برنامج مكافآت اكتشاف الثغرات الأمنية

FlowHunt تهدف إلى الحفاظ على أمان خدماتها للجميع، وتولي أمن البيانات أهمية قصوى. إذا كنت باحثًا أمنيًا واكتشفت ثغرة أمنية في الخدمة، فإننا نقدر مساعدتك في الإفصاح عنها بشكل خاص ومنحنا الفرصة لإصلاحها قبل نشر التفاصيل الفنية.

ستتعاون FlowHunt مع الباحثين الأمنيين عند الإبلاغ عن الثغرات على النحو الموضح هنا. سنقوم بالتحقق، والرد، وإصلاح الثغرات دعمًا لالتزامنا بالأمن والخصوصية. لن نتخذ إجراءات قانونية ضد أو نعلّق أو نوقف وصول من يكتشف ويبلغ عن الثغرات بشكل مسؤول. تحتفظ FlowHunt بكافة حقوقها القانونية في حال عدم الالتزام.

الأهلية

لتكون مؤهلاً للمشاركة في برنامج مكافآت اكتشاف الثغرات، يجب عليك:

• أن يكون عمرك 18 عامًا على الأقل
• ألا تكون موظفًا حاليًا أو سابقًا في FlowHunt أو متعاقدًا معها أو من أفراد عائلتهم المباشرين
• ألا تكون خاضعًا لعقوبات أمريكية أو مقيمًا في دولة تخضع لحظر أمريكي
• الالتزام بجميع القوانين واللوائح المعمول بها
• اتباع ممارسات الإفصاح المسؤول

الإبلاغ

شارك تفاصيل أي ثغرات مشتبه بها مع فريق الأمان في FlowHunt عبر support@flowhunt.io . يرجى عدم الكشف عن هذه التفاصيل علنًا خارج هذه العملية دون إذن صريح.

متطلبات جودة البلاغ

يجب أن يتضمن بلاغك عن الثغرة ما يلي:

• الملخص: وصف موجز للثغرة
• التأثير: التأثير الأمني المحتمل والمخاطر على الأعمال
• خطوات إعادة الإنتاج: تعليمات تفصيلية خطوة بخطوة
• دليل إثبات المفهوم: دليل يوضح الثغرة
• الأصول المتأثرة: روابط URL أو معلمات أو مكونات محددة
• تقييم الخطورة: تقييمك لمستوى الخطورة
• اقتراحات للتخفيف: إصلاحات مقترحة (اختياري)

إذا كنت ترغب في تقديم عدة بلاغات مرة واحدة، يرجى إرسال بلاغ واحد فقط (الأهم إذا أمكن) وانتظار الرد.

الجدول الزمني للاستجابة

• التأكيد: خلال 5 أيام عمل من تقديم البلاغ
• التقييم الأولي: خلال 10 أيام عمل
• هدف الحل: خلال 90 يومًا للثغرات المؤكدة
• التحديثات: تحديثات منتظمة للحالة طوال العملية

التعويض

يسعدنا أن نقدم مكافأة مقابل المعلومات حول الثغرات التي تساعدنا في حماية عملائنا، وذلك شكرًا للباحثين الأمنيين المشاركين في برنامجنا.

تصنيف الخطورة

خطورة حرجة (100 دولار):

• تنفيذ أوامر عن بُعد
• حقن SQL يؤدي للوصول إلى البيانات
• تجاوز المصادقة يؤثر على عدة مستخدمين
• تصعيد الامتيازات إلى مستوى المدير
• الاستحواذ الكامل على الحساب

خطورة متوسطة (50 دولار):

• XSS (برمجة عبر المواقع) بتأثير كبير
• تجاوز التحكم بالوصول ويؤثر على بيانات محدودة
• اجتياز الدليل والوصول إلى ملفات
• ثغرات إدارة الجلسة
• مصادقة معطلة تؤثر على مستخدمين أفراد

خطورة منخفضة (غير مؤهلة للدفع):

• كشف معلومات بسيطة
• XSS ذاتي بدون سيناريو هجوم واقعي
• مشاكل في الحد من المعدل
• رؤوس أمان مفقودة بدون تأثير قابل للاستغلال

شروط الدفع

• يتم دفع المكافآت حصريًا عبر PayPal
• يجب على الباحث إصدار وإرسال فاتورة PayPal
• لا توجد طرق دفع أخرى متوفرة
• تتم معالجة الدفع خلال 30 يومًا من استلام الفاتورة
• جميع المدفوعات خاضعة للأنظمة الضريبية المعمول بها

سنمنح المكافأة لأول من يبلغ عن الثغرة فقط. لن تتم مكافأة البلاغات المكررة.

