ความปลอดภัย

อัปเดตล่าสุด: March 15, 2026

ความปลอดภัยของเว็บไซต์นี้และความเป็นส่วนตัวของผู้ใช้งานเป็นเรื่องสำคัญสำหรับเรา เรายินดีรับการเปิดเผยช่องโหว่อย่างรับผิดชอบ (responsible disclosure) จากนักวิจัยด้านความปลอดภัย นักพัฒนา และบุคคลทั่วไป

หน้านี้อธิบายนโยบาย responsible disclosure ของเรา — วิธีรายงานช่องโหว่ สิ่งที่อยู่ในขอบเขต (scope) และวิธีที่เราจะตอบสนอง เราขอให้คุณปฏิบัติตามแนวทางเหล่านี้เมื่อทำการตรวจสอบและรายงานปัญหาความปลอดภัยที่อาจเกิดขึ้น

รายงานช่องโหว่

หากคุณพบช่องโหว่ด้านความปลอดภัย โปรดรายงานให้เราทราบทางอีเมล อย่าเปิดเผยช่องโหว่ต่อสาธารณะจนกว่าเราจะมีโอกาสที่เหมาะสมในการตรวจสอบและแก้ไข

contact@freeonlinenosignup.com

โปรดใส่ "Security Vulnerability Report" ในหัวข้ออีเมล และให้ข้อมูลให้มากที่สุดเท่าที่ทำได้:

  • คำอธิบายช่องโหว่อย่างชัดเจนและผลกระทบที่อาจเกิดขึ้น
  • URL, endpoint หรือคอมโพเนนต์ที่ได้รับผลกระทบ
  • ขั้นตอนแบบทีละขั้นเพื่อทำให้เกิดปัญหาซ้ำ
  • โค้ด proof-of-concept สกรีนช็อต หรือข้อมูลตัวอย่าง request/response
  • ชื่อหรือ handle ของคุณ หากต้องการให้เครดิต (ไม่บังคับ)

ขอบเขต (Scope)

สิ่งต่อไปนี้ถือว่าอยู่ในขอบเขตของ responsible disclosure:

  • Cross-site scripting (XSS)
  • Cross-site request forgery (CSRF)
  • ช่องโหว่ server-side injection (SQL injection, command injection เป็นต้น)
  • การหลีกเลี่ยงการยืนยันตัวตนหรือการอนุญาต (authentication/authorisation bypass)
  • การเปิดเผยข้อมูลที่ละเอียดอ่อนหรือการรั่วไหลของข้อมูล
  • การตั้งค่าความปลอดภัยผิดพลาดที่ผู้โจมตีสามารถใช้ประโยชน์ได้
  • Open redirect ที่อาจใช้ในการโจมตีฟิชชิง
  • Insecure direct object references
  • Remote code execution

นอกขอบเขต

สิ่งต่อไปนี้ถือว่าอยู่นอกขอบเขตและจะไม่รับเป็นรายงานช่องโหว่ที่ถูกต้อง:

  • การโจมตีหรือทดสอบ denial of service (DoS หรือ DDoS)
  • การโจมตีแบบ brute force ต่อส่วนใดส่วนหนึ่งของเว็บไซต์
  • การสแกนอัตโนมัติโดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษรล่วงหน้า
  • การโจมตีแบบ social engineering หรือฟิชชิงที่มุ่งเป้าผู้ใช้หรือทีมงานของเรา
  • ปัญหาด้านความปลอดภัยทางกายภาพ
  • ช่องโหว่ในบริการ/ไลบรารี/โครงสร้างพื้นฐานของบุคคลที่สามซึ่งไม่ได้อยู่ในการควบคุมโดยตรงของเรา — โปรดรายงานไปยังผู้ให้บริการที่เกี่ยวข้อง
  • การขาด security headers ที่ไม่แสดงให้เห็นถึงช่องโหว่ที่พิสูจน์ได้และสามารถโจมตีได้จริงในบริบทนี้
  • ช่องโหว่เชิงทฤษฎีที่ไม่มี proof of concept ที่ทำงานได้หรือไม่มีผลกระทบที่แสดงให้เห็น
  • ปัญหาที่ต้องอาศัยให้ผู้ใช้ได้ทำการ compromise อุปกรณ์หรือเบราว์เซอร์ของตนเองไปก่อนแล้ว

สิ่งที่คุณจะได้รับ

เมื่อคุณส่งรายงานช่องโหว่ คุณสามารถคาดหวังสิ่งต่อไปนี้จากเรา:

1

การยืนยันรับเรื่อง

เราจะยืนยันการได้รับรายงานของคุณภายใน 3 วันทำการ

2

การตรวจสอบ

เราจะตรวจสอบรายงานและประเมินความถูกต้องและความรุนแรงของปัญหา และอาจติดต่อกลับเพื่อสอบถามเพิ่มเติมหากต้องการข้อมูลเพิ่ม

3

การแก้ไข

สำหรับช่องโหว่ที่ยืนยันแล้ว เราจะดำเนินการแก้ไขให้เร็วที่สุดเท่าที่ทำได้ โดยจัดลำดับความสำคัญตามความรุนแรง และจะแจ้งความคืบหน้าให้ทราบ

4

การเปิดเผย

เมื่อแก้ไขแล้ว เรายินดีช่วยประสานการเปิดเผยต่อสาธารณะร่วมกับคุณหากต้องการ และขอให้คุณให้ระยะเวลาการแก้ไขที่สมเหตุสมผลก่อนเผยแพร่รายละเอียด

คำมั่นของเรา

เมื่อคุณรายงานช่องโหว่ด้วยความสุจริตและสอดคล้องกับนโยบายนี้ เราขอยืนยันว่าเราจะ:

  • ไม่ดำเนินคดีทางกฎหมายกับคุณเกี่ยวกับการวิจัยของคุณ
  • ปฏิบัติต่อรายงานของคุณเป็นความลับ และไม่แชร์ข้อมูลส่วนบุคคลของคุณโดยไม่ได้รับความยินยอม
  • แจ้งสถานะความคืบหน้าให้คุณทราบ
  • ให้เครดิตแก่คุณหากคุณต้องการและหากยืนยันปัญหาได้
  • ดำเนินการแก้ไขช่องโหว่ที่ยืนยันแล้วอย่างทันท่วงที

เราขอให้คุณไม่เข้าถึง แก้ไข หรือลบข้อมูลที่ไม่ใช่ของคุณ; ไม่รบกวนความพร้อมใช้งานของเว็บไซต์; และไม่ทำการทดสอบกับบัญชีหรือข้อมูลของผู้ใช้อื่น

ติดต่อ

สำหรับคำถามทั่วไปเกี่ยวกับนโยบายนี้ที่ไม่ใช่รายงานช่องโหว่ โปรดใช้หน้า ติดต่อเรา สำหรับรายงานบั๊กที่ไม่เกี่ยวกับความปลอดภัย โปรดใช้หน้า รายงานปัญหา