安全日誌

安全日誌。

我們在發現被修復並驗證之後才會公開——只是一段簡短摘要,絕不會給出可利用的操作步驟。每條條目旁都標有修復所用時間。

條目

發生過什麼。

2026年7月15日

計畫啟動前的內部審查

2026 年 7 月 15 日,我們啟動了對 CreateYourVPN 的內部安全審查。我們已完成並複核的修復發布於下;隨著更多修復的部署與確認,還會陸續公布。

CreateYourVPN 團隊
2026年7月15日

針對不安全的 cross-origin 設定增加了防護

目前的 production 設定並不允許任意來源(origin),但如果維運人員設定有誤,程式碼會容許一種危險的參數組合。現在該組合會在啟動時被拒絕,並有一項自動化測試加以涵蓋。

CreateYourVPN 團隊
2026年7月15日

縮減了 production API 的公開面

API 的互動式技術文件先前無需認證即可存取。它並未提供對受保護資料的存取,但使研究 API 的內部結構更為容易。在 production 中該文件現已停用,同時在一個隔離環境中仍可供開發使用。

CreateYourVPN 團隊
2026年7月15日

依用途分離了平台的加密金鑰

一次內部審查發現,同一個金鑰被用於兩項不同的加密工作。這並未造成直接的繞過,但會擴大金鑰外洩的影響範圍。兩種用途已被分離,現各自獨立輪替。

CreateYourVPN 團隊
2026年7月15日

保證在刪除伺服器後清除管理金鑰

加密的管理金鑰的清除先前在背景網路作業之後執行,若這些作業失敗便可能無法重試。我們已將金鑰清除與網路串接作業解耦,並加入了有保證的重試。伺服器無法連線與行程中斷這兩種情形皆有測試涵蓋。

CreateYourVPN 團隊
2026年7月15日

移除了合作夥伴 API 中一條未使用的授權路徑

該 API 先前支援一條基於 cookie 的額外授權路徑,而目前的 server-side 架構並不需要它。在 production 中未發現跨站攻擊,但這條多餘路徑擴大了未來出錯的面。現在 API 使用單一、明確定義的授權方式,並有負向測試涵蓋。

CreateYourVPN 團隊
如何閱讀日誌

這裡會寫什麼。

我們會公開

摘要與時間線

一個發現的要點、漏洞類別、報告日期和修復日期。如果某個發現反駁了一條 SR 主張——那就是對報告的一次公開更正。

我們不會公開

可利用的操作步驟

會幫助在所有人更新之前攻擊其他伺服器的分步說明、PoC 程式碼和細節。

有所發現?

帶上可重現的概念驗證寫信給我們。我們會在 72 小時內回覆,並在內部分級評估。

security@createyourvpn.com/.well-known/security.txt · 90 天保密 · 安全港