#設計方針
現在公開している機能は、ユーザー入力を処理しない静的配信のみで構成されています。
- サーバーサイドアプリケーションを使用しない(nginx の静的配信と
returnのみ) - ユーザー入力を処理しない
- 外部宛の通信(ping / traceroute / DNS lookup / URL取得など)を行わない
- コマンド実行を行わない
#利用上のルール
禁止事項: 本サイトおよび本サイトの構成(設定例・コマンド例)を、第三者のシステムへの攻撃・無許可のスキャン・脆弱性探索の目的で利用することを禁止します。検証は自身が管理する環境、または明示的に許可を得た環境でのみ行ってください。
- 検証エンドポイントへの過度なリクエスト(負荷試験など)はご遠慮ください。
- プロキシ・TLSインスペクションの検証は、自組織のポリシーに従って行ってください。
#脆弱性の報告
本サイトの脆弱性を発見した場合は、Contact ページのお問い合わせフォームから非公開で報告をお願いします(SNS や公開の場での指摘の前に、まず非公開でご連絡ください)。リポジトリを公開した場合は GitHub Security Advisories も利用可能にします。
- 再現手順、影響範囲、可能であれば修正案を添えてください。
- 確認と修正が完了するまで、詳細の公開はお控えください(責任ある開示にご協力ください)。