นโยบายแจ้งช่องโหว่ความปลอดภัย
เรายินดีต้อนรับนักวิจัยด้านความปลอดภัยที่ช่วยให้ Sathorn ปลอดภัยขึ้น หน้านี้อธิบายวิธีแจ้งช่องโหว่ อย่างมีความรับผิดชอบ และสิ่งที่คุณคาดหวังได้จากเรา
Safe harbor — เราจะไม่ดำเนินคดี
หากคุณค้นคว้าโดยสุจริตและทำตามนโยบายนี้ เราถือว่าเป็นการช่วยเหลือ และจะไม่ดำเนินคดีทางกฎหมายกับคุณ สำหรับการทดสอบที่สอดคล้องกับกฎด้านล่าง หากไม่แน่ใจว่าสิ่งที่จะทำอยู่ในขอบเขตหรือไม่ ถามเราก่อนได้
กฎการทดสอบ
- รายงานช่องโหว่ที่พบให้เราโดยเร็ว และให้เวลาเราแก้ไขตามสมควรก่อนเปิดเผยต่อสาธารณะ
- อย่าเข้าถึง แก้ไข หรือลบข้อมูลของผู้อื่น — ใช้เฉพาะบัญชีทดสอบของคุณเอง หากเข้าถึงข้อมูลผู้อื่นโดยบังเอิญ ให้หยุดทันทีและแจ้งเรา
- อย่าทำให้ระบบล่มหรือเสื่อมสภาพ (เช่น การโจมตีแบบ DoS การยิงคำขอปริมาณมาก) และอย่าใช้เทคนิควิศวกรรมสังคมกับทีมงานหรือผู้ใช้
- ทดสอบเฉพาะขอบเขตของ Sathorn/Quoral เท่านั้น ไม่รวมบริการของผู้ให้บริการภายนอก (เช่น LINE, OpenAI, Supabase, Stripe)
วิธีแจ้ง & สิ่งที่คาดหวังได้
ส่งรายละเอียด (ขั้นตอนการทำซ้ำ ผลกระทบ และหลักฐาน) มาที่ security@quoral.co เราจะรับทราบและเริ่มตรวจสอบโดยเร็ว แล้วแจ้งความคืบหน้าจนกว่าจะแก้ไขเสร็จ
ตรงไปตรงมา: ตอนนี้เรายังไม่มีโปรแกรมจ่ายรางวัล (bug bounty) แบบมีเงินตอบแทน แต่เรายินดีให้เครดิตแก่ผู้แจ้ง (หากต้องการ) และดูแลทุกรายงานอย่างจริงจัง
อัปเดตล่าสุด: กรกฎาคม 2026 · ดูเพิ่ม security.txt · ศูนย์ความน่าเชื่อถือ