برنامج جوائز الثغرات

العمل معًا من أجل إنترنت أكثر أمانًا

 

تلتزم Stackry بالعمل مع خبراء الأمن في جميع أنحاء العالم للبقاء على اطلاع بأحدث تقنيات الأمان. إذا اكتشفت مشكلة أمنية تعتقد أنه يجب علينا معرفتها، فنحن نرحب بالعمل معك. يرجى إعلامنا بذلك وسنبذل قصارى جهدنا لتصحيح المشكلة بسرعة.

قواعد الاشتباك

قواعد البرنامج

في حين أننا نريد أن يقدم المتسللون لدينا أفضل ما لديهم، فإننا نريد أيضًا التأكد من وجود الحد الأدنى من التعطيل لأعمالنا. أثناء إجراء البحث، يرجى التأكد مما يلي:

  • أرسل ثغرة أمنية واحدة لكل تقرير، إلا إذا كنت بحاجة إلى ربط الثغرات الأمنية لتوفير التأثير.
  • عند حدوث تكرارات، فإننا نمنح فقط التقرير الأول الذي تم استلامه (بشرط أن يكون من الممكن إعادة إنتاجه بالكامل).
  • سيتم منح نقاط الضعف المتعددة الناتجة عن مشكلة أساسية واحدة مكافأة واحدة.
  • يُحظر استخدام الهندسة الاجتماعية (مثل التصيد الاحتيالي والتصيد الاحتيالي والتصيد الاحتيالي والتصيد الاحتيالي عبر الرسائل النصية القصيرة).
  • بذل جهد حسن النية لتجنب انتهاكات الخصوصية وتدمير البيانات وانقطاع خدمتنا أو تدهورها. لا تتفاعل إلا مع الحسابات التي تمتلكها أو بإذن صريح من صاحب الحساب.
  • لا يمكننا مكافأة أو التعامل مع أي فرد مدرج على أي من قوائم العقوبات الأمريكية أو أي فرد مقيم في أي بلد مدرج في أي من قوائم العقوبات الأمريكية. وهذا يشمل سكان كوبا أو السودان أو كوريا الشمالية أو إيران أو سوريا.
  • يعتمد مستوى الخطورة على نموذج التسجيل الموضح أدناه؛ يتم منح الاستثناءات وفقًا لتقدير فريق Stackry الهندسي وحده.

قواعد الاختبار

  • لا تحاول الوصول إلى معلومات العملاء الخاصة
  • لا تحاول أبدًا عرض أو تعديل أو إتلاف البيانات الخاصة بالآخرين. إذا كنت بحاجة إلى اختبار ثغرة أمنية، قم بإنشاء حساب
  • لا ترسل تقارير من الأدوات الآلية دون التحقق من إثبات المفهوم (PoC) العامل
  • يرجى تقديم عنوان IP الخاص بك في تقرير الأخطاء

أهداف الاستجابة

ستبذل Stackry قصارى جهدها لتحقيق أهداف الاستجابة التالية للمتسللين المشاركين في برنامجنا:

  • وقت الرد الأول (من تاريخ إرسال التقرير) – يومي عمل
  • الوقت اللازم للفرز (منذ تقديم التقرير) – يومي عمل
  • وقت الحصول على المكافأة (من الفرز) – يوم عمل واحد (أسبوعان كحد أقصى)
  • وقت الحل – 30 يومًا

جميع الأوقات في أيام العمل

نقاط الضعف والاستثناءات غير المؤهلة:

  • رمز الجلسة في عنوان url. نحن نعلم بوجود رمز الجلسة في عنوان URL في بعض مكالمات الصور على الموقع.
  • يتم إبطال رموز إعادة تعيين كلمة المرور بعد الاستخدام الأول وليس آخر إصدار
  • توجد قيمة في ملف التكوين تسمى api_key — وهي لا تتعلق بالأمان، إنها مجرد معرف للعلامة التجارية
  • عدم التحقق من صحة العناوين (السعر محدود)
  • الكشف عن الاسم وإصدار الخادم
  • رؤوس أمان http مفقودة
  • علامات ملفات تعريف الارتباط المفقودة على ملفات تعريف الارتباط غير الحساسة
  • حدود الأسعار المفقودة على الخدمات التي تمت مصادقتها ما لم يكن من الممكن أن تؤثر الخدمة على أكثر من المستخدم الذي تمت مصادقته
  • رفض الخدمة، أو رفض الخدمة الموزعة، أو غيرها من هجمات التوفر ما لم تكن نتيجة لتنفيذ التعليمات البرمجية
  • الهجمات الجسدية ضد أي مكتب أو مركز بيانات Stackry
  • الهندسة الاجتماعية، على سبيل المثال التصيد الاحتيالي أو الاتصال بأي موظف أو مقاول أو وكيل في Stackry
  • من فضلك لا ترسل لنا مخرجات الماسح الضوئي للثغرات الأمنية. إذا كان خطأً حقيقيًا، فيجب عليك تقديم خطوات لإعادة إنتاجه و/أو إثبات المفهوم. سيتم إغلاق أي تقارير تلقائية يتم إرسالها دون فرزها.
  • إصدار ضعيف من المكتبات (على سبيل المثال “jquery”) بدون ناقل هجوم يمكن إثباته
  • لم يتم تمكين حماية XSS لمتصفح الويب
  • لن يتم دفع نقاط الضعف/التقارير المماثلة كمكافآت منفصلة. على سبيل المثال، XSS في معلمات متعددة في نفس نقطة النهاية
  • Google Maps API – سيتم إغلاق أي تقرير بخصوص Google Maps API باعتباره إعلاميًا.
  • سيتم إغلاق التقارير الخاصة ببيانات اعتماد المستخدم الموجودة في قاعدة بيانات عبر الإنترنت لأزواج اسم المستخدم/كلمة المرور المخترقة، ما لم يكن التسوية بسبب ثغرة أمنية في نظام Stackry، باعتبارها تقارير إعلامية

الملاذ الآمن

سيتم اعتبار أي أنشطة تتم بطريقة تتفق مع هذه السياسة سلوكًا مصرحًا به ولن نقوم باتخاذ إجراء قانوني ضدك. إذا تم اتخاذ إجراء قانوني من قبل طرف ثالث ضدك فيما يتعلق بالأنشطة التي تتم بموجب هذه السياسة، فسنتخذ الخطوات اللازمة للإعلان عن أن أفعالك تمت وفقًا لهذه السياسة.

التصنيف والمكافآت

تعتمد مكافآتنا على عامل مقياس الخطورة من P1 إلى P5. برجاء ملاحظة أن هذه إرشادات عامة، وأن قرارات المكافآت تخضع لتقدير Stackry.com. كمعيار لتسجيل النقاط، نستخدم التصنيف التالي Bugcrowd Vulnerability Rating Taxonomy على الرغم من أنه مجرد دليل عام.

ملاحظة: يتم دفع المكافآت عبر Paypal فقط.

 

PriorityImpactExamplesReward
P1 – CriticalVulnerabilities that cause a privilege escalation from unprivileged to admin or allow for remote execution, financial theft, etc.
  • Remote Code Execution
  • Vertical Authentication Bypass
  • XML External Entities Injection with significant impact
  • SQL Injection with significant impact
$2,000+
P2 – HighVulnerabilities that affect the security of the platform including the processes it supports
  • Lateral authentication bypass
  • Stored XSS with significant impact
  • CSRF with significant impact
  • Direct object reference with significant impact
  • Internal SSRF
$1,000+
P3 – MediumVulnerabilities that affect multiple users and require little or no user interaction to trigger
  • Reflective XSS with impact
  • Direct object reference
  • URL redirect
  • CSRF with impact
$500+
P4 – LowVulnerabilities that affect singular users and require interaction or significant prerequisites (MitM) to trigger
  • SSL misconfigurations with little impact
  • SPF configuration problems
  • XSS with limited impact
  • CSRF with limited impact
$100+
P5 – Acceptable RiskNon-exploitable vulnerabilities in functionality. Vulnerabilities that are by design or are deemed acceptable business risk to the customer
  • Debug information
  • Use of CAPTCHAs
  • Code obfuscation
  • Rate limiting, etc.
Not typically eligible for a reward

يجب إرسال تقارير الأخطاء عبر البريد الإلكتروني إلى .دعم Stackry.