Programi i gabimeve bujare



Termet e Programit

Ju lutemi vini re se pjesëmarrja juaj në programin e Bug Bounty është vullnetare dhe i nënshtrohet kushteve dhe kritereve të përcaktuara në këtë faqe. Duke paraqitur një uebfaqe ose cenueshmëri të produktit në Paysera, ju e pranoni që keni lexuar dhe rënë dakord me këto Kushtet e programit .
Këto Kushtet e Programit plotësojnë kushtet e çdo marrëveshje tjetër në të cilën keni hyrë me Paysera. Nëse ka ndonjë mospërputhje midis kushteve të Marrëveshjeve të Paysera dhe këtyre Kushteve të Programit, këto Kushte të Programit do të kontrollojnë, por vetëm në lidhje me Programin e Bug Bounty.

Udhëzimet e raportimit të çështjeve të sigurisë

Nëse mendoni se keni gjetur një prekshmëri të sigurisë në Paysera, ju lutemi raportoni tek ne me email në [email protected] Ju lutemi, përfshini hapa të detajuar për të riprodhuar gabimin dhe një përshkrim të shkurtër të ndikimit. Ne inkurajojmë zbulimin e përgjegjshëm (siç përshkruhet më poshtë) dhe premtojmë të hetojmë të gjitha raportet legjitime në kohën e duhur dhe të rregullojmë çdo çështje sa më shpejt që të mundemi.

Shërbime në fushën e veprimit

Çdo shërbim Paysera që trajton të dhëna të ndjeshme të përdoruesve të arsyeshme ka për qëllim të jetë në fushëveprim. Kjo përfshin pothuajse të gjithë përmbajtjen në fushat e mëposhtme: *.paysera.com

Politika për zbulimin e përgjegjshëm



Siguria e fondeve të përdoruesve, të dhënave dhe komunikimit është me përparësi më të lartë për Paysera. Për të inkurajuar zbulimin e përgjegjshëm, ne nuk do të ndjekim veprime juridike kundër studiuesve që tregojnë problemin me kusht që ata të ndjekin parimet e deklarimit përgjegjës të cilat përfshijnë, por nuk janë të kufizuara në:

  • Vetëm hyrjen, zbulimin ose modifikimin e të dhënave të klientit tuaj.
  • Mos kryeni asnjë sulm që mund të dëmtojë besueshmërinë ose integritetin e shërbimeve ose të dhënave tona.
  • Shmangni teknikat e skanimit që mund të shkaktojnë degradim të shërbimit për klientët e tjerë. (DoS, spamming).
  • Gjithmonë mbani sekret detajet e dobësive deri sa Paysera të jetë njoftuar dhe të rregullojë çështjen.
  • Mos u përpiqni të përfitoni nga llogaria ose të dhënat e një përdoruesi tjetër.

Gjatë hulumtimit të dobësive në faqen e internetit të Paysera, nuk duhet të përfshiheni në vijim:

  • Rezultatet në degradimin e sistemeve Paysera.
  • Rezultatet tek ju ose ndonjë palë e tretë, të hyrni në të, ruajtjen, ndarjen ose shkatërrimin e të dhënave të Paysera ose klientëve.
  • Aktivitetet që mund të ndikojnë në klientët e Paysera, të tilla si mohimi i shërbimit, inxhinieria sociale ose spam.

Ne mund të pezullojmë llogarinë tuaj dhe të ndalojmë IP-në tuaj, nëse nuk i respektoni këto parime.

Ne ju kërkojmë që të jeni në dispozicion të ndiqni së bashku dhe të siguroni informacione të mëtejshme mbi problemin, dhe ju ftojmë të punoni së bashku me zhvilluesit e Paysera në riprodhimin, diagnostikimin dhe rregullimin e gabimit. Ne përdorim udhëzimet e mëposhtme për të përcaktuar pranueshmërinë e kërkesave dhe masën e shpërblimit.

#

Pranueshmëria



#
Për të qenë të pranueshëm për Bounty Program, ju duhet qëmos të:
  • Jini në kundërshtim me ndonjë ligj, rregullore ose rregullore kombëtare, shtetërore ose lokale.
  • Jini një anëtar i familjes së menjëhershme të një personi të punësuar nga Paysera, ose filialet e saj ose bashkëpunëtorët.
  • Jeni më pak se 14 vjeç. Nëse jeni të paktën 14 vjeç, por konsideroheni i mitur në vendin tuaj të banimit, ju duhet të merrni lejen e nënshkruar nga prindërit tuaj ose kujdestarët ligjorë para se të merrni pjesë në program.
Nëse Paysera zbulon se nuk i plotësoni asnjë nga kriteret e mësipërme, Paysera do t'ju largojë nga Programi i miratimit të bug-it dhe do t'ju përjashtojë nga marrja e pagesave të tilla.

