这个仓库包含 Aster Archive 的源码与内容,而 Aster Archive 本身又是一个以网页细节、接口行为和协议特性为题面素材的 Web 解谜游戏。因此,并不是所有“看起来奇怪”的行为都属于安全漏洞。
这份文档所说的安全问题,只指那些会影响项目真实安全性、服务器完整性、部署环境、可用性,或真实用户数据与运行环境的问题。
欢迎报告以下类型的问题:
- 远程代码执行或命令注入
- 超出关卡设计边界的目录遍历
- 未授权访问服务器文件、日志、凭据或部署密钥
- 读取与游戏无关的私有数据
- 影响站点管理面、部署环境或基础设施的鉴权/授权缺陷
- 超出设计预期的 SSRF、代理滥用或内网服务暴露
- 能显著影响站点可用性的拒绝服务问题
- 对真实主机环境有影响的部署或运行时配置漏洞
- 在当前实际部署中构成明显风险的依赖漏洞
以下情况通常不视为安全漏洞本身:
- 关卡的正常解法
- 属于题目设计一部分的隐藏线索、误导信息或后门式提示
- 通过正常逆向或观察得到下一关入口
- 以题面明确允许的方式访问挑战接口
- 只存在于关卡内部玩法边界中的“弱点”
- 影响题目质量但不影响真实安全性的内容错误、提示错误或逻辑瑕疵
- 只影响你自己的本地 fork 或自定义部署的问题
如果你不确定某个现象究竟是题面机制,还是实际漏洞,仍然欢迎先联系确认。
安全问题请尽量私下报告。
首选报告方式:
通过 Github Repo 中的 Security 板块进行提交。
如果问题明显涉及敏感信息、真实基础设施风险或未公开漏洞,请不要先公开提交 GitHub Issue。
报告时建议尽量包含以下信息:
- 问题描述
- 复现步骤
- 受影响的 URL、路由、文件或组件
- 影响范围与风险判断
- PoC 或关键证据
- 如果有的话,你建议的修复方向
这是一个个人维护项目,因此响应时间只能尽量保证,无法承诺固定 SLA。
一般会按以下优先级处理有效报告:
- 会影响真实服务器、部署环境或私有数据的问题
- 会被用来滥用基础设施或明显影响可用性的问题
- 会影响正常用户的安全问题
- 风险较低的实现缺陷
如果某个报告被确认属于真实安全问题,我会尽量完成确认、修复与部署,并在合适的范围内同步处理进度。
在问题确认并获得合理修复时间之前,请尽量不要公开披露。
这是一个解谜项目,过早公开细节通常会带来两类问题:
- 造成真实的运行或运维风险
- 意外破坏仍在游玩的玩家体验
负责任地披露问题,会非常有帮助。
如果你出于善意开展研究,不破坏服务,不读取无关私有数据,不影响其他用户,并以负责任的方式报告问题,我会将其视为善意的安全研究。
请不要进行以下行为:
- 提取与验证问题无关的数据
- 删除、篡改或破坏数据
- 故意影响服务可用性
- 进一步横向探索与本项目无关的系统
- 在未协调前公开泄露密钥、敏感信息或完整细节
Aster Archive 有意把 HTTP 行为、接口设计、请求头、协议细节等做成关卡的一部分。因此,在普通网站里看起来异常的某些行为,在这里可能恰好是有意设计的玩法。
但这种“有意设计”只适用于游戏边界之内,并不扩展到真实主机环境、部署凭据、无关文件、无关服务或项目外部基础设施。凡是超出玩法边界、影响真实环境的内容,都属于安全问题讨论范围。