برنامج مكافأة اكتشاف الثغرات



شروط البرنامج

الرجاء ملاحظة أن مشاركتك في برنامج Bug Bounty تطوعية وتخضع للشروط والأحكام المنصوص عليها في هذه الصفحة. بإرسال موقع ويب أو تعرض منتج إلى Paysera ، فإنك تقر بأنك قد قرأت ووافقت على شروط البرنامج.
تكمل شروط البرنامج هذه شروط أي اتفاقية أخرى دخلت فيها مع Paysera. إذا كان هناك أي تناقض بين شروط اتفاقيات Paysera وشروط البرنامج هذه، فستتحكم هذه الشروط البرنامجية، ولكن فقط فيما يتعلق ببرنامج مكافأة اكتشاف الثغرات.

المبادئ التوجيهية للإبلاغ عن المسائل الأمنية

إذا كنت تعتقد أنك وجدت ثغرة أمنية في Paysera، الرجاء إبلاغنا بها عبر البريد الإلكتروني إلى [email protected]. الرجاء تضمين خطوات مفصلة لإعادة إنتاج الخطأ ووصف موجز لما هو التأثير. نشجع الإفصاح المسؤول (كما هو موضح أدناه)، ونعد بالتحقيق في جميع التقارير المشروعة في الوقت المناسب وإصلاح أي مشكلات في أقرب وقت ممكن.

الخدمات في نطاقها

أي خدمة Paysera تتعامل مع بيانات المستخدم الحساسة بشكل معقول تهدف إلى أن تكون في نطاقها. وهذا يشمل تقريبا جميع المحتويات في المجالات التالية: *.paysera.com

سياسة الإفصاح المسؤول



يعتبر أمن أموال المستخدمين والبيانات والاتصالات من أولويات Paysera. من أجل تشجيع الكشف المسؤول، لن نتخذ إجراءات قانونية ضد الباحثين الذين يشيرون إلى المشكلة شريطة أن يتبعوا مبادئ الكشف المسؤول التي تشمل، على سبيل المثال لا الحصر:

  • فقط الوصول إلى بيانات عملائك أو الكشف عنها أو تعديلها.
  • لا تقم بأي هجوم يمكن أن يضر بموثوقية أو نزاهة خدماتنا أو بياناتنا.
  • تجنب تقنيات المسح التي من المحتمل أن تسبب تدهورا في الخدمة للعملاء الآخرين. (DoS، البريد العشوائي).
  • احتفظ دائما بتفاصيل نقاط الضعف سرية حتى يتم إخطار Paysera وإصلاح المشكلة.
  • لا تحاول الوصول إلى حساب أو بيانات مستخدم آخر.

عند البحث عن نقاط الضعف على موقع Paysera الإلكتروني، يجب ألا تشارك في ما:

  • يؤدي إلى تدهور أنظمة Paysera.
  • ينتج عنك، أو أي طرف ثالث، الوصول إلى بيانات Paysera أو العملاء أو تخزينها أو مشاركتها أو إتلافها.
  • الأنشطة التي قد تؤثر على عملاء Paysera، مثل رفض الخدمة أو الهندسة الاجتماعية أو البريد العشوائي.

قد نعلق حسابك ونحظر الـ IP الخاص بك، إذا لم تحترم هذه المبادئ.

نطلب منك أن تكون متاحا للمتابعة وتقديم مزيد من المعلومات حول الخطأ، وندعوك للعمل مع مطوري Paysera في إعادة إنتاج وتشخيص وإصلاح الخطأ. نستخدم الإرشادات التالية لتحديد أهلية الطلبات ومقدار المكافأة.

#

الأهلية



#
لكي تكون مؤهلا لبرنامج مكافأة اكتشاف الثغرات، يجب ألا تقوم بما يلي:
  • أن تنتهك أي قانون أو لائحة وطنية أو حكومية أو محلية.
  • أن تكون قريبا مباشرا لعائلة شخص يعمل لدى Paysera أو الشركات التابعة لها أو الشركات التابعة لها.
  • أن تكون أقل من 14 سنة من العمر. إذا كان عمرك 14 عاما على الأقل، ولكنك تعتبر قاصرا في مكان إقامتك، فيجب عليك الحصول على إذن موقع من والديك أو الأوصياء القانونيين قبل المشاركة في البرنامج.
إذا اكتشفت Paysera أنك لا تستوفي أيا من المعايير المذكورة أعلاه، فستقوم Paysera بإزالتك من برنامج مكافأة اكتشاف الثغرات واستبعادك من تلقي أي دفعات مكافأة.

