Programi Bug Bounty



Termat e Programit

Ju lutemi vini re se pjesëmarrja juaj në programin e Bug Bounty është vullnetare dhe i nënshtrohet kushteve dhe termave të përcaktuara në këtë faqe. Duke paraqitur një faqe web ose dobësi të produktit në Paysera, ju e pranoni që keni lexuar dhe pranuar me këto Termat e Programit .
Këto Terma e Programit plotësojnë termat e çdo marrëveshje tjetër në të cilën keni hyrë me Paysera. Nëse ka ndonjë mospërputhje midis kushteve të Marrëveshjeve të Paysera dhe këtyre Termave të Programit, këto Terma të Programit do të prevalojnë, por vetëm në lidhje me Programin e Bug Bounty.

Udhëzimet e raportimit të çështjeve të sigurisë

Nëse mendoni se keni gjetur një dobësi të sigurisë në Paysera, ju lutemi raportoni tek ne me email në [email protected]. Ju lutemi, përfshini hapa të detajuar për të riprodhuar gabimin dhe një përshkrim të shkurtër të ndikimit. Ne inkurajojmë zbulimin e përgjegjshëm (siç përshkruhet më poshtë) dhe premtojmë të hetojmë të gjitha raportet legjitime në kohën e duhur dhe të rregullojmë çdo çështje sa më shpejt që të mundemi.

Shërbime në fushëveprim

Çdo shërbim Paysera që trajton të dhëna të përdoruesve të ndjeshme arsyeshëm synon të jetë në fushëveprim. Kjo përfshin pothuajse të gjithë përmbajtjen në domenin e mëposhtën: *.paysera.com

Politika e Zbulimit të Përgjegjshëm



Siguria e fondeve të përdoruesit, të dhënave dhe komunikimit është me përparësi më të lartë për Paysera. Për të inkurajuar zbulimin e përgjegjshëm, ne nuk do të ndjekim hapa ligjore kundër studiuesve që paraqesin problemin, me kusht që ata të ndjekin parimet e deklarimit të përgjegjshëm të cilat përfshijnë, por nuk janë të kufizuara në:

  • Vetëm hyrja, zbulimi, ose modifikimi i të dhënave të klientit tuaj.
  • Mos kryeni asnjë veprim që mund të dëmtojë besueshmërinë, ose integritetin e shërbimeve, ose të dhënave tona.
  • Shmangni teknikat e skanimit që mund të shkaktojnë degradim të shërbimit për klientët e tjerë. (DoS, spamming).
  • Gjithmonë mbani sekret detajet e dobësive, derisa çështja të njoftohet dhe rregullohet në Paysera.
  • Mos u përpiqni të përfitoni nga llogaria, ose të dhënat e një përdoruesi tjetër.

Gjatë hulumtimit të dobësive në faqen e internetit të Paysera, nuk duhet të përfshiheni në:

  • Degradimin e sistemeve Paysera.
  • Akses, ruajtje, ndarje, ose duke shkatërrim i të dhënat e Paysera, ose të klientëve nga ju, ose ndonjë palë e tretë.
  • Aktivitetet që mund të ndikojnë te klientët e Paysera, të tilla si mohimi i shërbimit, inxhinieria sociale, ose spam.

Ne mund të pezullojmë llogarinë tuaj dhe të ndalojmë IP-në tuaj, nëse nuk i respektoni këto parime.

Ne kërkojmë që të jeni në dispozicion t'a ndjekim sëbashku duke siguruar informacione të mëtejshme mbi problemin dhe ju ftojmë të bashkëpunoni me zhvilluesit e Paysera në riprodhimin, diagnostikimin dhe rregullimin e gabimit. Ne përdorim udhëzimet e mëposhtme për të përcaktuar, nëse kërkesa është e drejtë dhe masën e shpërblimit.

#

Pranueshmëria



#
Për të qenë të pranueshëm për Bounty Program, junuk duhet të:
  • Jini në kundërshtim me ndonjë ligj, ose rregullore kombëtare, shtetërore ose lokale.
  • Jini një anëtar i familjes së një personi të punësuar nga Paysera, ose filialeve të saj ose të bashkëpunëtorëve.
  • Jeni më pak se 14 vjeç. Nëse jeni të paktën 14 vjeç, por konsideroheni i mitur në vendin tuaj të banimit, ju duhet të merrni leje të nënshkruar nga prindërit tuaj ose kujdestarët ligjorë para se të merrni pjesë në program.
Nëse Paysera zbulon se nuk i plotësoni asnjë nga kriteret e mësipërme, Paysera do t'ju largojë nga Programi Bug Bounty dhe do t'ju përjashtojë nga përfitimi i pagesave të tilla.

