Перейти к содержимому

Политика безопасности

Ответственное раскрытие уязвимостей и операционная безопасность

О проекте

discord-webhook.com — независимый открытый проект. Сайт не аффилирован с Discord Inc., не связан с ней, не одобрен ею и не имеет с компанией Discord никаких официальных связей. Сервис — это браузерный инструмент для составления и отправки сообщений в каналы Discord через webhook URL или токены ботов, которые пользователь вводит самостоятельно. Сервис не запрашивает, не хранит и не передаёт пароли от учётных записей Discord. Авторизация выполняется исключительно через официальный Discord OAuth2 со стандартными правами identify и guilds.

Операционная безопасность

  • • Webhook URL и токены ботов, которые предоставляет пользователь, шифруются в покое алгоритмом AES-256-GCM.
  • • Весь трафик передаётся по HTTPS, сертификат выпущен публично доверенным удостоверяющим центром (Google Trust Services).
  • • Сессии используют httpOnly, secure, SameSite куки.
  • • На всех чувствительных эндпоинтах (auth, send, upload) включён rate-limiting.
  • • Зависимости непрерывно мониторятся (Dependabot), а CI прогоняет gitleaks на каждом коммите.

Сообщить об уязвимости

Если вы нашли проблему безопасности — пожалуйста, сообщите о ней приватно. Не публикуйте отчёты об уязвимостях в общедоступных issue-трекерах.

Предпочтительный канал: Discord-сообщество — напишите в личные сообщения участнику с тегом staff / admin.

Мы подтверждаем получение отчётов в течение 72 часов и добросовестно работаем над устранением подтверждённых проблем. К исследователям, действующим добросовестно и в рамках области ниже, не будут применяться юридические меры.

Область действия

В области

  • discord-webhook.com и поддомены, которыми мы управляем.
  • • Серверная логика аутентификации, авторизации и обработки данных.
  • • XSS, CSRF, SSRF, IDOR, RCE и схожие классы уязвимостей.

Вне области

  • • Инфраструктура Discord Inc. (discord.com, discordapp.com) — сообщайте напрямую в Discord.
  • • Сторонние сервисы и edge-узлы CDN.
  • • Отчёты, основанные исключительно на выводах автоматических сканеров без рабочего PoC.
  • • Self-XSS, отсутствие headers без измеримого воздействия, социальная инженерия, объёмные DoS-атаки.

security.txt

Машиночитаемая политика доступна по адресу /.well-known/security.txt в соответствии с RFC 9116.