برنامج جوائز الثغرات

العمل معًا من أجل إنترنت أكثر أمانًا

 

تلتزم Stackry بالعمل مع خبراء الأمن في جميع أنحاء العالم للبقاء على اطلاع بأحدث تقنيات الأمان. إذا اكتشفت مشكلة أمنية تعتقد أنه يجب علينا معرفتها، فنحن نرحب بالعمل معك. يرجى إعلامنا بذلك وسنبذل قصارى جهدنا لتصحيح المشكلة بسرعة.

قواعد الاشتباك

قواعد البرنامج

في حين أننا نريد أن يقدم المتسللون لدينا أفضل ما لديهم، فإننا نريد أيضًا التأكد من وجود الحد الأدنى من التعطيل لأعمالنا. أثناء إجراء البحث، يرجى التأكد مما يلي:

  • أرسل ثغرة أمنية واحدة لكل تقرير، إلا إذا كنت بحاجة إلى ربط الثغرات الأمنية لتوفير التأثير.
  • عند حدوث تكرارات، فإننا نمنح فقط التقرير الأول الذي تم استلامه (بشرط أن يكون من الممكن إعادة إنتاجه بالكامل).
  • سيتم منح نقاط الضعف المتعددة الناتجة عن مشكلة أساسية واحدة مكافأة واحدة.
  • يُحظر استخدام الهندسة الاجتماعية (مثل التصيد الاحتيالي والتصيد الاحتيالي والتصيد الاحتيالي والتصيد الاحتيالي عبر الرسائل النصية القصيرة).
  • بذل جهد حسن النية لتجنب انتهاكات الخصوصية وتدمير البيانات وانقطاع خدمتنا أو تدهورها. لا تتفاعل إلا مع الحسابات التي تمتلكها أو بإذن صريح من صاحب الحساب.
  • لا يمكننا مكافأة أو التعامل مع أي فرد مدرج على أي من قوائم العقوبات الأمريكية أو أي فرد مقيم في أي بلد مدرج في أي من قوائم العقوبات الأمريكية. وهذا يشمل سكان كوبا أو السودان أو كوريا الشمالية أو إيران أو سوريا.
  • يعتمد مستوى الخطورة على نموذج التسجيل الموضح أدناه؛ يتم منح الاستثناءات وفقًا لتقدير فريق Stackry الهندسي وحده.

قواعد الاختبار

  • لا تحاول الوصول إلى معلومات العملاء الخاصة
  • لا تحاول أبدًا عرض أو تعديل أو إتلاف البيانات الخاصة بالآخرين. إذا كنت بحاجة إلى اختبار ثغرة أمنية، قم بإنشاء حساب
  • لا ترسل تقارير من الأدوات الآلية دون التحقق من إثبات المفهوم (PoC) العامل
  • يرجى تقديم عنوان IP الخاص بك في تقرير الأخطاء

أهداف الاستجابة

ستبذل Stackry قصارى جهدها لتحقيق أهداف الاستجابة التالية للمتسللين المشاركين في برنامجنا:

  • وقت الرد الأول (من تاريخ إرسال التقرير) – يومي عمل
  • الوقت اللازم للفرز (منذ تقديم التقرير) – يومي عمل
  • وقت الحصول على المكافأة (من الفرز) – يوم عمل واحد (أسبوعان كحد أقصى)
  • وقت الحل – 30 يومًا

جميع الأوقات في أيام العمل

نقاط الضعف والاستثناءات غير المؤهلة:

  • رمز الجلسة في عنوان url. نحن نعلم بوجود رمز الجلسة في عنوان URL في بعض مكالمات الصور على الموقع.
  • يتم إبطال رموز إعادة تعيين كلمة المرور بعد الاستخدام الأول وليس آخر إصدار
  • توجد قيمة في ملف التكوين تسمى api_key — وهي لا تتعلق بالأمان، إنها مجرد معرف للعلامة التجارية
  • عدم التحقق من صحة العناوين (السعر محدود)
  • الكشف عن الاسم وإصدار الخادم
  • رؤوس أمان http مفقودة
  • علامات ملفات تعريف الارتباط المفقودة على ملفات تعريف الارتباط غير الحساسة
  • حدود الأسعار المفقودة على الخدمات التي تمت مصادقتها ما لم يكن من الممكن أن تؤثر الخدمة على أكثر من المستخدم الذي تمت مصادقته
  • رفض الخدمة، أو رفض الخدمة الموزعة، أو غيرها من هجمات التوفر ما لم تكن نتيجة لتنفيذ التعليمات البرمجية
  • الهجمات الجسدية ضد أي مكتب أو مركز بيانات Stackry
  • الهندسة الاجتماعية، على سبيل المثال التصيد الاحتيالي أو الاتصال بأي موظف أو مقاول أو وكيل في Stackry
  • من فضلك لا ترسل لنا مخرجات الماسح الضوئي للثغرات الأمنية. إذا كان خطأً حقيقيًا، فيجب عليك تقديم خطوات لإعادة إنتاجه و/أو إثبات المفهوم. سيتم إغلاق أي تقارير تلقائية يتم إرسالها دون فرزها.
  • إصدار ضعيف من المكتبات (على سبيل المثال “jquery”) بدون ناقل هجوم يمكن إثباته
  • لم يتم تمكين حماية XSS لمتصفح الويب
  • لن يتم دفع نقاط الضعف/التقارير المماثلة كمكافآت منفصلة. على سبيل المثال، XSS في معلمات متعددة في نفس نقطة النهاية
  • Google Maps API – سيتم إغلاق أي تقرير بخصوص Google Maps API باعتباره إعلاميًا.
  • سيتم إغلاق التقارير الخاصة ببيانات اعتماد المستخدم الموجودة في قاعدة بيانات عبر الإنترنت لأزواج اسم المستخدم/كلمة المرور المخترقة، ما لم يكن التسوية بسبب ثغرة أمنية في نظام Stackry، باعتبارها تقارير إعلامية

الملاذ الآمن

سيتم اعتبار أي أنشطة تتم بطريقة تتفق مع هذه السياسة سلوكًا مصرحًا به ولن نقوم باتخاذ إجراء قانوني ضدك. إذا تم اتخاذ إجراء قانوني من قبل طرف ثالث ضدك فيما يتعلق بالأنشطة التي تتم بموجب هذه السياسة، فسنتخذ الخطوات اللازمة للإعلان عن أن أفعالك تمت وفقًا لهذه السياسة.

التصنيف والمكافآت

تعتمد مكافآتنا على عامل مقياس الخطورة من P1 إلى P5. برجاء ملاحظة أن هذه إرشادات عامة، وأن قرارات المكافآت تخضع لتقدير Stackry.com. كمعيار لتسجيل النقاط، نستخدم التصنيف التالي Bugcrowd Vulnerability Rating Taxonomy على الرغم من أنه مجرد دليل عام.

ملاحظة: يتم دفع المكافآت عبر Paypal فقط.

 

الأولويةالتأثيرالأمثلةالمكافأة
P1 – حرجة
  • تنفيذ التعليمات البرمجية عن بُعد
  • تجاوز المصادقة العمودي
  • حقن كيانات XML الخارجية بتأثير كبير
  • حقن SQL بتأثير كبير
ثغرات تسبب تصعيد الامتيازات من غير مميز إلى مشرف أو تسمح بالتنفيذ عن بُعد، أو سرقة مالية، إلخ.$2,000+
P2 – عالية
  • تجاوز المصادقة الجانبي
  • XSS المخزن بتأثير كبير
  • CSRF بتأثير كبير
  • الإشارة المباشرة إلى كائن بتأثير كبير
  • SSRF الداخلي
ثغرات تؤثر على أمان المنصة بما في ذلك العمليات التي تدعمها$1,000+
P3 – متوسطة
  • XSS العكسي بتأثير
  • الإشارة المباشرة إلى كائن
  • إعادة توجيه URL
  • CSRF بتأثير
ثغرات تؤثر على عدة مستخدمين وتتطلب تفاعلًا قليلًا أو عدم تفاعل المستخدم لتشغيلها$500+
P4 – منخفضة
  • تكوينات SSL الخاطئة بتأثير محدود
  • مشاكل في تكوين SPF
  • XSS بتأثير محدود
  • CSRF بتأثير محدود
ثغرات تؤثر على مستخدمين فرديين وتتطلب تفاعلًا أو شروطًا مسبقة كبيرة (MitM) لتشغيلها$100+
P5 – مخاطرة مقبولة
  • معلومات التصحيح
  • استخدام CAPTCHA
  • إخفاء الكود
  • تحديد السرعة، إلخ.
ثغرات غير قابلة للاستغلال في الوظائف. الثغرات التي تم تصميمها أو التي تعتبر مخاطرة مقبولة للأعمال بالنسبة للعميلغير مؤهلة عادةً للحصول على مكافأة

يجب إرسال تقارير الأخطاء عبر البريد الإلكتروني إلى .دعم Stackry.