نلتزم بحماية معلومات عملائنا. وإذا كنت تعتقد أنك حددت ثغرة أمنية، فنحن نقدر مساعدتك في الكشف عنها بطريقة مسؤولة عن طريق إخطارنا عبر البريد الإلكتروني على security@vyond.com.
الأمان عامل مهم جدًا لنا وسوف نحقق في جميع تقارير الثغرات الأمنية ونرد عليها. ونحن مهتمون أكثر بالثغرات المرتبطة بموقع vyond.com.
يرجى تدوين النقاط التالية:
- يرجى وصف العيب (العيوب) بالتفصيل الكافي، وذكر تداعيات ثغرات الاستغلال.
- يرجى تضمين إثبات المفهوم القابل لإعادة الإنتاج إن أمكن، مثل مقتطفات التعليمات البرمجية وعناوين المواقع (URL) الخاصة بالطلب وحمولات الهجوم ولقطات الشاشة وملفات تتبع الحزمة أو التقاط فيديو يوضح ثغرة الاستغلال. وإذا كان ذلك متاحًا، فيرجى إدراج المواد المرجعية في المواقع الخارجية إذا كانت ستساعدنا على فهم طبيعة المشكلة بشكل أفضل.
- يرجى تجنب الإبلاغ عن عدة أنواع من الثغرات الأمنية في البريد الإلكتروني نفسه، لأن ذلك قد يعيقنا من تجميع تقارير الثغرات الأمنية المماثلة، ويمنعنا من تحديد الثغرات الأمنية الحرجة بسرعة في الوقت المناسب. وإذا كانت لديك ثغرات أمنية عديدة للإبلاغ عنها، فيرجى إرسال بريد إلكتروني إلينا لكل نوع من أنواع الثغرات الأمنية.
- يُرجى عدم المشاركة في اختبار يمكن أن يؤثر على عملائنا أو يؤدي إلى تدهور الخدمة، مثل هجمات رفض الخدمة والهندسة الاجتماعية والبريد العشوائي. ويلزم الحصول على موافقة Vyond قبل استخدام الماسحات الآلية، مثل Burp أو Acunetix، ضد الموقع الذي يولد عددًا كبيرًا من الطلبات في فترة زمنية قصيرة.
- لا يسمح لك بإجراء اختبارات الاختراق على مستوى المضيف.
- لا يجوز لك جمع المعلومات المرتبطة بأي حساب ليس ملكك. وفي حالة مصادفتك لهذه المعلومات عن طريق الخطأ، يجب عليك الإبلاغ عن هذه الثغرة الأمنية ومحو جميع النسخ المخزنة محليًا من بيانات الطرف الثالث.
- يرجى الاحتفاظ بسرية نتائجك إلى أن نتأكد من المشكلات ونصلحها.
- قد نتصل بك لطلب معلومات إضافية إذا كان تقريرك لا يتضمن معلومات كافية لنا لفهم سياق المشكلات التي يتم الإبلاغ عنها.
- سنعود إليك خلال فترة تتراوح من يوم عمل واحد إلى أسبوع إلى ثلاثة أسابيع حسب خطورة المشكلة وجودة تقريرك. ويرجى عدم إمطارنا باستفسارات للتحقق من الحالة.
- قد يجعلك الإفصاح المؤهل، مؤهلاً لوضع اسمك في لوحة الشرف الخاصة بنا، كما هو موضح أدناه.
في حالة اكتشاف ثغرة خطيرة، فنحن نقدر مساهمتك من خلال الاعتراف بجهودك في لوحة الشرف الخاصة بنا وفقًا للأحكام التالية:
- إذا تلقينا تقارير متعددة عن الثغرة الأمنية نفسها، فسيتم الاعتراف بأول تقرير مفيد فقط.
- تحتفظ Vyond بالحق في اختيار "أول تقرير مفيد" من خلال تقييم العوامل بما في ذلك على سبيل المثال لا الحصر وقت استلام الطلب واكتماله. ويكون المبدأ التوجيهي وفقًا للمساعدة هو مدى فائدة التقرير في حد ذاته في مساعدتنا في تحديد وإصلاح ثغرة مؤهلة محددة.
- من خلال إرسال تقرير حول ثغرة أمنية إلينا، فإنك توافق على أن قرار أن تقديم الاعتراف يظل وفقًا للتقدير المطلق لشركة Vyond.
- وبالمثل، تحتفظ Vyond بالحق في رفض أي تقرير عن الثغرات الأمنية وفقًا لتقديرها.
- تم إدراج الاعترافات حاليًا في صفحة الكشف الأمني. وتحتفظ Vyond بالحق في نقل المحتوى إلى عنوان موقع (URL) آخر حسب الحاجة في المستقبل بسبب إعادة هيكلة الموقع أو لأي سبب آخر.