Shuma Shpërblyese



Gabimet (bugs) më të rënda do të plotësohen me shpërblime më të mëdha. Çdo gabim që ka potencial për humbje financiare ose për shkelja e të dhënave është ashpër mjaftueshëm.
Në përgjithësi, dobësitë që mund të shpërblehen më pak janë ato që nuk shkaktojnë një ose disa nga rezultatet e mëposhtme:
  • Humbje të pjesshme/totale të fondeve.
  • Rrjedhje të informacionit të përdoruesve.
  • Humbje e saktësisë së të dhënave të shkëmbyera.

Që të mund të pranoni shpërblim:
  • Gabimi i sigurisë duhet të jetë origjinal dhe i paraportuar paraprakisht.
  • Bug i sigurisë duhet të jetë shfrytëzuar nga larg, shkak i një përshkallëzimi privilegji ose një rrjedhje informacioni.

Nëse dy, ose më shumë njerëz raportojnë gabime së bashku shpërblimi do të ndahet midis tyre.
Këtu gjeni disa shembuj se si të fitoni një shpërblim më të lartë:
  • Studiuesi mund të demonstrojë klasa të reja të sulmeve, ose teknika për të anashkaluar funksionalitetet e sigurisë. Ose, nëse një dobësi ekzistuese mund të demonstrohet si e shfrytëzueshme përmes hulumtimit shtesë nga reporteri, kompensim tjetër mund të merret për të njëjtin gabim.
  • Hulumtimet mund të zbulojnë gjithashtu fusha me probleme jashtëzakonisht të rënda, komplekse, ose interesante, të paraportuara më parë, ose çështje të panjohura.

Shpërblimet Bounty, nëse ka, do të përcaktohen nga Paysera, sipas gjykimit të vetëm të Paysera. Në asnjë rast Paysera nuk do të jetë e detyruar t'ju paguajë një dhuratë për çdo Paraqitje. Të gjitha shpërblimet bounty mund të bëhen vetëm në euro në një llogari të identifikuar Paysera. Shpërblimi gjithashtu mund të transferohet në organizatat Greenpeace, e Kryqit të Kuq ose Caritas. Paysera nuk paguan shpërblime në kriptovaluta ose në sisteme të tjera të pagesave, të cilat nuk janë përmendur në këtë faqe.
Në përcaktimin e shumës së pagimit, Paysera do të marrë parasysh nivelin e rrezikut dhe impaktin e dobësisë.

#

Shembuj të Dobësive



Shembull i Kualifikimit të Dobësive
Paysera rezervon të drejtën për të vendosur nëse pragu minimal i kualifikimit të ashpërsisë është plotësuar dhe nëse kjo tashmë është raportuar.
  • Anashkalimi i identifikimit ose përshkallëzimi i privilegjit.
  • Clickjacking.
  • Dorëshkrimi ndër-faqe (XSS).
  • Kërkesë falsifikimi në ndër-faqe (CSRF/XSRF).
  • Skriptet me përmbajtje të përzier.
  • Ekzekutimi i kodit të serverit.
  • Rrjedhja e të dhënave të përdoruesit.
  • Ekzekutimi i Kodit në Distancë.
Shembuj të Dobësive Jo-Kualifikuese
Raportimi i dobësive të mëposhtme vlerësohet, por nuk do të sjellë shpërblime sistematike nga Paysera.
  • Refuzimi i Shërbimit të dobësive (DoS).
  • Mundësitë për të dërguar lidhje të dëmshme me njerëzit që njihni.
  • Gabime sigurie në faqet e ueb të palëve të treta që integrohen me Paysera API.
  • Dobësitë lidhur me softuerin e palëve të treta (p.sh. Java, plugins, zgjerimet) ose faqen e ueb, nëse ato çojnë në dobësi në faqen e ueb Paysera.
  • Spam (përfshirë çështjet e lidhura me SPF/DKIM/DMARC).
  • Çështjet e përdorshmërisë, formularët e vetë-plotësuar.
  • Cilësime të pasigurta në cookies jo të ndjeshme.
  • Dobësitë e Browser Cache.
  • Dobësitë (duke përfshirë XSS) që kërkojnë një viktimë të mundshme për të instaluar softuer jo-standard ose përndryshe të ndërmarrin hapa shumë të pazakonta aktive për ta bërë veten të ndjeshëm.
  • Sulmet jo-teknike si inxhinieria sociale, phishing ose sulme fizike ndaj punonjësve, përdoruesve ose infrastrukturës sonë.
  • Dobësitë (duke përfshirë XSS) që ndikojnë vetëm në browser/plugins.
  • Self-XSS.
  • CSRF për veprime jo-thelbësore (logout, etj.).
  • Sulmet Clickjacking pa një seri të dokumentuar të klikimeve që prodhojnë një dobësi.
  • Injektimi i përmbajtjes, siç janë teksti i reflektuar ose etiketat HTML.
  • Zërat e humbur HTTP, me përjashtim të rasteve kur mungesa e tyre dështon në zbutjen e një sulmi ekzistues.
  • Anashkalimet e identifikimit që kërkojnë qasje në softuer/hardware tokens.
  • Dobësitë që kërkojnë qasje në fjalëkalime, tokens ose në sistemin lokal (p.sh. fiksimi i seancës).
  • Dobësitë e supozuara bazuar mbi versionet e numrave.
  • Gabimet (Bugs) që kërkojnë ndërveprime të përdoruesit tepër të pazakonta.
  • Zbulimi i informacionit dhe informacionit publik që nuk paraqet rrezik të konsiderueshëm.
  • Skriptimi ose një automatizim tjetër dhe detyrimi brutal i funksionalitetit të synuar.
  • Kërkesat që shkelin politikën e origjinë-e-njëjtë pa skenar sulmi konkret (për shembull, kur përdorni CORS dhe cookies nuk përdoren në kryerjen e identifikimit ose ato nuk dërgohen me kërkesa).

