سياسة الإفصاح المسؤول

أمان وخصوصية مستخدمينا مهمان جدًا بالنسبة لنا. نحن نولي أقصى درجات العناية لضمان حماية أنظمتنا، ويسعى المطورون لدينا إلى كتابة كود آمن. نحن نتفهم أنه لا يوجد حل سحري عندما يتعلق الأمر بالأمان، وأن الأخطاء الأمنية يمكن أن تتسرب على الرغم من بذل قصارى جهدنا. نحن نضمن مراجعة جميع مشكلات الأمان التي تم الإبلاغ عنها وحلها على الفور.

الإبلاغ عن مشكلة أمنية

إذا كنت تعتقد أنك وجدت مشكلة أمنية يمكن أن تؤثر سلبًا على Alaan، فيرجى الاتصال بفريق الأمان لدينا على security@alaan.com وأرسل الطلبات الخاصة بك. سيتواصل معك أحد أعضاء فريق الأمان لدينا وسيعمل معك للتحقق من المشكلة وتأهيلها وحلها.

يجب أن يحتوي تقرير مشكلة الأمان الخاص بك على:

• وصف تفصيلي للمشكلة
• خطوات إعادة إظهار المشكلة
• ستتبع إرشادات الإفصاح المسؤول (انظر أدناه)
• روح تعاونية
• لا توجد أنشطة ضارة (**)

وعدنا لك:

• اعتراف سريع بالتقرير
• الشفافية طوال العملية
• التخفيف الكافي من المشكلة
• الدخول في قاعة الشهرة للتقارير المقبولة (إذا كان ذلك مفضلاً)
• مكافأة مالية للتقارير المؤهلة وفقًا للمعايير التالية

‍

تصنيف الخطورة والمكافأة

‍

سيتم تحديد الخطورة النهائية بناءً على قابلية الاستغلال والتأثير وحجم المستخدمين/البيانات المتأثرة. ستعتمد قيمة المكافأة على التأثير ويكون قرار Alaan بشأن الدفع نهائيًا.

الكشف المسؤول

نحن في Alaan نعتقد أنه مع المعرفة الكبيرة تأتي مسؤولية كبيرة. نتوقع أن تمنحنا مهلة معقولة للرد على تقريرك قبل نشر أي معلومات عامة وأنك ستبذل جهدًا بحسن نية لتجنب انتهاكات الخصوصية وتدمير البيانات وانقطاع أو تدهور خدماتنا أثناء البحث. سنرد بالمثل من خلال العمل معك للتخفيف من المشكلة بما يرضي الطرفين.

نفضل أن ينسق الباحثون المهتمون جهودهم مع فريق الأمن لدينا حتى نتمكن من تجنب أي حوادث غير مرغوب فيها يمكن أن تؤثر على السرية أو النزاهة أو توفر أنظمة Alaan.

قواعد البرنامج:

يرجى تقديم تقارير مفصلة بخطوات قابلة للتكرار. إذا لم يكن التقرير مفصلاً بما يكفي لإعادة إظهار المشكلة، فلن تكون المشكلة مؤهلة للحصول على مكافأة.

• قم بإرسال ثغرة أمنية واحدة لكل تقرير ما لم تكن بحاجة إلى إنشاء سلسلة من الثغرات الأمنية لتوفير التأثير.
• لا تقم بإجراء أي عمليات مسح آلية ضد أهداف Alaan.
• عند حدوث نسخ مكررة، نمنح فقط التقرير الأول المستلم (بشرط أن يكون من الممكن إعادة إنتاجه بالكامل).
• اسأل فريق Alaan قبل إرسال نقاط الضعف في النطاقات الفرعية غير المحددة
• لا تتفاعل إلا مع الحسابات التي تمتلكها أو بإذن صريح من صاحب الحساب.

النطاق

مواقع آلان

• https://www.alaan.com/
• https://app.alaanpay.com/

تطبيقات الأجهزة المحمولة

• آلان أندرويد
• آلان iOS

إرسال الأخطاء المستبعدة

يتم استبعاد عمليات إرسال الأخطاء التالية لأنها ضارة و/أو لأنها ذات تأثير أمني منخفض على مالك البرنامج. يحتوي هذا القسم على المشكلات التي لم يتم قبولها بموجب هذا البرنامج وسيتم وضع علامة عليها على الفور على أنها غير صالحة.

تم استبعاد النتائج التالية على وجه التحديد وسيتم اعتبارها غير صالحة:

• مشكلات الأمان في تطبيقات الطرف الثالث أو مواقع الويب التي تتكامل مع Alaan
• رسائل الخطأ الوصفية (على سبيل المثال، Stack Traces أو أخطاء التطبيق أو الخادم).
• رموز/صفحات HTTP أو غيرها من صفحات HTTP غير الرموز/الرموز.
• البصمات/الكشف عن اللافتات على الخدمات المشتركة/العامة.
• الكشف عن الملفات أو الأدلة العامة المعروفة (على سبيل المثال، robots.txt).
• النقر والمشكلات التي لا يمكن استغلالها إلا من خلال الهندسة الاجتماعية.
• CSRF في النماذج المتاحة للمستخدمين المجهولين (على سبيل المثال، نموذج الاتصال).
• تزوير طلب تسجيل الخروج عبر المواقع (تسجيل الخروج CSRF).
• وجود وظيفة «الإكمال التلقائي» أو «حفظ كلمة المرور» للتطبيق أو متصفح الويب.
• عدم وجود Speedbump الأمني عند مغادرة الموقع.
• اختبار الكابتشا ضعيف/تجاوز الكابتشا
• خيارات: تم تمكين أسلوب HTTP
• نصوص HTTPS ذات المحتوى المختلط
• الذات - CSS
• تعداد اسم المستخدم/البريد الإلكتروني
  
