安全日誌
安全日誌。
我們在發現被修復並驗證之後才會公開——只是一段簡短摘要,絕不會給出可利用的操作步驟。每條條目旁都標有修復所用時間。
條目
發生過什麼。
2026年7月15日
計畫啟動前的內部審查
2026 年 7 月 15 日,我們啟動了對 CreateYourVPN 的內部安全審查。我們已完成並複核的修復發布於下;隨著更多修復的部署與確認,還會陸續公布。
— CreateYourVPN 團隊2026年7月15日
針對不安全的 cross-origin 設定增加了防護
目前的 production 設定並不允許任意來源(origin),但如果維運人員設定有誤,程式碼會容許一種危險的參數組合。現在該組合會在啟動時被拒絕,並有一項自動化測試加以涵蓋。
— CreateYourVPN 團隊2026年7月15日
縮減了 production API 的公開面
API 的互動式技術文件先前無需認證即可存取。它並未提供對受保護資料的存取,但使研究 API 的內部結構更為容易。在 production 中該文件現已停用,同時在一個隔離環境中仍可供開發使用。
— CreateYourVPN 團隊2026年7月15日
依用途分離了平台的加密金鑰
一次內部審查發現,同一個金鑰被用於兩項不同的加密工作。這並未造成直接的繞過,但會擴大金鑰外洩的影響範圍。兩種用途已被分離,現各自獨立輪替。
— CreateYourVPN 團隊2026年7月15日
保證在刪除伺服器後清除管理金鑰
加密的管理金鑰的清除先前在背景網路作業之後執行,若這些作業失敗便可能無法重試。我們已將金鑰清除與網路串接作業解耦,並加入了有保證的重試。伺服器無法連線與行程中斷這兩種情形皆有測試涵蓋。
— CreateYourVPN 團隊2026年7月15日
移除了合作夥伴 API 中一條未使用的授權路徑
該 API 先前支援一條基於 cookie 的額外授權路徑,而目前的 server-side 架構並不需要它。在 production 中未發現跨站攻擊,但這條多餘路徑擴大了未來出錯的面。現在 API 使用單一、明確定義的授權方式,並有負向測試涵蓋。
— CreateYourVPN 團隊如何閱讀日誌
這裡會寫什麼。
我們會公開
摘要與時間線
一個發現的要點、漏洞類別、報告日期和修復日期。如果某個發現反駁了一條 SR 主張——那就是對報告的一次公開更正。
我們不會公開
可利用的操作步驟
會幫助在所有人更新之前攻擊其他伺服器的分步說明、PoC 程式碼和細節。
有所發現?
帶上可重現的概念驗證寫信給我們。我們會在 72 小時內回覆,並在內部分級評估。
security@createyourvpn.com/.well-known/security.txt · 90 天保密 · 安全港