الأمان

برنامج مكافأة الثغرات

ترحب BelHost بالإفصاح المسؤول من باحثي الأمان. نراجع جميع التقارير المؤهلة وقد نقدم مكافآت على الثغرات الصالحة.

الإبلاغ عن ثغرة قراءة الإرشادات
محتويات الصفحة
قناة الإبلاغ
[email protected]

نظرة عامة

نعتبر أمان أنظمتنا أولوية قصوى. لا يوجد نظام مثالي، وقد تكون هناك ثغرات في أي تقنية. نتطلع إلى التعاون مع باحثي الأمان المهرة لحماية عملائنا.

إذا كنت تعتقد أنك اكتشفت مشكلة أمنية في منتجاتنا أو خدماتنا، نشجعك على إخطارنا.

إرشادات الإفصاح المسؤول

  • أعلمنا في أقرب وقت ممكن عند اكتشاف ثغرة أمنية محتملة، وسنبذل قصارى جهدنا لحلها بسرعة.
  • امنحنا وقتًا معقولًا لحل المشكلة قبل أي إفصاح عام أو لطرف ثالث.
  • لا انتحال غير مرخص: لن يُتسامح مع أي محاولة للتلاعب الاجتماعي بانتحال صفة موظف BelHost أو باحث آخر أو فريق أمان.
  • إذا التزمت بجميع شروط هذه الإرشادات، لن نتخذ أي إجراء قانوني ضدك فيما يتعلق بتقريرك.
  • سيُحفظ تقريرك سريًا. لن نشارك معلوماتك الشخصية مع أطراف ثالثة دون موافقتك المسبقة، إلا إذا اقتضت ذلك الضرورة القانونية.

المكافآت

تقديرًا لجهودك، تقدم BelHost مكافآت على تقارير الثغرات الأمنية المؤهلة. قد تكون المكافآت عبارة عن تعويض مالي أو بضائع BelHost. يُحدد مبلغ المكافأة وفقًا لتقدير BelHost بناءً على تصنيف الخطورة الداخلي للثغرة المُكشفة. يُبلَّغ عن المكافأة بعد التحقق من قِبل فرقنا الداخلية.

شروط الأهلية

للتأهل للمكافأة، يجب عليك:

  1. أن تكون أول من يُبلّغ عن الثغرة.
  2. اتباع الإرشادات الموضحة في هذه الصفحة.
  3. عدم الإفصاح عن الثغرة علنًا قبل حلنا لها.
  4. تقديم إثبات مفهوم يُظهر استغلال الثغرة الأمنية.
  5. استخدام حساباتك الخاصة فقط دون الوصول إلى بيانات مستخدمين آخرين.
  6. عدم الإقامة في أي دولة مدرجة في قائمة المواطنين والكيانات المحددة خصيصًا والمحظورة (SDN).
  7. عدم الإقامة في أي دولة مدرجة في القائمة الموحدة للأشخاص والمجموعات والكيانات الخاضعة للعقوبات المالية الأوروبية.

الاستثناءات المطلقة

الفئات التالية خارج النطاق ولن تتلقى ردًا في الغالب.

الهجمات الاجتماعية والمادية
  • الهندسة الاجتماعية (بما في ذلك التصيد الاحتيالي)
  • أي محاولات مادية ضد ممتلكات BelHost أو مراكز البيانات
  • الهجوم المادي على البنية التحتية
اختبارات التوفر والإساءة
  • حجب الخدمة
  • القوة الغاشمة
  • تقارير من أدوات وفحوصات آلية
  • غياب حدود معدل الطلبات
مشكلات الويب ضعيفة الأثر
  • CSRF
  • Self-XSS
  • Clickjacking والمشكلات القابلة للاستغلال فقط من خلاله
  • انتحال المحتوى في صفحات الخطأ أو حقن النصوص
  • هجمات Homograph
  • إعادة التوجيه المفتوحة
  • CAPTCHA ضعيف أو تجاوزه
  • مشكلات متعلقة بالتخزين المؤقت
نتائج الإعدادات والترويسات فقط
  • المتعلقة بـ X-Frame-Options
  • غياب علامات ملفات تعريف الارتباط
  • غياب ترويسات الأمان التي لا تؤدي مباشرةً إلى ثغرة
  • غياب noreferrer، noopener
  • مشكلات DKIM/SPF/DMARC
  • كشف الإصدار
  • سرد الدلائل
  • مشكلات SSL
  • تفعيل طريقة OPTIONS HTTP
  • كشف IP الخادم
حالات حافة الحساب والمصادقة
  • مهلة جلسات المصادقة (الجلسات مرتبطة بالـ IP بمهلة ساعة واحدة)
  • إعادة استخدام رمز 2FA TOTP
  • تعداد المستخدمين بالقوة الغاشمة
  • تفعيل 2FA دون تأكيد البريد الإلكتروني
  • التحقق من كلمة المرور عند تغيير البريد الإلكتروني أو 2FA
  • سياسة كلمة المرور
  • أي هجوم يتطلب وصولًا إلى حاسوب المستخدم (ماديًا أو عن بُعد)
برامج الطرف الثالث وغير المرتبطة
  • أخطاء في برامج الطرف الثالث
  • ثغرات WordPress
  • أي نوع من ثغرات المتصفحات
  • التلاعب بالمعاملات لمعالجات الدفع
نظرًا لكثرة التقارير غير الصالحة، لن يُردّ على أي تقرير يتضمن ثغرة مدرجة في قائمة استثناءاتنا.

كيفية الإبلاغ

يرجى إرسال نتائجك الأولية إلى:

[email protected]