报告漏洞
发现安全问题?请报告至 security@i2p.net(建议使用PGP加密)
下载PGP密钥 | GPG密钥指纹:40DF FE20 7D79 9BEC 3AE8 7DEA 5F98 BE91 176E 1941
研究指南
请勿:
- 利用真实的I2P网络进行攻击
- 进行社会工程学攻击或攻击I2P基础设施
- 干扰其他用户的服务
请:
- 尽可能使用隔离的测试网络
- 遵循协调披露的实践
- 在进行真实网络测试前联系我们
响应流程
1. 报告收到
- 在3个工作日内回复
- 指派响应经理
- 严重性分类(高/中/低)
2. 调查与开发
- 通过加密渠道进行私人补丁开发
- 在隔离网络上测试
- 高严重性: 在3天内进行公开通知(不包括漏洞详细信息)
3. 发布与披露
- 部署安全更新
- 90天内进行全部披露
- 公告中可选择是否给予研究员署名
严重性等级
高 - 对网络有广泛影响,需立即关注 中 - 针对个别路由器进行的攻击 低 - 影响有限,理论场景
安全通信
对于所有的安全报告,请使用PGP/GPG加密:
指纹:40DF FE20 7D79 9BEC 3AE8 7DEA 5F98 BE91 176E 1941
在您的报告中包括:
- 详细的技术描述
- 重现步骤
- 概念验证代码(如适用)
时间表
| 阶段 | 时间框架 |
|---|---|
| 初步响应 | 0-3天 |
| 调查 | 1-2周 |
| 开发与测试 | 2-6周 |
| 发布 | 6-12周 |
| 全部披露 | 最长90天 |
常见问题
报告会导致麻烦吗? 不会。对负责任的披露表示感谢和保护。
我可以在真实网络上进行测试吗? 不可以。仅使用隔离的测试网络。
我可以保持匿名吗? 可以,但这可能让沟通变得更复杂。
你们有漏洞赏金吗? 目前没有。I2P由志愿者驱动,资源有限。
报告内容
范围内:
- I2P路由器漏洞
- 协议或加密缺陷
- 网络层面的攻击
- 去匿名化技术
- 拒绝服务问题
范围外:
- 第三方应用(请联系开发者)
- 社会工程学或物理攻击
- 已知/已披露的漏洞
- 纯理论问题
感谢您帮助保持I2P的安全!