5 أيام - مجانًا إحصائيات تنزيل القناة استضافة مجانية الإجراء "تغيير المضيف"

من المهم بالنسبة لنا الحفاظ على بيانات المستخدم آمنة ، لذلك نحن على استعداد للتعاون مع الأشخاص الذين يبحثون عن نقاط الضعف ومكافأتهم.

We don't accept any XSS attack since 22 of April 2023 untill future notice.

جائزة

توفر استضافة أوكرانيا مكافأة على نقاط الضعف التي تم العثور عليها. الحد الأدنى للأجر هو 50$, الحد الأقصى — 1000$. يعتمد مقدار المكافأة على مستوى الضعف ، والذي يتم تحديده من خلال مدى واقعية استخدام الثغرة الأمنية:

  1. مستوى عال — ما يصل إلى 1000$. الوصول إلى قاعدة البيانات المركزية ، والوصول إلى الكود المصدري ، وتنفيذ أوامر عشوائية على الخادم المركزي ، وتنفيذ أوامر عشوائية على خادم الاستضافة كجذر.
  2. المستوى المتوسط ​​- ما يصل إلى 250$. 
  3. مستوى منخفض — يصل إلى 150$. الهجمات المحتملة التي يصعب القيام بها أو التي يجب أن يتطابق معها عدد كبير من العوامل. 
  4. جميع هجمات XSS التي تتطلب اتباع رابط محددة بـ 50$.
  5. تقتصر الثغرات الموجودة في الإصدارات الأولية والتجريبية من الخدمات على 150$. (29/11/2022)

التقارير

لزيادة الثقة في الأطراف ، تتم عملية تقديم تقرير عن الثغرات وفقًا للخوارزمية التالية:

  1. اكتب ل email طلب بشأن إمكانية تقديم تقرير. سنخبرك بأننا على استعداد لقبول الثغرة الأمنية الجديدة. لن نفعل ذلك إلا إذا لم تكن لدينا نقاط ضعف أخرى في عملنا. نظرًا لأنه قد يكون هناك موقف أبلغ فيه شخص ما بالفعل عن نفس الثغرة الأمنية، واتضح أنك أرسلت الثغرة الأمنية، لكنك لن تحصل على مكافأة مقابل ذلك.
  2. بعد الحصول على الموافقة ، تتحقق من إمكانية استغلال الثغرة الأمنية.
  3. قمت بإرسال خطأ واحد فقط. لا ينبغي عليك إرسال العديد من الأخطاء في وقت واحد، حيث توجد حالات غالبًا عندما يتم إغلاق الثغرة الأمنية، ويتم إغلاقها على الفور في أماكن أخرى. بعد كل شيء، يمكن استدعاء سطر واحد من التعليمات البرمجية من مئات الأماكن في البرنامج.
  4. ندرس تأثير وواقع استغلال الثغرات الأمنية.
  5. نصلح الخلل.
  6. ندفع تعويضات إلى PayPal أو الحساب الجاري أو البطاقة. ليس لدينا القدرة على إجراء المدفوعات بالعملات المشفرة (بيتكوين وغيرها) ، حيث إننا لا نستخدمها.

شروط

  1. لا يشتمل البرنامج على تطوير الجهات الخارجية ، ونقاط ضعف نظام التشغيل في يوم الصفر ، وأخطاء في مراكز المعالج ونقاط الضعف الأخرى التي لا يمكننا التأثير فيها.
  2. ينطبق البرنامج فقط على البرامج التي قمنا بإنشائها والموجودة على المواقع ukraine.com.ua وauth.adm.tools وwebmail.online وadm.tools.
  3. لا تستخدم الثغرة الأمنية التي تم العثور عليها لتغيير المعلومات أو الحصول على وصول غير مصرح به إليها. استخدم حسابك للاختبار.
  4. يرجى إخبارنا في أقرب وقت ممكن إذا قمت بتغيير البيانات عن غير قصد والتي لا ينبغي تغييرها. لا تقم بعرض أو تعديل أو حفظ البيانات التي تم الحصول عليها في حالة وجود ثغرة أمنية.
  5. التصرف بنية حسنة حتى لا تنتهك خصوصية المستخدمين الآخرين ، ولا تقم بتعطيل الخدمات.
  6. التصرف ضمن القانون.
  7. تذهب المكافأة إلى أول شخص يبلغ عن الضعف.
  8. قد يؤدي نشر ثغرة أمنية على الإنترنت قبل حلها إلى إلغاء المكافأة لن نتفاوض ردًا على التهديدات (على سبيل المثال ، لن نتفاوض بشأن مبلغ الدفع تحت التهديد بإخفاء ثغرة أمنية أو التهديد بالكشف عن ثغرة أمنية أو أي إفشاء للجمهور).
  9. تعتمد سرعة معالجة الأخطاء على شدة الأخطاء وعبء عمل المبرمجين وتستغرق من 3 إلى 30 يومًا.

