برنامج مكافئة الأعطال من LiveAgent

برنامج الكشف عن الثغرات

تهدف LiveAgent إلى الحفاظ على خدمتها آمنة للجميع، كما أن أمان البيانات له أهمية قصوى بالنسبة لنا. حيث يهدف “برنامج الكشف عن الثغرات الأمنية لدينا” إلى تقليل تأثير أي ثغرات أمنية على أدواتنا أو مستخدميها. حيث يغطي برنامج “الكشف عن الثغرات الأمنية” في LiveAgent البرامج التي تتم كتابتها جزئيًا أو كليًا بواسطة Quality Unit.

إذا كنت باحثًا أمنيًا واكتشفت “ثغرة أمنية” في الخدمة، فنحن نقدر مساعدتك في الكشف عنها لنا بشكل خاص ومنحنا فرصة لإصلاحها قبل نشر التفاصيل الفنية.

سوف يتفاعل LiveAgent مع الباحثين الأمنيين عندما يتم إبلاغنا بالثغرات الأمنية كما هو موضح هنا. سنقوم بالتحقق من الثغرات الأمنية والاستجابة لها وإصلاحها لدعم التزامنا بالأمان والخصوصية. لن نتخذ إجراءً قانونيًا ضده أو نعلق أو ننهي صلاحية الوصول إلى الخدمة لأولئك الذين يكتشفون الثغرات الأمنية ويبلغون عنها بشكل مسؤول. تحتفظ LiveAgent بجميع حقوقها القانونية في حالة عدم الامتثال.

إعداد التقارير

شارك تفاصيل أي ثغرات أمنية مشتبه بها مع فريق تطوير LiveAgent على support@liveagent.com. يرجى عدم الكشف علنًا عن هذه التفاصيل خارج هذه العملية دون إذن صريح. عند الإبلاغ عن أي نقاط ضعف مشتبه بها، يرجى تضمين أكبر قدر ممكن من المعلومات. إذا كنت ترغب في تقديم تقارير متعددة في وقت واحد، فيرجى تقديم تقرير واحد فقط (الأكثر أهمية إن أمكن) وانتظر الرد.

التعويض

يسعدنا أن نقدم مكافأة لمعلومات الثغرات الأمنية التي تساعدنا على حماية عملائنا وذلك بفضل الباحثين الأمنيين الذين اختاروا المشاركة في برنامج bug bounty الخاص بنا. تبلغ مكافأة المكافأة العادية 50$ لكل ثغرة أمنية يتم إرسالها والتحقق منها بواسطة فريق التطوير لدينا.

سنكافئ فقط أول من أفاد عن الثغرة. لن تكافأ التقارير المكررة.

النِطَاق

لا يجوز لك سوى الاختبار مقابل حساب LiveAgent حيث تكون أنت مالك الحساب أو وكيل مفوض من قبل مالك الحساب لإجراء مثل هذا الاختبار. فمثلا:

• *yourdomain*.ladesk.com

سنكافئك على الأنواع التالية من الثغرات:

• تنفيذ الأمر عن بعد (RCE)
• إدخال SQL
• مصادقة معطلة
• إدارة جلسة معطلة
• تجاوز التحكم في الوصول
• برمجة المواقع المشتركة (XSS)
• التزوير عبر الموقع (CSRF)
• افتح إعادة توجيه عناوان الـ URL
• اجتياز الدليل

التقارير التي تفيد بأن المهاجم يمكنه فقط تهديد حسابه الخاص من خلال دور المسؤول فقط لن يتم مكافأته بمكافأة. لن يتم مكافأة XSS الناجم عن المسؤول بمكافأة.

من أجل التأهل، يجب أن تكون الثغرة الأمنية موجودة في أحدث إصدار عام (بما في ذلك الإصدارات التجريبية العامة التي تم إصدارها رسميًا) من البرنامج. سيتم التأهل فقط للثغرات الأمنية. نحب لو أبلغ الأشخاص عن أخطاء أخرى عبر القنوات المناسبة، ولكن نظرًا لأن الغرض من هذا البرنامج هو إصلاح الثغرات الأمنية، فإن الأخطاء التي تؤدي إلى ثغرات أمنية فقط ستكون مؤهلة للحصول على مكافآت. سيتم قبول الأخطاء الأخرى وفقًا لتقديرنا.

إرشادات

يرجى الالتزام بالإرشادات التالية لكي تكون مؤهلاً للحصول على مكافآت بموجب برنامج الإفصاح هذا:

• لا تقم بتعديل أو حذف بيانات LiveAgent المستضافة بشكل دائم.
• لا تتعمد الوصول إلى بيانات LiveAgent غير العامة أكثر مما هو ضروري لإثبات الثغرة الأمنية.
• لا تحظر DDoS أو تعطل أو تقطع أو تحط من قدر خدماتنا الداخلية أو الخارجية بأي طريقة أخرى.
• لا تشارك المعلومات السرية التي تم الحصول عليها من LiveAgent، بما في ذلك على سبيل المثال لا الحصر، معلومات الدفع الخاصة بالأعضاء أو المتبرعين، مع أي طرف ثالث.
• الهندسة الاجتماعية خارج النطاق. لا ترسل رسائل بريد إلكتروني للتصيد الاحتيالي أو تستخدم أساليب هندسة اجتماعية أخرى ضد أي شخص، بما في ذلك فريق عمل QualityUnit أو الأعضاء أو البائعين أو الشركاء.

بالإضافة إلى ذلك، يرجى السماح لنا بـ 90 يومًا على الأقل لإصلاح الثغرة الأمنية قبل مناقشتها علنًا أو التدوين عنها. يعتقد فريقنا أن للباحثين الأمنيين الحق في الإبلاغ عن أبحاثهم وأن الإفصاح مفيد للغاية، ويتفهمون أنه سؤال شخصي للغاية يتعلق بموعد وكيفية كبح التفاصيل للتخفيف من خطر إساءة استخدام معلومات الثغرات الأمنية. إذا كنت تعتقد أن الإفصاح المبكر ضروري، فيرجى إخبارنا حتى نتمكن من بدء محادثة.

سجل التغيير

نبلغ علنًا بجميع مشكلات الأمان التي تم إصلاحها من خلال سجل التغيير الخاص بنا. يتم تمييز المشكلات المتعلقة بالأمن بعلامة [الأمن].