- لن يتم تقديم أي تعويض مالي.
- يرجى الملاحظة أنه تتم مراجعة الثغرات الأمنية لهجمات Clickjacking وCSRF فقط للمواقع والصفحات التي تمثل سهولة للاستغلال والمخاطر على موقع vyond.com.
يخضع برنامج الإفصاح الأمني للتغيير أو الإلغاء من قبل Vyond في أي وقت، دون إشعار. وعلى هذا النحو، يجوز لشركة Vyond تعديل هذه الشروط في أي وقت عن طريق نشر نسخة منقحة على موقعنا على الويب.
المشكلات المعروفة والعناصر الخاصة
فيما يلي بعض العناصر التي يتم الإبلاغ عنها بشكل متكرر التي إما نحن بصدد معالجتها أو قررنا عدم معالجتها في هذه المرحلة. التقارير المتعلقة بهذه العناصر غير مؤهلة للاعتراف بها في لوحة الشرف:
- مشكلات إدارة الجلسة المتعلقة بموقع vyond.com المتعلقة بالجلسات طويلة الأجل والثغرات الأمنية التي تتطلب إعادة تشغيل ملفات تعريف الارتباط.
- عدم وجود عناوين أمان محددة (مثل HSTS).
يرجى الملاحظة أن مواقع خدمة Vyond التي لا تعد جزءًا من تطبيقات الويب الخاصة بنا ليست في نطاق برنامج الإفصاح المسؤول الخاص بنا، وليست مؤهلة للوحة الشرف.
- الأجهزة الطرفية التابعة لأطراف خارجية (ما لم يتم استخدام طريقة تكامل غير آمنة في تطبيقات الويب الخاصة بنا داخل النطاق)
- موقع تسويق Vyond (أي www.vyond.com)
- موقع مجتمع Vyond (community.vyond.com)
-
موقع دعم Vyond (support.vyond.com / help.vyond.com)
فيما يلي قائمة بأمثلة على الثغرات الأمنية المؤهلة وغير المؤهلة، على التوالي، للنظر فيها لإدراجها في لوحة الشرف. القوائم ليست شاملة.
أمثلة على الثغرات الأمنية المؤهلة
- تجاوز المصادقة
- البرمجة النصية عبر المواقع
- تنفيذ التعليمات البرمجية من جانب الخادم
- حقن تعليمات SQL
- تصعيد الامتيازات
- التعرض للمعلومات الحساسة
أمثلة على الثغرات الأمنية غير المؤهلة
- الحرمان من الخدمة
- الهندسة الاجتماعية
- البرامج النصية ذات المحتوى المختلط
- ملفات تعريف الارتباط غير الآمنة
- الثغرات الأمنية التي تتطلب من الضحية المحتملة تثبيت برامج غير قياسية أو اتخاذ خطوات نشطة لجعلها عرضة للإصابة
- الثغرات الأمنية للمتصفحات القديمة
- الكشف عن شعار خادم الويب
- مرور الرموز التي يُحتمل أن تكون حساسة في طلبات HTTP إلى أدوات الطرف الثالث المصرح بها مسبقًا
نود أن نشكر الأفراد التالية أسماؤهم لإبلاغنا عن الثغرات الأمنية بشكل مسؤول.
شكرًا لكم.
- رودولفو غودال (@rodgodalle)
- كوتروس نادارا
- أسامة محمود
- تاتيبالي أبيشيك
- ميهير ميستري
- شودري محمد أسامة (@ChMuhammadOsama)
- أرفيند سينغ شيكاوات (@EhArvindSingh)
- جايفاردان سينغ (@Silent_Screamr)
- سوراب شاندراكانت نيمادي (@SaurabhNemade)
- أنوراغ جيري
- ماهيبال سينغ راجبورهيت (@rajgurumahi007)
- سيباستيان نيف وريتشارد كواسنيكي
- ريناتاس كاربوشكا
- محمد طلحة خان (@M7K911)
- كيساف فيسوانات نيماغادا (@kesavnimmagadda)
- كميل سيفي (@kamilsevi)
- أجاي سينغ نيغي (@AjaySinghNegi)
- نادي عبد الله
- روي جانسن (@RoyJansen_01)
- جايديب كوتاك (@JaidipKotak)
- أحمد ي. الموجي
- رامين فاراجبور كامي (@MF4rr3ll)
- أحمد جربي
- أيوب آيت المختار (@aessadek)
- سانديب سوداغاني
- عبد الوهاب خان (@hackerwahab)
- بال باتيل
- رافينال برامود كومار (@PramodRavela)
- إسماعيل بلبل (Usgf.org.tr)
- إسماعيل تاسديلين
- فايزان أحمد
- أثير إقبال
- هانز غوماباك
- أكاش باندي (@HNTR03)
- ساغار كومار باترا (@SagarPatra2705)