مبلغ المكافأة



ستقابل الثغرات الأكثر خطورة بمكافآت أكبر. أي خطأ يحتمل أن يتعرض لخسارة مالية أو خرق للبيانات يكون شديدا بما يكفي.
بشكل عام، نقاط الضعف التي ربما تكافأ أقل هي تلك التي لا تسبب واحدة أو عدة من النتائج التالية:
  • خسارة جزئية/كاملة للأموال.
  • تسرب معلومات المستخدم.
  • فقدان دقة بيانات التبادل.

من أجل الحصول على مكافأة:
  • يجب أن يكون الخطأ الأمني أصليا ولم يتم الإبلاغ عنه سابقا.
  • يجب أن يكون الخطأ الأمني استغلالا عن بعد، أو سببا لتصعيد الامتياز، أو تسرب المعلومات.

إذا أبلغ شخصان أو أكثر عن الخطأ معا، فسيتم تقسيم المكافأة بينهم.
فيما يلي بعض الأمثلة على كيفية الحصول على مكافأة أعلى:
  • يمكن للباحث إظهار فئات جديدة من الهجمات، أو تقنيات لتجاوز ميزات الأمان. أو، إذا كان من الممكن إثبات أن الثغرة الأمنية الحالية قابلة للاستغلال من خلال بحث إضافي من قبل المراسل، فيمكن الحصول على تعويض إضافي عن نفس الخطأ.
  • قد تكشف الأبحاث أيضا عن مجالات مشكلة شديدة أو معقدة أو مثيرة للاهتمام لم يتم الإبلاغ عنها سابقًا أو قضايا غير معروفة.

سيتم تحديد مدفوعات المكافآت، إن وجدت، من قبل Paysera، وفقا لتقدير Paysera الوحيد. لن تكون Paysera ملزمة بأي حال من الأحوال بدفع مكافأة لك مقابل أي طلب. لا يمكن دفع جميع مدفوعات المكافآت إلا باليورو إلى حساب Paysera المحدد. يمكن أيضا نقل المكافأة إلى منظمة السلام الأخضر أو الصليب الأحمر أو منظمات Caritas. لا تدفع Paysera مكافآت بالعملات المشفرة أو لأنظمة الدفع الأخرى، والتي لم يتم ذكرها في هذه الصفحة.
عند تحديد مبلغ الدفع، ستأخذ Paysera في الاعتبار مستوى المخاطر وتأثير الضعف.

#

أمثلة على مواطن الضعف



أمثلة على مواطن الضعف المؤهلة
تحتفظ Paysera بالحق في تقرير ما إذا تم استيفاء الحد الأدنى لمؤهلات الشدة وما إذا كان قد تم الإبلاغ عنه بالفعل.
  • تجاوز المصادقة أو تصعيد الامتياز.
  • Clickjacking.
  • منع البرمجة النصية (XSS).
  • تزوير الطلبات عبر المواقع (CSRF/XSRF).
  • نصوص مختلطة المحتوى.
  • تنفيذ رمز جانب الخادم.
  • خرق بيانات المستخدم.
  • تنفيذ التعليمات البرمجية عن بعد.
أمثلة على نقاط الضعف غير المؤهلة
يتم تقدير الإبلاغ عن نقاط الضعف التالية ولكنه لن يؤدي إلى مكافأة منهجية من Paysera.
  • نقاط ضعف الحرمان من الخدمة (DoS).
  • احتمالات إرسال روابط خبيثة إلى الأشخاص الذين تعرفهم.
  • أخطاء أمنية في مواقع الطرف الثالث التي تتكامل مع Paysera API.
  • نقاط الضعف المتعلقة ببرمجيات الطرف الثالث (مثل جافا، الملحقات، الملحقات) أو موقع الويب ما لم تؤد إلى ثغرة أمنية على موقع Paysera.
  • البريد العشوائي (بما في ذلك المشكلات المتعلقة SPF/DKIM/DMARC).
  • قضايا قابلية الاستخدام، أشكال مكتملة تلقائيا.
  • إعدادات غير آمنة في ملفات تعريف الارتباط غير الحساسة.
  • نقاط ضعف المتصفح Cache.
  • نقاط الضعف (بما في ذلك XSS) التي تتطلب من الضحية المحتملة تركيب برامج غير قياسية أو اتخاذ خطوات نشطة غير محتملة للغاية لجعل نفسها عرضة للإصابة.
  • الهجمات غير التقنية مثل الهندسة الاجتماعية أو التصيد الاحتيالي أو الهجمات الجسدية ضد موظفينا أو مستخدمينا أو البنية التحتية.
  • نقاط الضعف (بما في ذلك XSS) التي تؤثر فقط على المتصفح/الملحقات القديمة.
  • Self-XSS.
  • CSRF للإجراءات غير المهمة (تسجيل الخروج، إلخ).
  • هجمات Clickjacking بدون سلسلة موثقة من النقرات التي تنتج ثغرة أمنية.
  • حقن المحتوى، مثل النص المنعكس أو علامات HTML.
  • فقدان رؤوس HTTP، باستثناء المكان الذي يفشل فيه غيابهم في التخفيف من الهجوم الحالي.
  • تجاوزات المصادقة التي تتطلب الوصول إلى رموز البرامج/الأجهزة.
  • نقاط الضعف التي تتطلب الوصول إلى كلمات المرور أو الرموز أو النظام المحلي (مثل تثبيت الجلسة).
  • نقاط الضعف المفترضة على أساس أرقام الإصدارات فقط.
  • الثغرات التي تتطلب من غير المرجح تفاعل المستخدم.
  • الكشف عن المعلومات والمعلومات العامة التي لا تنطوي على مخاطر كبيرة.
  • الكتابة أو الأتمتة الأخرى والتأثير الغاشم للوظائف المقصودة.
  • الطلبات التي تنتهك سياسة المنشأ نفسه دون سيناريو هجوم ملموس (على سبيل المثال، عند استخدام CORS، ولا تستخدم ملفات تعريف الارتباط في إجراء التوثيق أو لا يتم إرسالها مع الطلبات).

