الإفصاح المسؤول لخدمات DediStart.

نظرة عامة

لا يوجد نظام إنتاج مثالي، ويمكن أن تكون المراجعة الأمنية من الباحثين ذوي الخبرة قيّمة عند تنفيذها بمسؤولية. إذا كنت تعتقد أنك حددت ثغرة أمنية تؤثر على منتج أو خدمة أو موقع ويب DediStart، فأبلغ عنها عبر القناة المنشورة أدناه.

البرنامج يرتكز على الإفصاح المسؤول، وليس المنافسة العلنية. قد تُعتبر التقارير المؤهلة للحصول على مكافأة تقديرية بعد التحقق الداخلي ومراجعة الخطورة والتحقق من التكرار.

توقعات الإبلاغ الآمن

• أبلغ عن المشكلة في أقرب وقت ممكن بعد الاكتشاف وقدم تفاصيل كافية ليتمكن الفريق من إعادة إنتاج الاكتشاف.
• امنح وقتًا معقولًا للتحقيق والمعالجة قبل الكشف العلني عن المشكلة أو مشاركتها مع طرف ثالث.
• لا تستخدم انتحال الشخصية أو الهندسة الاجتماعية أو التصيد الاحتيالي أو أساليب اتصال خادعة أخرى أثناء الاختبار أو الإبلاغ.
• استخدم فقط الحسابات التي أنشأتها بنفسك ولا تصل إلى بيانات المستخدمين الآخرين أو تعدّلها أو تتلفها.
• تجنب أساليب الاختبار التي تعطل التوفر أو تُضعف الخدمة للآخرين أو تُنشئ مخاطر تشغيلية غير ضرورية.
• احتفظ بسرية التقرير أثناء مراجعة المشكلة. لن تُشارك المعلومات الشخصية المقدمة مع التقرير دون موافقة ما لم يكن الإفصاح مطلوبًا بموجب القانون.
• إذا اتبعت هذه التوقعات والشروط الأخرى في هذه السياسة، لا تنوي Redcluster LTD اتخاذ إجراءات قانونية فيما يتعلق بالتقرير نفسه.

الأهلية

قد يُعتبر التقرير للمراجعة ضمن هذا البرنامج عندما تكون جميع الشروط التالية صحيحة:

1. أنت أول من يُبلغ عن المشكلة.
2. تتبع توقعات الإبلاغ الآمن الموضحة في هذه السياسة.
3. لا تكشف عن المشكلة علنًا قبل أن تتاح لـ Redcluster LTD فرصة معقولة للتحقيق والاستجابة.
4. تقدم شرحًا واضحًا للتأثير مع خطوات قابلة للتكرار أو دليل عملي يعمل.
5. تستخدم فقط حساباتك الخاصة ولا تحاول الوصول إلى البيانات التي لا تنتمي إليك.
6. لا تقع ضمن قيود العقوبات التي تمنع Redcluster LTD من المشاركة في البرنامج.

النتائج خارج النطاق

الفئات أدناه خارج النطاق بشكل عام وقد لا تتلقى ردًا فرديًا عندما لا تُظهر تأثيرًا أمنيًا مهمًا وقابلًا للاستغلال.

الهجمات الاجتماعية والمادية

• الهندسة الاجتماعية أو التصيد الاحتيالي أو انتحال الشخصية أو أي محاولات أخرى للتلاعب بالموظفين أو أطراف ثالثة.
• أي محاولة مادية ضد ممتلكات الشركة أو البنية التحتية أو مرافق مراكز البيانات.

التوفر والاختبار التعسفي

• نشاط رفض الخدمة أو التخمين المتكرر أو اختبار الإجهاد أو أي اختبار قد يُضعف توفر الخدمة.
• التقارير المُنشأة فقط بأدوات آلية أو مسح واسع دون تأثير موثّق خاص بالخدمة.
• حدود المعدل المفقودة المُبلَّغ عنها دون مسار استغلال عملي.

نتائج الويب منخفضة الإشارة

• مشكلات CSRF وXSS الذاتي والنقر الخادع فقط وانتحال المحتوى في صفحات الخطأ وهجمات الهوموغراف وإعادة التوجيه المفتوحة وملاحظات CAPTCHA الضعيفة والمشكلات المتعلقة بالذاكرة المؤقتة.

الرؤوس والتكوين وتقارير التعرض فقط

• علامات الكوكيز المفقودة ورؤوس الأمان المفقودة دون تأثير موثّت، وغياب noreferrer أو noopener، وملاحظات DKIM/SPF/DMARC، وكشف الإصدار، وقائمة الدليل، وملاحظات SSL، وتفعيل OPTIONS، أو كشف IP الخادم.

حالات حافة الحساب والجهاز المحلي

• مهل جلسة المصادقة وإعادة استخدام TOTP للمصادقة الثنائية ومخاوف سياسة كلمة المرور وتفاصيل التحقق من تغيير البريد الإلكتروني وملاحظات تدفق تفعيل المصادقة الثنائية أو المشكلات التي تتطلب الوصول إلى جهاز المستخدم نفسه.
• ادعاءات تعداد المستخدمين التي تعتمد على سلوك التخمين المتكرر بدلًا من ثغرة تطبيق عملية.

برامج الطرف الثالث والأنظمة الخارجية

• الأخطاء في برامج الطرف الثالث وثغرات WordPress وثغرات المتصفح أو تلاعب معامل معالج الدفع خارج سطح تطبيق DediStart المباشر.

ما يجب تضمينه في التقرير

يتضمن التقرير المفيد عادةً:

• اسم المضيف أو URL أو الخدمة أو تدفق المستخدم المتأثر.
• خطوات إعادة إنتاج واضحة بما فيها حالة الحساب المطلوبة والتوقيت أو تفاصيل البيئة.
• التأثير الملاحظ والعواقب الأمنية التي تعتقد أنها تترتب على المشكلة.
• دليل مفهوم أو لقطات شاشة أو نماذج طلبات أو سجلات تساعد الفريق على التحقق من التقرير دون تكرار اختبار مفرط.
• تفاصيل الاتصال المفضلة لديك في حال الحاجة إلى توضيح للمتابعة.

قناة الإبلاغ

أرسل النتائج الأولية إلى قناة الإساءة والأمان أدناه. إذا تم قبول المشكلة للمراجعة، يمكن مواصلة التواصل للمتابعة عبر تلك الخيط.