النطاق

ضمن النطاق

يُسمح لك الاختبار فقط على حساب FlowHunt تملكه أو بصفتك وكيلاً مخولًا من صاحب الحساب للقيام بذلك. على سبيل المثال: yourdomain.flowhunt.io

الأصول المؤهلة:

• جميع نطاقات flowhunt.io وأي نطاقات فرعية
• تطبيقات FlowHunt الويب وواجهات API
• تطبيقات FlowHunt للهاتف المحمول (إن وجدت)

أنواع الثغرات المؤهلة:

• تنفيذ أوامر عن بُعد (RCE)
• حقن SQL
• مصادقة معطلة
• إدارة جلسة معطلة
• تجاوز التحكم بالوصول
• برمجة عبر المواقع (XSS)
• إعادة توجيه URL مفتوحة
• اجتياز الدليل
• تزوير الطلب من جهة الخادم (SSRF)
• عيوب منطق الأعمال

خارج النطاق

أنشطة محظورة:

• هجمات الهندسة الاجتماعية (التصيد، المكالمات الاحتيالية، إلخ)
• الهجمات المادية أو الوصول الفعلي لمرافق FlowHunt
• هجمات الحرمان من الخدمة (DoS) أو الموزعة (DDoS)
• الرسائل المزعجة أو أدوات الأتمتة الموجهة لأنظمتنا
• هجمات على مستوى الشبكة أو فحص البنية التحتية
• هجمات تتطلب وصولاً فعليًا لأجهزة المستخدمين
• هجمات القوة الغاشمة أو كسر كلمات المرور
• الاختبار على حسابات لا تملكها أو ليس لديك إذن صريح لاختبارها

نتائج غير مؤهلة:

• تقارير حول تهديد المهاجم لحسابه فقط
• XSS ناتج عن مشرف أو مستخدم بامتيازات
• ثغرات تتطلب تفاعل مستخدم غير محتمل
• قضايا تتطلب من المستخدم تثبيت برامج ضارة
• ثغرات نظرية بدون مسار استغلال واضح
• تزوير محتوى بدون تأثير أمني
• غياب الحد من المعدل بدون تأثير مثبت
• مشاكل تؤثر فقط على متصفحات أو منصات قديمة

قواعد البرنامج

إرشادات الاختبار

• اختبر فقط على الحسابات التي تملكها أو لديك إذن صريح للاختبار عليها
• لا تصل إلى بيانات المستخدمين الآخرين أو تعدلها أو تحذفها
• لا تعطل خدماتنا أو تؤثر على أدائها
• حد من الاختبار الآلي لتجنب تعطيل الخدمة
• لا تكشف عن الثغرات علنًا قبل إصلاحها
• ابذل جهدًا حسن النية لتجنب انتهاك الخصوصية أو تدمير البيانات

الحماية القانونية وبيئة آمنة

تتعهد FlowHunt بـ:

• عدم اتخاذ إجراءات قانونية ضد الباحثين الملتزمين بهذه السياسة
• العمل مع الباحثين لفهم والتحقق من القضايا الأمنية
• تقدير المساهمات الأمنية الصالحة
• الحفاظ على السرية وعدم مشاركة هوية الباحث بدون إذن

يجب على الباحثين:

• الالتزام بجميع القوانين واللوائح المعمول بها
• الوصول فقط إلى البيانات اللازمة لإثبات الثغرة
• الإبلاغ عن الثغرات بسرعة وبحسن نية
• عدم استغلال الثغرات بما يتجاوز ما هو ضروري للإثبات

الجدول الزمني للإفصاح

• فوري: إرسال البلاغ عبر support@flowhunt.io
• 90 يومًا: الجدول الزمني القياسي للإفصاح بعد البلاغ الأولي
• متنسيق: الإفصاح العلني فقط بعد الاتفاق المتبادل
• طارئ: قد يتم تسريع الجدول الزمني للثغرات الحرجة

يحق للباحثين الإفصاح علنًا عن الثغرات بعد 90 يومًا من البلاغ الأولي، أو بعد تأكيد FlowHunt حل المشكلة، أيهما أسبق. نشجع على الإفصاح المنسق وسنتعاون مع الباحثين على تحديد التوقيت المناسب.