نقاط الضعف التي لا يتم دفع أجر عنها

الأسئلة التالية خارج نطاق برنامج المكافآت لدينا:

  1. سياستنا المتعلقة بوجود / عدم وجود سجلات نظام التعرف على هوية المرسل (SPF) / DMARC.
  2. كلمة المرور والبريد الإلكتروني وسياسات الحساب مثل التحقق من معرف البريد الإلكتروني وإعادة تعيين انتهاء صلاحية الارتباط وتعقيد كلمة المرور.
  3. عدم وجود رموز CSRF المميزة (إذا لم يكن هناك دليل على إجراء مستخدم فعلي وسري غير محمي بواسطة رمز مميز).
  4. الهجمات التي تتطلب الوصول الفعلي إلى جهاز المستخدم. وكذلك الهجمات المتعلقة باعتراض حركة المرور. 
  5. لا توجد رؤوس أمان لا تؤدي مباشرة إلى ثغرة أمنية.
  6. عدم وجود أفضل الممارسات (نحن بحاجة إلى دليل على ضعف النظام).
  7. وضع محتوى ضار / تعسفي على الاستضافة.
  8. أي هجمات موجهة إلى نفسها ، مثل Self-XSS.
  9. سنقبل تقارير الثغرات الأمنية في نظام التشغيل ومنتجات الطرف الثالث ، لكننا لن نكافئهم.
  10. حقنات رأس المضيف إذا كنت لا تستطيع إظهار كيف يمكن أن تؤدي إلى سرقة بيانات المستخدم.
  11. استخدام مكتبة ضعيفة ومعروفة (لا يوجد دليل على الاستخدام).
  12. تقارير من أدوات آلية أو عمليات مسح.
  13. نقاط الضعف التي تؤثر على مستخدمي المتصفحات أو الأنظمة الأساسية القديمة.
  14. الهندسة الاجتماعية للموظفين أو المقاولين من Hosting Ukraine.
  15. وجود سمة الإكمال التلقائي في نماذج الويب.
  16. علامات ملفات تعريف الارتباط المفقودة لملفات تعريف الارتباط غير الحساسة.
  17. تقارير شفرات SSL / TLS غير الآمنة (ما لم يكن لديك دليل عملي على المفهوم ، وليس مجرد تقرير من ماسح ضوئي).
  18. القدرة على تحديد ما إذا كان المستخدم مسجلاً على الاستضافة ، إذا كان بريده الإلكتروني معروفًا.
  19. أي تقرير عن التحايل على قيود الخدمة لدينا.
  20. تكون الثغرات الأمنية التي تنتحل المحتوى (عندما يمكنك فقط إدراج نص أو صورة على الصفحة) خارج النطاق. سنقبل ونصلح ثغرة أمنية مخادعة حيث يمكن للمهاجم إدخال صورة أو نص منسق (HTML) ولكنه غير مؤهل للحصول على مكافأة. إدخال نص خالص خارج النطاق.
  21. إنشاء حسابات متعددة باستخدام نفس عنوان البريد الإلكتروني.
  22. خطر التصيد الاحتيالي بسبب مشكلات unicode / punycode أو RTLO.
  23. ضعف بسبب حقيقة أننا عطلنا DMARC. ليست ثغرة أمنية أن تتجاهل خوادم الجهات الخارجية سجلات نظام التعرف على هوية المرسل (SPF) وتقبل رسائل البريد الإلكتروني من خدمات الجهات الخارجية (بما في ذلك Gmail).
  24. أي نوع من هجمات الفيضانات والقوة الوحشية ، وهجمات DoS و DDoS ، بالإضافة إلى الهجمات المتعلقة بانخفاض أداء الخادم. 
  25. الهجمات التي يتمكن فيها المهاجم من الوصول إلى البريد الإلكتروني أو الهاتف الخاص بالضحية.
  26. رؤوس الأمان المفقودة COEP وCOOP وCORS وCORB وReferrer-policy وContent-Security-Policy وHSTS وCookie-prefix وSameSiteCookie...
  27. توافر المعلومات حول البرنامج المستخدم. نحن مزود استضافة ونعلن عن معلومات حول البرامج المثبتة للعملاء. لذلك ، لا يمكن تصنيف هذه المعلومات.
  28. الحصول على عنوان IP الخاص بموظف الشركة ليس ثغرة أمنية. يفتح الدعم الفني الروابط ، يمكنك إرسال رابط تصيد أو ملف SVG إلى البريد ، إلخ.
  29. وجود بيانات EXIF في ملفات الصور التي يرسلها المستخدمون. لا يقوم عملاؤنا بنشر صورهم الشخصية على موقعنا ، والتي قد تحتوي على EXIF مع إحداثيات قيمة.
  30. تحميل ملفات SVG. نقوم بحفظها كمرفقات ولا نعرضها على الموقع. هذا يتجنب الحصول على البيانات من الموقع.
  31. Social Engeneering Attacks.
  32. وجود سجلات CAA في DNS.
  33. «الهجمات الودية», يتم تنفيذها من قبل المستخدمين الذين قدم لهم الضحية إمكانية الوصول إلى الخدمات. 16/05/2023
  34. أي ثغرات أمنية عامة في CVE وCWE للبرامج العامة والشهادات وما إلى ذلك.
  35. الهجمات التي تتطلب الوصول الفعلي إلى جهاز الكمبيوتر الخاص بالضحية. 26/01/2024

حكم نهائي

  1. أنت مسؤول عن دفع أي ضرائب متعلقة بالجوائز.
  2. يجوز لنا تغيير شروط هذا البرنامج أو إنهائه في أي وقت. لن نطبق أي تغييرات تم إجراؤها على شروط البرنامج هذه بأثر رجعي.
  3. موظفو Hosting Ukraine وأفراد أسرهم غير مؤهلين للحصول على أجر.
  4. يمكن أن توفر لك استضافة أوكرانيا وصولاً مجانيًا إلى المنتجات. هذا الوصول لأغراض الاختبار فقط ويمكن إلغاؤه في أي وقت بإشعار مسبق أو بدونه.