Shuma shpërblyese



Buget më të rënda do të plotësohen me shpërblime më të mëdha. Çdo bug që ka potencial për humbje financiare ose për shkelje të të dhënave është e një ashpërsie të mjaftueshme.
Në përgjithësi, dobësitë që mund të shpërblehen më pak janë ato që nuk shkaktojnë një ose disa nga rezultatet e mëposhtme:
  • Humbje parciale/totale të fondeve.
  • Zbulim të informacionit të përdoruesve.
  • Humbjen e saktësisë së të dhënave të shkëmbyera.

Që të mund të pranoni bounty:
  • Bug i sigurisë duhet të jetë origjinal dhe paraprakisht mos të jetë i raportuar.
  • Bug i sigurisë duhet të jetë një shfrytëzim i largët, shkaku i një përshkallëzimi të privilegjit ose një zbulim informacioni.

Nëse dy ose më shumë njerëz raportojnë bug-in së bashku shpërblimi do të ndahet mes tyre.
Ja disa shembuj se si të fitoni një shpërblim më të lartë:
  • Studiuesi mund të demonstrojë klasa të reja të sulmeve, ose teknika për të anashkaluar tiparet e sigurisë. Ose, nëse një dobësi ekzistuese mund të demonstrohet të jetë e shfrytëzueshme, edhe pse hulumtimi shtesë nga reporteri, kompensimi shtesë mund të merret për të njëjtin bug.
  • Hulumtimet mund të zbulojnë gjithashtu fusha me probleme jashtëzakonisht të rënda, komplekse ose interesante, të cilat më parë ishin të papërshtatshme ose çështje të panjohura.

Pagesat e quajtuara bounty, nëse ka, do të përcaktohen nga Paysera, sipas gjykimit të vetëm të Paysera. Në asnjë rast Paysera nuk do të jetë e detyruar t'ju paguajë një dhuratë për çdo Paraqitje. Të gjitha pagesat e dhuratave mund të bëhen vetëm në euro në një llogari të identifikuar Paysera. Shpërblimi gjithashtu mund të transferohet në Greenpeace, organizatat e Kryqit të Kuq ose Caritas. Paysera nuk paguan shpërblime në kripto valute ose në sisteme të tjera të pagesave, të cilat nuk janë përmendur në këtë faqe.
Në përcaktimin e shumës së pagimit, Paysera do të marrë parasysh nivelin e rrezikut dhe ndikimin e dobësisë.

#

Shembuj të cenueshmërive



Shembuk të cenueshmërive kualifikuese
Paysera rezervon të drejtën për të vendosur nëse pragu minimal i kualifikimit të ashpërsisë është plotësuar dhe nëse kjo tashmë është raportuar.
  • Zvarritja e autentifikimit ose eskalimi i privilegjit.
  • Clickjacking.
  • Shkrimi i faqes në vend të faqes (XSS).
  • Kërkesë falsifikimi në faqe (CSRF/XSRF).
  • Skriptat me përmbajtje të përzier.
  • Ekzekutimi i kodit të serverit.
  • Shkelja e të dhënave të përdoruesit.
  • Ekzekutimi i kodit në distancë.
Shembuj të cenueshmërive Jo-Kualifikuese
Raportimi i dobësive të mëposhtme vlerësohet, por nuk do të sjellë shpërblime sistematike nga Paysera.
  • Cenueshmëritë e Refuzimit ose Shërbimit (DoS).
  • Mundësitë për të dërguar lidhje të dëmshme me njerëzit që njihni.
  • Mjetet e sigurisë në faqet e internetit të palëve të treta që integrohen me Paysera API.
  • Rreziqet që lidhen me softuerin e palëve të treta (p.sh. Java, shtojcat, zgjerimet) ose faqen e internetit, përveç nëse ato çojnë në dobësi në faqen e internetit të Paysera.
  • Spam (përfshirë çështjet që lishen me SPF/DKIM/DMARC).
  • Çështjet e përdorshmërisë, formon vetë-plotësimin.
  • Cilësime të pasigurta në cookies jo të ndjeshme.
  • Cenueshmëritë e Browser Cache.
  • Rreziqet (duke përfshirë XSS) që kërkojnë një viktimë të mundshme për të instaluar softuer jo-standard ose përndryshe të ndërmarrin hapa shumë të vështira aktive për ta bërë veten të ndjeshëm.
  • Sulmet jo teknike si inxhinieri sociale, fishing ose sulme fizike ndaj punonjësve, përdoruesve ose infrastrukturës sonë.
  • Rreziqet (duke përfshirë XSS) që ndikojnë vetëm browser / plugins.
  • Self-XSS.
  • CSRF për veprime jo të rëndësishme (logout, etj.).
  • Clickjacking sulmon pa një seri të dokumentuar të klikimeve që prodhojnë një dobësi.
  • Injektimi i përmbajtjes, siç janë teksti i reflektuar ose etiketat HTML.
  • Zërat e humbur HTTP, me përjashtim të rasteve kur mungesa e tyre nuk zbut një sulm ekzistues.
  • Anashkalimet e autentifikimit kërkojnë qasje në softuerin / argumentet hardware.
  • Rrezikshmëritë që kërkojnë qasje në fjalëkalime, token ose në sistemin lokal (p.sh. fiksimi i sesionit).
  • Dobësitë e supozuara bazuar vetëm në numrat e versioneve.
  • Bugs që kërkojnë ndërveprim tepër të vështirë të përdoruesit.
  • Shpalosja e informatave dhe informacionit publik që nuk paraqet rrezik të konsiderueshëm.
  • Skriptimi ose automatizimi tjetër dhe detyrimi brutal i funksionimit të synuar.
  • Kërkon të shkelin politikën e origjinës së njëjtë pa skenar sulmi konkret (për shembull, kur përdorni CORS dhe cookies nuk përdoren në kryerjen e vërtetimit ose ato nuk dërgohen me kërkesa).

