Programi Bug Bounty
Programi Bug Bounty
Kushtet dhe rregullat e programit
Ju lutemi vini re se pjesëmarrja juaj në Programin Bug Bounty është vullnetare dhe në përputhje me kushtet dhe rregullat e përcaktuara në këtë faqe. Duke paraqitur një dobësi në një uebfaqe ose produkt te Paysera, ju pranoni se keni lexuar dhe pajtuar me kushtet dhe rregullat e këtij Programi.
Këto kushte dhe rregulla të Programit plotësojnë kushtet e çdo marrëveshjeje tjetër që keni nënshkruar me Paysera. Në rast të ndonjë mospërputhjeje midis kushteve të Marrëveshjeve të Paysera dhe këtyre kushteve të Programit, këto të fundit do të mbizotërojnë vetëm për sa i përket Programit Bug Bounty.
Udhëzime për raportimin e problemeve të sigurisë
Nëse mendoni se keni gjetur një dobësi të sigurisë në Paysera, ju lutemi raportojeni atë tek ne nëpërmjet email-it [email protected]. Ju lutemi përfshini hapat e detajuar për sqarimin e problemit dhe një përshkrim të shkurtër të ndikimit të mundshëm. Ne inkurajojmë zbulimin e përgjegjshëm (siç përshkruhet më poshtë) dhe angazhohemi të hetojmë të gjitha raportimet legjitime menjëherë, duke adresuar çdo problem të konfirmuar sa më shpejt të jetë e mundur.
Shërbimet në përfshirje
Cdo shërbim i Paysera që përpunon të dhëna përdoruesi mjaft të ndjeshme konsiderohet në përfshirje. Kjo përfshin, por nuk kufizohet vetëm te, pothuajse të gjithë përmbajtjen nën domain-et e mëposhtme: *.paysera-ks.com.
Politika e zbulimit të përgjegjshëm
Siguria e fondeve, të dhënave dhe komunikimeve të përdoruesve është një prioritet kryesor në Paysera. Për të inkurajuar zbulimin e përgjegjshëm, nuk do të ndërmarrim veprime ligjore kundër studiuesve që identifikojnë dobësitë, për sa kohë që ata ndjekin parimet e zbulimit të përgjegjshëm, të cilat përfshijnë, por nuk kufizohen vetëm te, të mëposhtmet:
Vetëm të keni qasje, të shpallni ose modifikoni të dhënat tuaja si klient.
Mos kryeni sulme që mund të dëmtojnë besueshmërinë ose integritetin e shërbimeve ose të dhënave tona.
Shmangni teknikat e skanimit që mund të shkaktojnë degradim të shërbimit për klientët e tjerë (DoS, spamming).
Ruani gjithmonë sekret detajet e dobësive derisa Paysera të jetë njoftuar dhe të ketë zgjidhur çështjen.
Mos përpiqni të fitoni qasje në llogarinë ose të dhënat e një përdoruesi tjetër.
Gjatë kërkimit të dobësive në uebfaqen e Paysera, është rreptësisht e ndaluar të:
Kryeni veprime që mund të prishin ose të ndikojnë në funksionimin e sistemeve të Paysera;
Përpiqeni të keni qasje të paligjshme, të kopjoni, shpërndani ose shkatërroni të dhënat e Paysera ose të klientëve të saj, qoftë në mënyrë të pavarur apo përmes palëve të treta;
Dëmtoni klientët e Paysera, duke përfshirë ndërprerjen e ofrimit të shërbimit, përdorimin e metodave të social-engineering, ose dërgimin e mesazheve të padëshiruara.
Nëse nuk respektoni këto parime, Paysera mund të kufizojë llogarinë tuaj, të bllokojë adresën tuaj IP dhe të ndërmarrë veprime të tjera ligjore.
Ju ftojmë të punoni së bashku me zhvilluesit e Paysera, diagnostikimin dhe zgjidhjen e çështjes. Ne përdorim udhëzimet e mëposhtme për të përcaktuar pranueshmërinë e kërkesave dhe shumën e shpërblimit.
Kualifikimi
Një person nuk është i përshtatshëm për të marrë pjesë në Programin Bug Bounty nëse ai/ajo:
Ka shkelur ndonjë ligj kombëtar ose vendor;
Është anëtar i ngushtë familjar i një punonjësi të Paysera, filialeve ose degëve të saj;
Është nën 14 vjeç. Nëse jeni së paku 14 vjeç, por konsideroheni i/e mitur në vendin tuaj të banimit, duhet të merrni leje të nënshkruar nga prindërit ose kujdestarët ligjorë para se të merrni pjesë në Program.