Informacionet e Kërkuara



#
Për të gjitha paraqitjet, ju lutem përfshini:
  • Përshkrimi i plotë i dobësisë që raportohet duke përfshirë shfrytëzueshmërinë dhe ndikimin.
  • Dokumentoni të gjitha hapat e kërkuar për të riprodhuar shfrytëzimin e dobësisë.
  • Aplikacionet/URL(të) e ndikuara në paraqitje ( edhe nëse na keni dhënë një fragment/video të kodit).
  • IPtë e përdorura gjatë testimit.
  • Gjithmonë përfshini ID të përdoruesit që përdoret për POC.
  • Gjithmonë përfshini të gjitha dosjet që provoni të ngarkoni.
  • Jepni PoC të plotë për paraqitjen tuaj.
  • Ju lutemi ruani të gjitha sulmet e hyrjeve dhe t'i bashkëngjitni ato te paraqitja.

Dështimi për të përfshirë ndonjë nga artikujt e mësipërm mund të vonojë ose të rrezikojë pagesën e shpërblimit.
Raportoni te ne përmes email [email protected].


Ne nuk mund të lëshojmë shpërblime për individët që janë në listat e sanksioneve ose që janë në vende (p.sh. Kuba, Irani, Koreja e Veriut, Sudani, Siria) në listat e sanksioneve. Ju jeni përgjegjës për çdo implikim tatimor në varësi të vendit tuaj rezidencial dhe shtetësisë. Mund të ketë kufizime të tjera për aftësinë tuaj për të hyrë në varësi të ligjit vendor tuaj.

Ky nuk është një konkurs, por një program shpërblimi eksperimental dhe i matur. Duhet ta kuptoni që ne mund t'a anullojmë programin në çdo kohë.

Pyetjet Më të Shpeshta



Po nëse unë gjej një dobësi, por nuk e di se si t'a ekspozoj atë?
Ne presim që raportet e cenueshmërisë që dërgohen tek ne kanë një skenar të vlefshëm sulmi për t'u kualifikuar për një shpërblim dhe ne e konsiderojmë atë si një hap kritik kur kryejmë hulumtimin e cenueshmërisë. Shumat shpërblyese janë vendosur në bazë të impaktit maksimal të dobësisë, dhe paneli është i gatshëm të rishqyrtojë një sasi shpërblimi, bazuar në informacion të ri (të tilla si një zinxhir gabimesh ose një skenar të rishikuar sulmi).
Si mund t'a tregoj rëndësinë e gabimit nëse nuk duhet të përgjoj përreth?
Ju lutem dërgoni raportin tuaj sapo të keni zbuluar një problem të mundshëm të sigurisë. Paneli do të marrë parasysh ndikimin maksimal dhe do të zgjedhë shpërblimin në përputhje me rrethanat. Ne zakonisht paguajmë shpërblime më të larta për aplikime të shkruara saktë dhe të dobishme ku reporteri nuk ka vërejtur ose nuk ka mundur të analizojë plotësisht ndikimin e një rrjedhje të veçantë.