Informatat e duhura



#
Për të gjitha parashtresat, ju lutem përfshini:
  • Përshkrimi i plotë i cenueshmërisë që raportohet duke përfshirë shfrytëzueshmërinë dhe ndikimin.
  • Dokumentoni të gjitha hapat e kërkuar për të riprodhuar shfrytëzimin e cenueshmërisë.
  • Aplikacionet/URL(të) e afektuara në parashtrim ( edhe nëse na keni dhënë një fragment / video të kodit).
  • IPtë që janë përdorur gjatë testimit.
  • Gjithmonë përfshini ID-në e përdoruesit që përdoret për POC.
  • Gjithmonë përfshini të gjitha dosjet që tentoni të ngarkoni.
  • Jepni PoC të plotë për parashtrimin tuaj.
  • Ju lutemi ruani të gjitha shkrimet e sulmit dhe t'i bashkëngjitni ato.

Dështimi për të përfshirë ndonjë nga artikujt e mësipërm mund të vonojë ose të rrezikojë pagesën e shpërblimit.
Raportoni te ne përmes email [email protected].


ShënimNe nuk mund të lëshojmë shpërblime për individët që janë në listat e sanksioneve ose që janë në vende (p.sh. Kuba, Irani, Koreja e Veriut, Sudani, Siria) në listat e sanksioneve. Ju jeni përgjegjës për çdo implikim tatimor në varësi të vendit tuaj të banimit dhe shtetësisë. Mund të ketë kufizime shtesë për aftësinë tuaj për të hyrë në varësi të ligjit tuaj vendor.

Ky nuk është një konkurs, por një program shpërblimi eksperimental dhe diskrecional. Duhet ta kuptoni që ne mund t'a anulojmë programin në çdo kohë.

Pyetjet më të shpeshta



çka nëse gjeni një dobësi, por nuk e dini se si t'a ekspozoni atë?
Ne presim që raportet e cenueshmërisë të dërgohen tek ne, të kemi një skenar të vlefshëm sulmesh për t'u kualifikuar për një shpërblim dhe ne e konsiderojmë atë si një hap kritik kur bëjmë hulumtimin e cenueshmërisë. Shumat shpërblyese janë vendosur në bazë të ndikimit maksimal të dobësisë, dhe paneli është i gatshëm të rishqyrtojë një sasi shpërblimi, bazuar në informacione të reja (të tilla si një zinxhir gabimesh ose një skenar të rishikuar sulmi).
Si mund t'a tregoj ashpërsinë e gabimit nëse nuk duhet të kërkoj përreth?
Ju lutem dërgoni raportin tuaj sapo të keni zbuluar një problem të mundshëm të sigurisë. Paneli do të marrë parasysh ndikimin maksimal dhe do të zgjedh shpërblimin në përputhje me rrethanat. Ne në mënyrë rutinore paguajmë shpërblime më të larta për aplikime të tjera të shkruara mirë dhe të dobishme kur reporteri nuk ka vërejtur ose nuk ka mundur të analizojë plotësisht ndikimin e një metode të veçantë.