Nëse Paysera zbulon se nuk përmbushni ndonjërën nga kriteret e mësipërme, Paysera do t’ju largojë nga Programi Bug Bounty dhe do t’ju diskualifikojë nga marrja e ndonjë pagesë shpërblimi.
Shuma e shpërblimit
Shpërblimet jepen në bazë të seriozitetit të dobësisë së sigurisë. Sa më e rëndësishme të jetë dobësia, aq më i lartë është shpërblimi për raportimin e saj. Dobësitë që mund të çojnë në humbje financiare ose të kompromentojnë sigurinë e të dhënave konsiderohen veçanërisht kritike.
Një shpërblim më i vogël jepet për dobësitë që nuk shkaktojnë rezultatet e mëposhtme:
Humbje të pjesshme/totale të fondeve;
Lidhje të të dhënave të përdoruesve;
Kompromentim të integritetit të transmetimit të të dhënave.
Në të gjitha rastet, mbani informacionet për dobësitë e sistemit sekrete derisa Paysera të njoftohet dhe çështja të zgjidhet.
Mos përpiqni të fitoni qasje në llogarinë ose të dhënat e një përdoruesi tjetër.
Për të qenë i/e kualifikuar për një shpërblim, një dobësi sigurie duhet të përmbushë këto kritere:
Duhet të jetë origjinale dhe e pa raportuar më parë;
Të demonstrojë një dobësi të sistemit në distancë, mundësinë për të shkallëzuar privilegje, ose një rrezik për të zbuluar informacion konfidencial.
Nëse disa individë raportojnë të njëjtën dobësi sigurie në të njëjtën kohë, shpërblimi do të ndahet proporcionalisht mes tyre.
Një shpërblim më i lartë mund të jepet në rastet e mëposhtme:
Kërkuesi mund të demonstrojë klasa të reja sulmesh, ose teknika për kalimin e veçorive të sigurisë. Ose, nëse një dobësi ekzistuese mund të demonstrohet si e mundshme për t'u shfrytëzuar përmes kërkimit të mëtejshëm nga raportuesi, mund të fitohet kompensim shtesë për të njëjtën dobësi.
Kërkimi mund të zbulojë gjithashtu zona problematike shumë të rënda, komplekse ose interesante që nuk janë raportuar më parë ose që ishin çështje të panjohura.
Nëse një raport përmbush të gjitha kërkesat e Programit, pagesat e shpërblimit do të përcaktohen nga Paysera, sipas diskrecionit të vetëm të Paysera. Në asnjë rast Paysera nuk do të jetë i detyruar të paguajë një shpërblim për raportet që bien jashtë kufijve të Programit Bug Bounty. Të gjitha pagesat e shpërblimeve mund të bëhen vetëm në euro në një llogari të identifikuar Paysera. Shpërblimi mund të transferohet gjithashtu në organizatat Greenpeace, Kryqi i Kuq ose Caritas sipas kërkesës së kërkuesit. Pagesat përmes kriptomonedhës ose sistemeve të tjera pagesash që nuk përmenden në këtë faqe nuk mbështeten.
Kur përcaktohet shuma e shpërblimit, Paysera vlerëson rrezikun që do të mund të shkaktonte dobësia e sigurisë dhe ndikimin e mundshëm që mund të kishte ajo.
Shembuj të dobësive
Shembuj të dobësive që kualifikohen
Paysera rezervon të drejtën të vendosë nëse është arritur pragun minimal të seriozitetit për kualifikim dhe nëse ai ishte raportuar më parë.
-
Anashkalim i autentifikimit ose shkallëzim i privilegjeve.
-
“Clickjacking” (kur një përdorues mashtruar në mënyrë që të klikojë në elementë të fshehur ose të maskuar të një faqeje interneti).
-
“Cross-site scripting” (XSS) (një dobësi që lejon injektimin e kodit shtesë në një faqe interneti e cila shfaqet për përdoruesit).
-
Cross-site request forgery (CSRF/XSRF)
-
Skeda përmbajtjeje të përzier (mixed-content scripts)
-
Ekzekutim i kodit në anën e serverit (server-side code execution)
-
-
Ekzekutim i kodit në distancë (remote code execution)
Shembuj të dobësive që nuk kualifikohen
Raportimi i dobësive të mëposhtme vlerësohet, por nuk do të çojë në shpërblim sistematik nga Paysera:
-
Dobësitë e "Denial of Service" (DoS) ose probleme që lidhen me kufizimin e shpejtësisë (rate-limiting).