المعلومات المطلوبة



#
فيما يتعلق بجميع الطلبات، الرجاء إدراج ما يلي:
  • وصف كامل للثغرة الأمنية التي يتم الإبلاغ عنها بما في ذلك قابلية الاستغلال والتأثير.
  • توثيق جميع الخطوات اللازمة لاستنساخ استغلال الضعف.
  • تأثرت عناوين URL/application (s) في التقديم (حتى لو قدمت لنا مقتطفًا/فيديو رمزيا أيضا).
  • IPs التي تم استخدامها أثناء الاختبار.
  • قم دائما بتضمين معرف المستخدم المستخدم لـ POC.
  • قم دائما بتضمين جميع الملفات التي حاولت تحميلها.
  • قدم برنامج العمل الكامل لتقديمك.
  • الرجاء حفظ جميع سجلات الهجوم وإرفاقها بالتقديم.

قد يؤدي عدم تضمين أي من العناصر المذكورة أعلاه إلى تأخير دفع المكافأة أو تعريضها للخطر.
أبلغنا بذلك عن طريق البريد الإلكتروني [email protected].


ملاحظة! لا يمكننا إصدار مكافآت للأفراد المدرجين على قوائم العقوبات، أو الموجودين في دول (مثل كوبا وإيران وكوريا الشمالية والسودان وسوريا وكوريا الشمالية) المدرجة على قوائم العقوبات. أنت مسؤول عن أي آثار ضريبية بناءً على دولة إقامتك وجنسيتك. قد تكون هناك قيود إضافية على قدرتك على الدخول حسب قانونك المحلي.

هذه ليست منافسة، بل هي برنامج مكافآت تجريبي وتقديري. يجب أن تفهم أنه يمكننا إلغاء البرنامج في أي وقت.

الأسئلة الشائعة



ماذا لو وجدت نقطة ضعف، لكنني لا أعرف كيف أستغلها ؟
نتوقع أن يكون لتقارير الضعف المرسلة إلينا سيناريو هجوم صالح للتأهل للحصول على مكافأة، ونعتبرها خطوة حاسمة عند إجراء أبحاث الضعف. يتم تحديد مبالغ المكافأة بناءً على التأثير الأقصى للضعف، والفريق على استعداد لإعادة النظر في مبلغ المكافأة، بناءً على معلومات جديدة (مثل سلسلة من الأخطاء، أو سيناريو هجوم منقح).
كيف أظهر خطورة الخطأ إذا لم يكن من المفترض أن أتجسس؟
الرجاء تقديم تقريرك بمجرد اكتشاف مشكلة أمنية محتملة. ستنظر اللجنة في أقصى تأثير وستختار المكافأة وفقا لذلك. نحن ندفع بشكل روتيني مكافآت أعلى مقابل الطلبات المكتوبة جيدًا والمفيدة حيث لم يلاحظ المراسل أو لا يستطيع تحليل تأثير عيب معين بشكل كامل.