disahkan+

Log masuk rakan kongsi menggunakan kod 6 digit sekali guna yang dihantar ke e-mel. Tiada kata laluan akaun. Ini tidak terpakai untuk kredensial dalaman komponen yang diurus, seperti kata laluan admin Marzban yang dijana. Kod dijana oleh penjana kriptografi; hanya cincangan HMAC-nya disimpan, dan perbandingan dilakukan dalam masa malar. Kod adalah sekali guna: apabila berjaya, ia terus dipadam (tiada replay); selepas 5 percubaan salah, ia dipadamkan lebih awal. Had kadar pengeluaran dikira setiap e-mel, bukan setiap IP — ia tidak boleh dipintas dengan menukar alamat.

SR-13Sesi dilindungi.disahkan+

Token sesi berada dalam kuki HttpOnly dan Secure (JS tidak boleh membacanya), disahkan pada backend (bukan hanya pada edge). Tamat masa melahu dan log keluar automatik semasa tidak aktif dilaksanakan pada klien, bukan pada server. Token ditandatangani dengan HS256; semasa pengesahan, kami menolak keras sebarang algoritma lain (termasuk 'none') — serangan pertukaran algoritma klasik tidak lepas. Token gerai dan token panel rakan kongsi dipisahkan mengikut audience: token pengguna akhir secara teknikal tidak boleh mencapai API rakan kongsi (dan sebaliknya). Rakan kongsi yang telah dipadam ditolak walaupun dengan token yang masih hidup.

Kaveat: pembatalan dilaksanakan dengan memeriksa bahawa rakan kongsi masih wujud pada setiap permintaan, bukan dengan membatalkan token itu sendiri; log keluar memadam kuki, tetapi token yang telah dikeluarkan kekal sah dari segi kriptografi sehingga tamat tempoh (sehingga sejam). Belum ada senarai pembatalan berpusat (penyederhanaan MVP yang disengajakan).

SR-14Token dan rahsia tidak bocor ke pelayar.disahkan+

Tiada token dalam storan setempat pelayar (hanya tetapan UI); tiada rahsia atau alamat API yang masuk ke dalam himpunan klien. Hanya server (Next.js) meletakkan token dalam kuki HttpOnly. Pelayar bercakap dengan teras hanya melalui server (Server Actions): frontend tidak memanggil API terus dari pelayar, dan CORS tidak membenarkan pelayar membaca respons API daripada origin lain.

Penjelasan menggantikan pernyataan mutlak yang lama: domain API itu sendiri ialah hos awam — secara teknikal anda boleh membukanya dari pelayar, tetapi tanpa sesi ia tidak memulangkan sebarang data yang dibenarkan.

SR-15Domain awam platform menggunakan HTTPS dengan pengepala keselamatan yang ketat.disahkan+

Domain awam CreateYourVPN disajikan melalui HTTPS dengan HSTS (max-age dua tahun, includeSubDomains). Kedua-dua frontend web dan domain API menghantar satu set pengepala keselamatan yang ketat: Content-Security-Policy yang mengehadkan, X-Content-Type-Options: nosniff, X-Frame-Options, dan Referrer-Policy yang dikunci (no-referrer pada API; strict-origin-when-cross-origin pada frontend, yang turut menghantar Permissions-Policy yang mengehadkan).

Ini aktif dalam pengeluaran pada kedua-dua domain dan boleh disemak secara bebas — dengan mana-mana pemeriksa pengepala HTTP atau perkhidmatan seperti SSL Labs.

Secara jujur tentang risiko (apa yang kami TIDAK janjikan)

Secara jujur tentang risiko (apa yang kami TIDAK janjikan)

Sebuah laporan tanpa bahagian ini adalah pemasaran. Berikut batasan yang sebenar:

01Penyimpanan kunci berpusat — di bawah perlindungan berbilang lapisan.

Panel kawalan menyimpan kunci akses tersulit ke seluruh armada pelayan. Ia, secara semula jadi, merupakan komponen sistem yang paling sensitif — dan kami melindunginya dengan sewajarnya.

Apa yang melindunginya: rahsia berat berada dalam pangkalan data hanya sebagai teks sulit; kunci penyulitan (KEK) disimpan berasingan daripada pangkalan data; kunci tidak pernah sampai ke pelayar; dan disifarkan apabila sesebuah pelayan dipadamkan. Token langganan mempunyai satu lapisan tambahan — carian hash (hash lookup) berserta AES-GCM — sehingga longgokan (dump) pangkalan data tanpa KEK pun tidak mengandungi sebarang pautan /sub yang berfungsi.

Had yang jujur: penyulitan melindungi dengan boleh dipercayai daripada kecurian pangkalan data itu sendiri — sandaran, replika atau dump. Ia tidak menghapuskan risiko kompromi penuh terhadap hos panel itu sendiri, di mana KEK dan pangkalan data tersedia kepada satu proses tunggal. Itulah sebabnya tumpuan utama pertahanan kami adalah mencegah pengambilalihan hos itu sendiri: pengasingan, kemas kini keselamatan automatik, dan permukaan terdedah yang minimum.

KMS/HSM khusus akan tiba dalam salah satu keluaran keselamatan yang akan datang.

02Risiko serangan Man-in-the-Middle (MITM) pada sambungan pertama dikurangkan hingga praktikalnya sifar.

