Si descubres una vulnerabilidad de seguridad en este proyecto, por favor repórtala de forma responsable.

1. No abras un issue público. Los reportes de seguridad deben ser privados.
2. Envia un correo a: security@ttpsec.ai
3. Incluye en tu reporte:
   • Descripción de la vulnerabilidad
   • Pasos para reproducir
   • Impacto potencial
   • Sugerencia de mitigación (si la tienes)
4. Recibirás un acuse de recibo dentro de 48 horas hábiles.
5. Trabajaremos en un parche y coordinaremos la divulgación contigo.

Seguimos una política de Coordinated Disclosure con un plazo máximo de 90 días entre el reporte y la divulgación pública. Si el parche se publica antes, la divulgación puede adelantarse con acuerdo mutuo.

• Vulnerabilidades en el código fuente de la aplicación
• XSS, inyección de código, o manipulación de la lógica client-side
• Problemas en la generación de informes (HTML export)
• Exposición no intencional de datos del usuario

• Vulnerabilidades en dependencias upstream (reportar directamente al proyecto afectado)
• Ataques que requieran acceso físico al dispositivo del usuario
• Ingeniería social contra usuarios de la herramienta
• Vulnerabilidades en GitHub Pages (reportar a GitHub)
• Denegación de servicio contra el hosting estático

Esta aplicación es un static site 100% client-side:

• No existe backend ni API
• No se almacenan datos en el servidor
• No se usan cookies, localStorage ni sessionStorage
• No hay autenticación ni sesiones
• No hay base de datos
• Todo el procesamiento ocurre en el navegador del usuario

Esto reduce significativamente la superficie de ataque, pero no la elimina. Los vectores principales son:

• XSS via parámetros URL o manipulación del DOM
• Supply chain attacks via dependencias npm
• Manipulación del export HTML para inyección de contenido

Agradecemos a los investigadores que reportan vulnerabilidades de forma responsable.

TTPSEC — Seguridad por diseño