SEC / OPS — افشای مسئولانه

باگ بانتی تله‌لایو

باگ پیدا کردی؟ عالیه. تیکت بزن تا بررسی کنیم. اگر آسیب‌پذیری امنیتی جدی دیدی، تماس بگیر و کد ۴ را بگو.

ثبت تیکت تماس امنیتی
telelivee.ir + API
Responsible Disclosure
کد ۴ = امنیت

ارسال گزارش (تیکت)

مشکل فنی، UI، حساب کاربری یا محتوا — فرم زیر را پر کن.

گزارش‌های دقیق با PoC و مراحل بازتولید سریع‌تر بررسی می‌شوند. ممنون که به امنیت تله‌لایو کمک می‌کنی.

report.sh — session_active
فایلی انتخاب نشده

قلمرو (Scope)

telelivee.ir

وب‌سایت اصلی، داشبورد، پخش زنده، چت، پرداخت و حساب کاربری.

API و سرویس‌های realtime

مسیرهای /api/* و سرویس‌های رسمی تله‌لایو روی همین دامنه.

WebSocket / Socket.IO

اتصال realtime چت و رویدادهای لایو روی telesocket.liara.run (Socket.IO).

خارج از قلمرو

حملهٔ DoS، فیشینگ، مهندسی اجتماعی، اسکن خودکار بدون PoC، third-party، و زیردامنه‌های غیررسمی.

شدت آسیب (راهنما)

بحرانی

اجرای کد از راه دور، دسترسی گسترده به دادهٔ حساس همهٔ کاربران، SQLi/ RCE.

زیاد

دسترسی غیرمجاز به حساب کاربر، IDOR حساس، SSRF با اثر بالا، XSS ذخیره‌شده با ارتقای دسترسی.

متوسط

CSRF با تغییر وضعیت، XSS reflected، افشای اطلاعات محدود.

کم

مشکلات پیکربندی جزئی بدون اکسپلویت مستقیم، open redirect GET.

قوانین و محدودیت‌ها

  • 01دادهٔ کاربران را دانلود، تغییر یا حذف نکنید.
  • 02حملهٔ DoS/DDoS، brute force و spam ممنوع است.
  • 03گزارش را قبل از رفع عمومی منتشر نکنید.
  • 04هر گزارش یک آسیب — گزارش‌های تکراری ادغام می‌شوند.
  • 05فقط روی دارایی‌های خودتان یا با رضایت صاحب کانال تست کنید.
  • 06اسکنر خودکار بدون سناریوی حمله و PoC، خارج از برنامه است.