安全日志
安全日志。
我们在发现被修复并验证之后才会公开——只是一段简短摘要,绝不会给出可利用的操作步骤。每条条目旁都标有修复用时。
条目
发生过什么。
2026年7月15日
计划启动前的内部审查
2026 年 7 月 15 日,我们启动了对 CreateYourVPN 的内部安全审查。我们已完成并复核的修复发布于下;随着更多修复的部署与确认,还会陆续公布。
— CreateYourVPN 团队2026年7月15日
针对不安全的 cross-origin 配置增加了防护
当前的 production 配置并不允许任意来源(origin),但如果运维人员配置有误,代码会容许一种危险的参数组合。现在该组合会在启动时被拒绝,并有一项自动化测试加以覆盖。
— CreateYourVPN 团队2026年7月15日
缩减了 production API 的公开面
API 的交互式技术文档此前无需认证即可访问。它并未提供对受保护数据的访问,但使研究 API 的内部结构更为容易。在 production 中该文档现已停用,同时在一个隔离环境中仍可供开发使用。
— CreateYourVPN 团队2026年7月15日
按用途分离了平台的加密密钥
一次内部审查发现,同一个密钥被用于两项不同的加密任务。这并未造成直接的绕过,但会扩大密钥泄露的影响范围。两种用途已被分离,现各自独立轮换。
— CreateYourVPN 团队2026年7月15日
保证在删除服务器后清除管理密钥
加密的管理密钥的清除此前在后台网络操作之后执行,若这些操作失败便可能无法重试。我们已将密钥清除与网络级联操作解耦,并加入了有保证的重试。服务器不可达与进程中断这两种情形均有测试覆盖。
— CreateYourVPN 团队2026年7月15日
移除了合作伙伴 API 中一条未使用的授权路径
该 API 此前支持一条基于 cookie 的额外授权路径,而当前的 server-side 架构并不需要它。在 production 中未发现跨站攻击,但这条多余路径扩大了未来出错的面。现在 API 使用单一、明确定义的授权方式,并有负向测试覆盖。
— CreateYourVPN 团队如何阅读日志
这里会写什么。
我们会公开
摘要与时间线
一个发现的要点、漏洞类别、报告日期和修复日期。如果某个发现反驳了一条 SR 主张——那就是对报告的一次公开更正。
我们不会公开
可利用的操作步骤
会帮助在所有人更新之前攻击其他服务器的分步说明、PoC 代码和细节。
有所发现?
带上可复现的概念验证写信给我们。我们会在 72 小时内回复,并在内部分级评估。
security@createyourvpn.com/.well-known/security.txt · 90 天保密 · 安全港