Apabila anda menambah pelayan, kami menyambung kepadanya tepat sekali sahaja — menggunakan kata laluan sementara yang anda masukkan. Pada sambungan pertama inilah serangan Man-in-the-Middle (MITM) secara teori mungkin berlaku. Kami meneutralkannya melalui beberapa langkah bebas, jadi risiko praktikalnya dikurangkan hingga sifar.

Kata laluan adalah untuk sekali guna: ia berfungsi untuk tepat satu sambungan, tidak disimpan di mana-mana di pihak kami, dan tidak pernah diguna semula. Kunci peribadi tidak pernah dihantar melalui rangkaian — pengesahan berikutnya bergantung pada sepasang kunci (pengesahan kunci awam, pubkey), bukan pada kata laluan.

Sebaik sahaja persediaan selesai, pengesahan kata laluan dan log masuk root dilumpuhkan pada pelayan, port SSH ditukar, dan akses dialihkan kepada kunci sahaja. Mulai saat itu, kata laluan yang dipintas sekalipun tidak membuka apa-apa.

Setiap sambungan pengurusan seterusnya mengesahkan cap jari pelayan yang telah dipin (host-key pinning) — pelayan yang digantikan «di tengah-tengah» akan ditolak.

Hasilnya, pemintasan hanya mungkin bagi penyerang yang secara fizikal berada pada laluan rangkaian antara kami dan pelayan sepanjang beberapa saat pemasangan awal itu — dan walaupun dalam kes melampau itu, data yang dipintas serta-merta menjadi tidak berguna.

03Akses fizikal ke pelayan terletak pada penyedia VPS anda.

Ini merupakan sifat mana-mana pelayan sewaan, bukan hanya milik kami: syot kilat (snapshots), mod rescue dan seumpamanya tersedia kepada penyedia, dan tiada perisian yang melindungi daripadanya. Sebaliknya, memilih penyedia yang boleh dipercayai berada di tangan anda, dan pelayan itu sepenuhnya milik anda — anda boleh menukar penyedia atau memadamkan mesin pada bila-bila masa.

04Kerentanan yang tidak diketahui (0-day) sentiasa wujud.

Tiada sesiapa boleh menjanjikan perlindungan mutlak — kerentanan baharu muncul dalam semua perisian. Apa yang kami lakukan: kemas kini keselamatan dipasang secara automatik, dan pembetulan yang memerlukan but semula (kernel, kadangkala OpenSSH) berkuat kuasa selepas but semula — sama ada manual atau berjadual (lihat SR-11).

05Email disimpan — secara minimum dan atas keperluan fungsi.

Email anda untuk log masuk, dan email pengguna akhir dalam beberapa kes perkhidmatan (lihat SR-6). Ia disimpan hanya selama yang diperlukan dan dibersihkan secara automatik (lihat risiko 9).

06Log masuk menggunakan kod email — belum ada 2FA berasingan.

Oleh sebab log masuk bergantung pada kod sekali guna melalui email, peti mel anda sebenarnya adalah kunci kepada akaun — wajar dilindungi dengan baik. Faktor kedua masih belum ada: munasabah untuk peringkat ini, tetapi baik untuk diketahui.

07Data disimpan untuk tempoh terhad dan dibersihkan secara automatik.

Kami menyimpan data peribadi hanya selama sesuatu operasi memerlukannya, kemudian membersihkannya secara automatik. Emel dikeluarkan daripada baris gilir sebaik sahaja mesej dihantar, dan kandungan mentah bagi peristiwa pembayaran yang berjaya sebaik sahaja ia diproses.

Hanya satu perkara yang kekal lebih lama: peristiwa pembayaran yang menunggu percubaan semula atau semakan manual. Kandungan asalnya disimpan bukan tanpa had, tetapi sehingga akhir tempoh 90 hari tanpa aktiviti, selepas itu data peribadi dipadam secara automatik.

Kawalan layan diri «padam data saya» dalam antara muka masih belum ada — ciri itu telah dirancang. Sementara itu, anda boleh memadamkan akaun anda, berserta data yang berkaitan dengannya, dengan menghubungi sokongan.

08Token langganan tidak tamat tempoh.

Pautan /sub ialah token pembawa (bearer) kekal sehingga pembatalan manual atau pemadaman pengguna; tiada tamat-tempoh automatik atau putaran (pautan yang bocor kekal hidup).

09Sandaran pengguna mengeksport data ke luar pelayan anda.

Jika anda mendayakan eksport sandaran ke Google Drive atau S3, data pengguna meninggalkan pelayan anda, dan perlindungannya kemudian bergantung pada awan anda — laporan ini tidak melindunginya secara berasingan. Ia pilihan anda yang disengajakan: ciri ini anda hidupkan sendiri.

jangan percaya kata kami begitu sahaja

Cara memeriksanya.

Setiap dakwaan di atas ialah satu pertaruhan awam. Kami menjemput anda mencari di mana kami tersilap atau membesar-besarkan:

jalur A

Jalur A — kerentanan klasik (RCE, pintasan kebenaran, IDOR, kebocoran, dan sebagainya).

jalur B

Jalur B — menyangkal laporan ini: buktikan bahawa mana-mana SR-N adalah palsu, dapatkan ganjaran, dan kami menerbitkan pembetulan secara terbuka.

Menemui sesuatu?

Tulislah kepada kami dengan bukti konsep yang boleh dihasilkan semula. Kami membalas dalam masa 72 jam dan mengendalikan triaj secara dalaman.

security@createyourvpn.com/.well-known/security.txt · 90 hari senyap · safe harbor