إرشادات برنامج الكشف عن الثغرات الأمنية في ترابط 

سياسة الكشف لشركة ترابط 

يرجى عدم الكشف علنًا عن أي ثغرات بدون موافقة صريحة من ترابط، حتى لو تم حلها. الحفاظ على السرية أمر أساسي لضمان الكشف المسؤول والمعالجة الفعالة. 

النطاق

جميع أصول الإنتاج الخارجية لدينا تُعتبر ضمن نطاق برنامج الكشف عن الثغرات الأمنية. يشمل ذلك جميع التطبيقات وخدمات الشبكة والأنظمة المكشوفة على النطاقات المملوكة لشركة ترابط كما هو موضح أدناه:  

• *.tarabutgateway.io  
• *.tarabut.com

النطاقات الفرعية المذكوره أعلاه تعيد التوجيه إلى خدمات تابعة لجهات خارجية وتُعتبر خارج النطاق.  يجب أن تكون الثغرات المُبلغ عنها ذات تأثير واضح وقابل للقياس ويعكس  خطر أمني ملموس وذي أهمية. 

قضايا خارج نطاق التغطية

بعض القضايا لا تندرج ضمن برنامج الكشف لدينا، مثل الثغرات التي تعتمد على التصيد، وهجمات حجب الخدمة، وتعداد المستخدمين، وغياب أفضل الممارسات مثل (SSL/TLS Configuration) . يجب أن تُظهر الثغرات التي تؤثر على التطبيقات أو التبعيات الخارجية المستخدمة من قبل شركة ترابط تأثيرًا أمنيًا كبيرًا. 

• الهندسة الاجتماعية  

• هجمات حجب الخدمة (DoS) و DDoS  

• الأمن المادي  

• قضايا نقص الحد من المعدل  

• تعقيد كلمة المرور  

• تعداد المستخدمين  

• غياب أفضل الممارسات في تكوينات SSL/TLS  

• غياب أفضل الممارسات في تكوين رؤوس HTTP  

• غياب أفضل الممارسات في سجلات DNS  

• المشكلات المتعلقة بتكوينات DMARC/SPF/DKIM أو انتحال البريد الإلكتروني أو البريد العشوائي بدون وجود دليل على وجود ثغرة أمنية فعلية  

• هجمات CSRF ضد وظائف تسجيل الخروج أو الوظائف الأخرى التي لا تؤدي إلى تغيير في الحالة  

• الوصول إلى المعلومات التي تكون "عامة" عمدًا  

• عرض الدليل  

• الكشف عن إصدار البرنامج  

• القضايا المتعلقة بالكوكيز غير الحساسة  

• القضايا التي تؤثر على التطبيقات أو التبعيات التابعة لأطراف خارجية المستخدمة من قِبل ترابط، ما لم يتم إثبات وجود تأثير أمني كبير (أي نتوقع استغلالاً كاملاً) يجب الإبلاغ عن القضايا العامة التي لا تحتوي على تأثير فعلي إلى البائع المعني (إذا لم يكن الموضوع معروفًا بالفعل)القضايا المتاحة فقط في سيناريوهات الاستغلال الذاتي (مثل XSS الذاتي أو لصق JavaScript في وحدة تحكم المتصفح الهجمات عبر النقر على الصفحات التي لا تحتوي على إجراءات حساسة (مثل على tarabut.com)  
  البيئات غير الإنتاجية  

• الهندسة الاجتماعية  

• هجمات حجب الخدمة (DoS) والهجمات الموزعة لحجب الخدمة (DDoS)  

• الأمن المادي  

• مشاكل تتعلق بعدم تحديد معدل الاستخدام  

• تعقيد كلمة المرور  

• تعداد المستخدمين  

• افتقاد أفضل الممارسات في تكوين SSL/TLS  

• افتقاد أفضل الممارسات في تكوين رؤوس HTTP  

• افتقاد أفضل الممارسات في سجلات DNS  

• مشكلات تتعلق بتكوين DMARC/SPF/DKIM، وانتحال البريد الإلكتروني، أو الرسائل العشوائية، بدون دليل على وجود ثغرة أمنية فعلية  

• هجمات CSRF ضد وظيفة تسجيل الخروج أو وظائف أخرى لا تغيّر الحالة  

• الوصول إلى المعلومات التي تكون "عامة" عن قصد  

• قائمة الدلائل  

• الكشف عن إصدار البرنامج  

• مشكلات ملفات تعريف الارتباط غير الحساسة  

• المشكلات التي تؤثر على التطبيقات أو الاعتماديات الخارجية المستخدمة من قبل شركة ترابط، إلا إذا كان هناك تأثير أمني كبير (أي نتوقع استغلالاً كاملاً). وينبغي الإبلاغ عن المشكلات الأكثر عمومية التي لا يوجد لها تأثير فعلي إلى البائع المعني (إذا لم يكن هذا الموضوع معروفًا للجمهور).  

• المشكلات المتاحة فقط في حالات الاستغلال الذاتي (مثل XSS الذاتي أو لصق جافا سكريبت في وحدة تحكم المتصفح)  

• خداع النقر (Clickjacking) في الصفحات التي لا تحتوي على إجراءات حساسة (مثل موقع tarabut.com)  

• البيئات غير الإنتاجية