برنامج الكشف عن الثغرات الأمنية
يسعى LiveAgent إلى الحفاظ على أمان خدمته للجميع، وأمان البيانات له أهمية قصوى. برنامج الكشف عن الثغرات الأمنية لدينا يهدف إلى تقليل تأثير أي عيوب أمنية على أدواتنا أو مستخدميها. يغطي برنامج الكشف عن الثغرات الأمنية في LiveAgent البرامج المكتوبة جزئياً أو بشكل أساسي بواسطة Quality Unit.
إذا كنت باحثاً في الأمن واكتشفت ثغرة أمنية في الخدمة، فنحن نقدر مساعدتك في الكشف عنها لنا بشكل خاص وإعطاؤنا فرصة لإصلاحها قبل نشر التفاصيل التقنية.
سيتعامل LiveAgent مع باحثي الأمن عند الإبلاغ عن الثغرات الأمنية كما هو موضح هنا. سنتحقق من الثغرات ونرد عليها ونصلحها دعماً لالتزامنا بالأمان والخصوصية. لن نتخذ إجراءات قانونية ضد أو نعلق أو ننهي الوصول إلى الخدمة لمن يكتشفون ويبلغون عن الثغرات الأمنية بمسؤولية. يحتفظ LiveAgent بجميع حقوقه القانونية في حالة عدم الامتثال.
الإبلاغ
شارك تفاصيل أي ثغرات مشبوهة مع فريق تطوير LiveAgent على support@liveagent.com . يرجى عدم الكشف العلني عن هذه التفاصيل خارج هذه العملية بدون إذن صريح.
عند الإبلاغ عن أي ثغرات مشبوهة، يرجى تضمين أكبر قدر من المعلومات الممكنة. إذا كنت تريد تقديم عدة تقارير في وقت واحد، يرجى تقديم تقرير واحد فقط (الأهم إن أمكن) والانتظار للحصول على رد.
التعويض
يسعدنا تقديم مكافأة لمعلومات الثغرات الأمنية التي تساعدنا في حماية عملائنا كشكر لباحثي الأمن الذين يختارون المشاركة في برنامج مكافآت الأخطاء لدينا. المكافأة العادية هي 100 دولار لكل ثغرة يتم تقديمها والتحقق منها من قبل فريق التطوير لدينا.
سنكافئ فقط أول من يبلغ عن ثغرة. التقارير المكررة لن تحصل على مكافأة.
النطاق
يمكنك فقط الاختبار مقابل حساب LiveAgent الذي تكون مالك الحساب فيه أو وكيل مصرح به من قبل مالك الحساب لإجراء مثل هذا الاختبار. على سبيل المثال:
- yourdomain.ladesk.com
أنواع الثغرات التي تستحق المكافأة
سنكافئك على أنواع الثغرات التالية:
- تنفيذ الأوامر عن بعد (RCE)
- حقن SQL
- المصادقة المكسورة
- إدارة الجلسات المكسورة
- تجاوز التحكم في الوصول
- البرمجة النصية عبر المواقع (XSS)
- طلب موقع مزيف عبر المواقع (CSRF)
- إعادة التوجيه المفتوحة للعنوان
- اجتياز الدليل
ملاحظة: التقارير عندما يمكن للمهاجم فقط تهديد حسابه الخاص برole المسؤول فقط لن تحصل على مكافأة. XSS الناجم عن مسؤول لن يحصل على مكافأة.
لكي تكون مؤهلاً، يجب أن توجد الثغرة في أحدث إصدار عام (بما في ذلك الإصدارات التجريبية العامة المُصدرة رسمياً) من البرنامج. فقط الثغرات الأمنية ستكون مؤهلة. نود أن يبلغ الناس عن الأخطاء الأخرى عبر القنوات المناسبة، لكن بما أن الغرض من هذا البرنامج هو إصلاح الثغرات الأمنية، فقط الأخطاء التي تؤدي إلى ثغرات أمنية ستكون مؤهلة للمكافآت. سيتم قبول الأخطاء الأخرى وفقاً لتقديرنا.
الإرشادات
يرجى الالتزام بالإرشادات التالية لكي تكون مؤهلاً للحصول على مكافآت بموجب برنامج الكشف هذا:
- لا تعدل أو تحذف بشكل دائم بيانات LiveAgent المستضافة.
- لا تصل عن قصد إلى بيانات LiveAgent غير العامة أكثر من اللازم لإثبات الثغرة.
- لا تقم بهجوم DDoS أو بخلاف ذلك تعطل أو تقاطع أو تقلل من خدماتنا الداخلية أو الخارجية.
- لا تشارك المعلومات السرية التي حصلت عليها من LiveAgent، بما في ذلك على سبيل المثال لا الحصر معلومات الدفع الخاصة بالأعضاء أو المانحين، مع أي طرف ثالث.
- الهندسة الاجتماعية خارج النطاق. لا ترسل رسائل بريد إلكترونية احتيالية إلى أو تستخدم تقنيات هندسة اجتماعية أخرى ضد أي شخص، بما في ذلك موظفو QualityUnit والأعضاء والبائعون أو الشركاء.
بالإضافة إلى ذلك، يرجى إعطاؤنا وقتاً لا يقل عن 90 يوماً لإصلاح الثغرة قبل مناقشتها أو كتابة مدونة عنها علناً. يعتقد فريقنا أن باحثي الأمن لهم الحق في الإبلاغ عن أبحاثهم وأن الكشف مفيد جداً، ويفهم أنها مسألة ذاتية جداً متى وكيفية الاحتفاظ بالتفاصيل لتقليل خطر إساءة استخدام معلومات الثغرات. إذا كنت تعتقد أن الكشف المبكر ضروري، يرجى إخبارنا حتى نتمكن من بدء محادثة.
سجل التغييرات
نخبر الجمهور عن جميع المشاكل الأمنية المصححة من خلال سجل التغييرات الخاص بنا. المشاكل المتعلقة بالأمان يتم وضع علامة عليها بالعلامة [Security].
