Skip to content

Security: iconquestion/aster-archive

SECURITY.md

安全策略

范围

这个仓库包含 Aster Archive 的源码与内容,而 Aster Archive 本身又是一个以网页细节、接口行为和协议特性为题面素材的 Web 解谜游戏。因此,并不是所有“看起来奇怪”的行为都属于安全漏洞。

这份文档所说的安全问题,只指那些会影响项目真实安全性、服务器完整性、部署环境、可用性,或真实用户数据与运行环境的问题。

哪些情况算安全问题

欢迎报告以下类型的问题:

  • 远程代码执行或命令注入
  • 超出关卡设计边界的目录遍历
  • 未授权访问服务器文件、日志、凭据或部署密钥
  • 读取与游戏无关的私有数据
  • 影响站点管理面、部署环境或基础设施的鉴权/授权缺陷
  • 超出设计预期的 SSRF、代理滥用或内网服务暴露
  • 能显著影响站点可用性的拒绝服务问题
  • 对真实主机环境有影响的部署或运行时配置漏洞
  • 在当前实际部署中构成明显风险的依赖漏洞

哪些情况通常不算安全问题

以下情况通常不视为安全漏洞本身:

  • 关卡的正常解法
  • 属于题目设计一部分的隐藏线索、误导信息或后门式提示
  • 通过正常逆向或观察得到下一关入口
  • 以题面明确允许的方式访问挑战接口
  • 只存在于关卡内部玩法边界中的“弱点”
  • 影响题目质量但不影响真实安全性的内容错误、提示错误或逻辑瑕疵
  • 只影响你自己的本地 fork 或自定义部署的问题

如果你不确定某个现象究竟是题面机制,还是实际漏洞,仍然欢迎先联系确认。

如何报告

安全问题请尽量私下报告。

首选报告方式:

通过 Github Repo 中的 Security 板块进行提交。

如果问题明显涉及敏感信息、真实基础设施风险或未公开漏洞,请不要先公开提交 GitHub Issue。

报告时建议尽量包含以下信息:

  • 问题描述
  • 复现步骤
  • 受影响的 URL、路由、文件或组件
  • 影响范围与风险判断
  • PoC 或关键证据
  • 如果有的话,你建议的修复方向

响应与处理

这是一个个人维护项目,因此响应时间只能尽量保证,无法承诺固定 SLA。

一般会按以下优先级处理有效报告:

  • 会影响真实服务器、部署环境或私有数据的问题
  • 会被用来滥用基础设施或明显影响可用性的问题
  • 会影响正常用户的安全问题
  • 风险较低的实现缺陷

如果某个报告被确认属于真实安全问题,我会尽量完成确认、修复与部署,并在合适的范围内同步处理进度。

披露原则

在问题确认并获得合理修复时间之前,请尽量不要公开披露。

这是一个解谜项目,过早公开细节通常会带来两类问题:

  • 造成真实的运行或运维风险
  • 意外破坏仍在游玩的玩家体验

负责任地披露问题,会非常有帮助。

安全研究边界

如果你出于善意开展研究,不破坏服务,不读取无关私有数据,不影响其他用户,并以负责任的方式报告问题,我会将其视为善意的安全研究。

请不要进行以下行为:

  • 提取与验证问题无关的数据
  • 删除、篡改或破坏数据
  • 故意影响服务可用性
  • 进一步横向探索与本项目无关的系统
  • 在未协调前公开泄露密钥、敏感信息或完整细节

与本项目相关的特别说明

Aster Archive 有意把 HTTP 行为、接口设计、请求头、协议细节等做成关卡的一部分。因此,在普通网站里看起来异常的某些行为,在这里可能恰好是有意设计的玩法。

但这种“有意设计”只适用于游戏边界之内,并不扩展到真实主机环境、部署凭据、无关文件、无关服务或项目外部基础设施。凡是超出玩法边界、影响真实环境的内容,都属于安全问题讨论范围。

There aren't any published security advisories