-
Mundësitë për të dërguar lidhje të dëmshme tek njerëzit që njihni.
-
Gabime sigurie në faqe interneti të palëve të treta që integrohen me API-në e Paysera.
-
Dobësitë që lidhen me softuer të palëve të treta (p.sh. Java, shtesa, ekstensionet) ose faqe interneti, përveç rasteve kur ato çojnë në një dobësi në faqen e Paysera.
-
Spam (përfshirë probleme që lidhen me SPF/DKIM/DMARC).
-
Probleme përdorimi, formate që mbushen automatikisht.
-
Caktime të pasigurta në cookie-t jo të ndjeshme.
-
Dobësitë e memorjes së shfletuesit (browser cache vulnerabilities).
-
Dobësitë (përfshirë XSS) që kërkojnë që viktima e mundshme të instaloje softuer jo standard ose të ndërmarrë hapa shumë të pamundur aktiv për të bërë veten të ndjeshëm ndaj sulmit.
-
Sulme jo teknike si inxhinieria sociale, phishing, ose sulme fizike kundër punonjësve, përdoruesve, ose infrastrukturës sonë.
-
Dobësitë (përfshirë XSS) që ndikojnë vetëm në shfletuesit ose shtesat e vjetra.
-
“Self-XSS” (kur një përdorues aksidentalisht instalon kod të dëmshëm në faqen e tij/saj).
-
CSRF për veprime jo të rëndësishme (logout, etj.).
-
Sulme “Clickjacking” pa një seri klikimesh të dokumentuara që prodhojnë një dobësi.
-
Injektim përmbajtjeje, si tekst i reflektuar ose etiketa HTML.
-
Mungesë e kokës së HTTP-së, përveç rasteve kur mungesa e saj nuk mund të ndihmojë për të zbutur një sulm ekzistues.
-
Anashkalimi i autentifikimit që kërkon qasje në softuer/harduer.
-
Dobësitë që kërkojnë qasje në fjalëkalime, tokene, ose sistemin lokal (p.sh. session fixation).
-
Dobësitë e supozuara që bazohen vetëm në numrat e versioneve.
-
Gabime që kërkojnë ndërveprim tejet të pamundur nga përdoruesi.
-
Zbulimi i informacionit publik dhe informacionit që nuk përbën një rrezik të rëndësishëm.
-
Skriptime ose automatizime të tjera dhe forca brutale për funksionalitetin e synuar.
-
Kërkesa që shkelin politikën e origjinës së njëjtë (same-origin policy) pa një skenar konkret sulmi (për shembull, kur përdoret CORS, dhe cookie-t nuk përdoren në kryerjen e autentifikimit ose nuk dërgohen me kërkesa).
Informacion i kërkuar
Kur dërgoni informacion në lidhje me një dobësi sigurie, ju lutemi sigurohuni të jepni:
Përshkrim të plotë të dobësisë që po raportohet, përfshirë shfrytëzueshmërinë dhe ndikimin e saj.
Dokumentoni të gjitha hapat e nevojshëm për të riprodhuar shfrytëzimin e dobësisë.
URL(t)/aplikacionet e prekura (edhe nëse keni dërguar gjithashtu një copë kodi/video).
IP adresat që u përdorën gjatë testimit.
Gjithmonë përfshini ID-në e përdoruesit që është përdorur për PoC.
Gjithmonë përfshini të gjitha skedarët që keni tentuar të ngarkoni.
Siguroni PoC-në e plotë (Proof of Concept).
Ju lutemi ruani të gjitha regjistrimet e sulmit dhe bashkëngjitini raportit.
Mospërfshirja e ndonjë elementi të kërkuar mund të çojë në mbajtjen ose vonesën e pagesës së shpërblimit.
Raportoni çdo dobësi tek ne nëpërmjet email-it [email protected].
Shënim!
Shpërblimet nuk mund të jepen individëve të sanksionuar ose shtetasve të vendeve që janë në listën e sanksioneve (Kuba, Irani, Koreja e Veriut, Sudani, Siria). Ju jeni përgjegjës për çdo taksë që mund të zbatohet në bazë të vendit tuaj të banimit dhe shtetësisë. Ligjet lokale mund të vendosin kufizime të tjera që mund t'ju pengojnë të merrni pjesë në Program.
Ky Program nuk është një garë, por një iniciativë shpërblimi eksperimentale dhe diskrecionale. Ju lutemi vini re se Paysera mund të ndërpresë Programin në çdo moment.