مرکز کمک /برنامه پاداش باگ

برنامه پاداش باگ

اگر معتقد هستید که یک آسیب‌پذیری امنیتی در X-VPN پیدا کرده‌اید، توصیه می‌کنیم که بلافاصله به ما اطلاع دهید. ما تمام گزارش‌های معتبر را بررسی خواهیم کرد و بهترین تلاش خود را برای سریعترین رفع مشکل خواهیم کرد. قبل از گزارش دادن، لطفاً این صفحه را همراه با سیاست افشای مسئولانه و راهنمای پاداش مرور کنید.

سیاست افشای مسئولانه

اگر شما با رعایت سیاست‌های زیر در گزارش یک مشکل امنیتی به X-VPN، ما در پاسخ به گزارش شما دادخواست یا تحقیقات قضایی علیه شما را آغاز نخواهیم کرد. ما از شما درخواست داریم که:

  • ۱. شما به ما زمان مناسبی می‌دهید تا مشکلی که گزارش می‌دهید را بررسی و کاهش دهیم قبل از انتشار هرگونه اطلاعات درباره گزارش یا به اشتراک گذاشتن این اطلاعات با دیگران.
  • 2. شما تلاش می‌کنید به خوبی وجدانی از نقض حریم خصوصی و اختلال در دیگران، از جمله (اما محدود به) دسترسی غیرمجاز به داده‌ها یا نابودی آنها و قطع یا تخریب خدمات ما، پرهیز کنید.
  • 3. شما به هیچ عنوان از یک مشکل امنیتی که کشف کرده‌اید به هر دلیلی سوء استفاده نمی‌کنید. (این شامل نشان دادن خطرات اضافی می‌شود، مانند تلاش برای تخریب داده‌های حساس شرکت یا بررسی مشکلات اضافی.)
  • ۴. شما هیچگونه قصد نقض هرگونه قانون یا مقررات قابل اجرا دیگری را ندارید، از جمله (اما محدود به) قوانین و مقرراتی که دسترسی غیرمجاز به داده‌ها را ممنوع می‌کنند.
  • ۵. برای اهداف این سیاست، شما مجاز به دسترسی به داده های کاربر یا داده های شرکت نیستید، از جمله (اما محدود به) اطلاعات شناسایی شخصی و داده های مربوط به یک شخص طبیعی شناسایی شده یا قابل شناسایی.
  • 6. تصمیم در مورد اینکه آیا گزارش شما واجد شرایط است و چقدر پاداش دریافت خواهید کرد، به عهده ما است. در حالی که ما عادلانه و سخاوتمند خواهیم بود، با ارسال یک گزارش باگ، شما موافقت و پذیرش می کنید که حکم ما قطعی است.

شرایط برنامه پاداش باگ

ما از محققان امنیتی که با گزارش کردن آسیب‌پذیری‌های موجود در خدمات ما به ما کمک می‌کنند، تشکر و پاداش می‌دهیم. پاداش‌های مالی برای چنین گزارش‌هایی کاملاً به اختیار X-VPN است و بر اساس ریسک، تأثیر و سایر عوامل تعیین می‌شود. برای احتمالاً واجد شرایط شدن برای دریافت پاداش، ابتدا باید شرایط زیر را برآورده کنید:

  • ۱. به سیاست افشای مسئولانه ما پایبند باشید (برای مشاهده بالا را ببینید).
  • ۲. گزارش یک باگ امنیتی: به عبارت دیگر، شناسایی یک آسیب‌پذیری در خدمات یا زیرساخت‌های ما که خطر امنیتی یا حریم خصوصی ایجاد می‌کند. (توجه داشته باشید که X-VPN در نهایت خطر یک مشکل را تعیین می‌کند و بسیاری از باگ‌های نرم‌افزاری مشکلات امنیتی نیستند.)
  • ۳. ما تمام گزارش‌های معتبر را بررسی و پاسخ می‌دهیم. با این حال، به دلیل حجم گزارش‌هایی که دریافت می‌کنیم، ما ارزیابی‌ها را بر اساس خطر و سایر عوامل اولویت‌بندی می‌کنیم و ممکن است مدتی طول بکشد تا پاسخی دریافت کنید.
  • ۴. در صورت گزارش‌های تکراری، ما پاداش را به اولین شخصی که یک مشکل را ارسال می‌کند، اهدا می‌کنیم. (X-VPN تکرارها را تشخیص می‌دهد و جزئیات گزارش‌های دیگر را ممکن است به اشتراک نگذارد.) پاداش مشخص شده فقط به یک فرد پرداخت می‌شود.
  • 5. ما احتفاظ می‌کنیم که گزارش‌ها (و به‌روزرسانی‌های همراه) را منتشر کنیم.
  • 6. با ارسال گزارش خطا خود به ایمیل bug@xvpn.io و پاسخ به درخواست‌های پیگیری از کارکنان ما برای به‌روزرسانی‌ها یا اطلاعات بیشتر.