  1. رسالة خطأ عبر صفحة تسجيل الدخول
  2. عبر رسالة خطأ نسيت كلمة المرور
• رؤوس أمان HTTP المفقودة، على وجه التحديد (https://www.owasp.org/index.php/List_of_useful_HTTP_headers)،
  على سبيل المثال
  
  1. أمن النقل الصارم
  2. خيارات الإطار X
  3. الحماية من أشعة إكس إس إس
  4. خيارات نوع المحتوى X
  5. سياسة أمان المحتوى، سياسة أمان المحتوى X، X-Webkit-CSP
  6. تقرير سياسة أمان المحتوى فقط
• مشكلات SSL، على سبيل المثال
  
  1. هجمات SSL مثل BEAST و BREACH وهجوم إعادة التفاوض
  2. مجموعات تشفير SSL ضعيفة/غير آمنة

أخطاء خارج النطاق لتطبيقات Android:

• تسربت الروابط المشتركة من خلال حافظة النظام.
• تم تسريب أي عناوين URL لأن التطبيق الضار لديه إذن لعرض عناوين URL المفتوحة
• عدم تثبيت الشهادة
• البيانات الحساسة في عناوين URL/هيئات الطلب عند حمايتها بواسطة TLS
• بيانات المستخدم المخزنة بدون تشفير على وحدة تخزين خارجية
• عدم وجود تشويش خارج النطاق
• سر OAuth والتطبيق المشفر الصلب/القابل للاسترداد في APK
• الأعطال بسبب النوايا غير الصحيحة المرسلة إلى النشاط/الخدمة/البث/التلقية/البث المُصدَّر (استغلال هذه المعلومات لتسرب البيانات الحساسة أمر شائع في النطاق)
• أي نوع من البيانات الحساسة المخزنة في الدليل الخاص للتطبيق
• عدم وجود تحكم في الحماية الثنائية في تطبيق Android
• يتم استغلال القرصنة في وقت التشغيل باستخدام أدوات مثل، على سبيل المثال لا الحصر، Frida/Appmon (عمليات الاستغلال ممكنة فقط في بيئة مكسورة الحماية)

أخطاء خارج النطاق لتطبيقات iOS

• عدم وجود عوامل تخفيف للاستغلال، مثل PIE أو ARC أو Stack Canaries
• عدم تثبيت الشهادة
• الكشف عن المسار في النظام الثنائي
• بيانات المستخدم المخزنة بدون تشفير على نظام الملفات
• عدم وجود تشويش خارج النطاق
• عدم الكشف عن الهروب من السجن خارج النطاق
• رمز OAuth والتطبيق السري المشفر/القابل للاسترداد في IPA
• أعطال بسبب أنظمة عناوين URL غير المصححة
• عدم وجود ضوابط الحماية الثنائية (مكافحة التصحيح)
• تسرب اللقطة/لوحة اللصق
• يتم استغلال القرصنة في وقت التشغيل باستخدام أدوات مثل، على سبيل المثال لا الحصر، Frida/Appmon (عمليات الاستغلال ممكنة فقط في بيئة مكسورة الحماية)

** الملحق: نحن نصنف الأنشطة الضارة على النحو التالي

• أي نوع من هجمات DoS
• محاولات متعمدة لإلحاق الضرر بأنظمة آلان
• #حول_الفاعلة/#ص_الطاغره #الطاقه #الطاقه #العلاء
• هيئة الإذاعة والتلفزيون
• «سورة الصحافة» و «الثورة الإسلامية» و «حلتها».
• الطبعة الأولى، من تاريخ الميلاد (مثل سبيل المثل، كتاب العهد، العهد، الباب العالي).
• «القضايا المتعلقة بالسد» و «النهضة المصرية».
• كلمة المرور في مدينة ترياق/سنة جديدة على «الصفحة الرئيسية».

«العمر»:: في ما يتعلق بمسألة الحق في القضاء على العنف ضد المرأة، فإنها تستحق الثناء على الدين الأعلى.

شروق وعبد الدرب

• المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية
• من جهة أخرى، من جهة أخرى، من جهة أخرى، إلى المملكة العربية السعودية، من جهة أخرى، إلى جانب تحقيق المساواة في تحقيق الأهداف الإنمائية.
• ##الحث_على #الملث_العربي، #البحوث_العربي، #البحوث_العربي، #الحمد_العربي، #الحمد_العربي، #أحمد،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،،
• كتاب كتاب الله عن القضايا المتعلقة بالمعارف والجبايات التي تُنشَأ عن المكفّات.
• «تحثّ العلاء» في كتاب «المكفّات» و «طيّه» في «فتحي الدين» و «صوت المتحمل من أجل تحرير مصر».
• من مصر إلى مصر، مصر، مصر، مصر، مصر، تونس، مصر، تونس العاصمة، مصر، مصر، مصر، مصر، مصر، مصر، مصر، مصر، مصر، مصر.

‍