محدوده پاداش


برای اولویت‌بندی/رتبه‌بندی اولیه یافته‌ها، این برنامه از طبقه‌بندی آسیب‌پذیری Bugcrowd استفاده خواهد کرد، لطفاً از این جدول بازبینی کنید! همچنین مهم است به‌یاد داشته باشید که در برخی موارد، اولویت یک آسیب‌پذیری به دلیل احتمال یا تأثیر آن تغییر خواهد کرد. در هر موردی که یک مسئله کاهش یابد، توضیحات کامل و دقیقی به محقق ارائه خواهد شد - همراه با فرصتی برای ارجاع و ارائه دلیل برای اولویت بالاتر.

شدت فنیمحدوده پاداش
p1Critical$500
p2Severe$200
p3Moderate$100
p4Low$50

ارسال‌های P5 هیچ پاداشی برای این برنامه دریافت نمی‌کنند.

خارج از دامنه:

  • - خود XSS
  • - سوء تهيئة أو عدم وجود سجلات DMARC
  • - تقلید ایمیل
  • - تقلید محتوا
  • - آسیب‌پذیری‌هایی که تنها محدود به مرورگرهای پشتیبانی نشده هستند، پذیرفته نخواهند شد. از اکسپلویت حداقل در مرورگرهایی با نسخه برابر یا بالاتر از IE 9 استفاده شود.
  • - حملات نیرومند
  • - حملات DDoS
  • - آسیب‌پذیری‌ها در خدماتی که توسط شخص ثالث ارائه می‌شوند، مانند فروشندگان.
  • - هر سناریویی که بر اساس گواهی SSL تقلبی وابسته است.
  • - هر گونه باگ یا مشکلی که به آسیب پذیری های امنیتی مربوط نیست.

گزارش مشکلات اتصال

اگر با مشکلات اتصال مواجه هستید، لطفاً آن را گزارش داده و به ما در انجام تست کمک کنید.

ارسال مشکل اتصال و اطلاعات تماس شبکه‌های اجتماعی خود را از طریق چت زنده یا ایمیل support@xvpn.io به ما ارسال کنید.

2. ما از طریق رسانه‌های اجتماعی با شما تماس خواهیم گرفت. سپس ممکن است نسخه‌های آزمایشی را برای شما ارسال کنیم، به هر حال مفید خواهد بود اگر لپتاپ داشته باشید.

شما در طول آزمون به ازای هر ساعت 20 دلار پرداخت خواهید شد. اگر به دلیل کمک شما یک مشکل مانند تجزیه و تحلیل شبکه یا اتصال از راه دور حل شود، جایزه اضافی 10-1000 دلار خواهد بود.

مجوز

حق نشر Free connected limited تحت مجوز Apache License، نسخه 2.0 (مجوز) است؛ شما مجاز به استفاده از این فایل نیستید مگر با رعایت مقررات مجوز. شما می‌توانید یک نسخه از مجوز را دریافت کنید در

http://www.apache.org/licenses/LICENSE-2.0

مگر اینکه طبق قوانین مربوطه الزامی باشد یا با توافق کتبی صورت گیرد، نرم افزار تحت مجوز بر اساس یک "AS IS" BASIS توزیع می‌شود، بدون هیچگونه ضمانت یا شرایطی از هر نوعی، سپرده‌ها یا ضمانت‌ها. برای جزئیات بیشتر به متن مجوز مراجعه کنید.