سياسة الإفصاح المسؤول

أمان وخصوصية مستخدمينا مهمان جدًا بالنسبة لنا. نحن نولي أقصى درجات العناية لضمان حماية أنظمتنا، ويسعى المطورون لدينا إلى كتابة كود آمن. نحن نتفهم أنه لا يوجد حل سحري عندما يتعلق الأمر بالأمان، وأن الأخطاء الأمنية يمكن أن تتسرب على الرغم من بذل قصارى جهدنا. نحن نضمن مراجعة جميع مشكلات الأمان التي تم الإبلاغ عنها وحلها على الفور.

الإبلاغ عن مشكلة أمنية

إذا كنت تعتقد أنك وجدت مشكلة أمنية يمكن أن تؤثر سلبًا على Alaan، فيرجى الاتصال بفريق الأمان لدينا على security@alaan.com وأرسل الطلبات الخاصة بك. سيتواصل معك أحد أعضاء فريق الأمان لدينا وسيعمل معك للتحقق من المشكلة وتأهيلها وحلها.

يجب أن يحتوي تقرير مشكلة الأمان الخاص بك على:

  • وصف تفصيلي للمشكلة
  • خطوات إعادة إظهار المشكلة
  • ستتبع إرشادات الإفصاح المسؤول (انظر أدناه)
  • روح تعاونية
  • لا توجد أنشطة ضارة (**)

وعدنا لك:

  • اعتراف سريع بالتقرير
  • الشفافية طوال العملية
  • التخفيف الكافي من المشكلة
  • الدخول في قاعة الشهرة للتقارير المقبولة (إذا كان ذلك مفضلاً)
  • مكافأة مالية للتقارير المؤهلة وفقًا للمعايير التالية

تصنيف الخطورة والمكافأة

سيتم تحديد الخطورة النهائية بناءً على قابلية الاستغلال والتأثير وحجم المستخدمين/البيانات المتأثرة. ستعتمد قيمة المكافأة على التأثير ويكون قرار Alaan بشأن الدفع نهائيًا.

الكشف المسؤول

نحن في Alaan نعتقد أنه مع المعرفة الكبيرة تأتي مسؤولية كبيرة. نتوقع أن تمنحنا مهلة معقولة للرد على تقريرك قبل نشر أي معلومات عامة وأنك ستبذل جهدًا بحسن نية لتجنب انتهاكات الخصوصية وتدمير البيانات وانقطاع أو تدهور خدماتنا أثناء البحث. سنرد بالمثل من خلال العمل معك للتخفيف من المشكلة بما يرضي الطرفين.

نفضل أن ينسق الباحثون المهتمون جهودهم مع فريق الأمن لدينا حتى نتمكن من تجنب أي حوادث غير مرغوب فيها يمكن أن تؤثر على السرية أو النزاهة أو توفر أنظمة Alaan.

قواعد البرنامج:

يرجى تقديم تقارير مفصلة بخطوات قابلة للتكرار. إذا لم يكن التقرير مفصلاً بما يكفي لإعادة إظهار المشكلة، فلن تكون المشكلة مؤهلة للحصول على مكافأة.

  • قم بإرسال ثغرة أمنية واحدة لكل تقرير ما لم تكن بحاجة إلى إنشاء سلسلة من الثغرات الأمنية لتوفير التأثير.
  • لا تقم بإجراء أي عمليات مسح آلية ضد أهداف Alaan.
  • عند حدوث نسخ مكررة، نمنح فقط التقرير الأول المستلم (بشرط أن يكون من الممكن إعادة إنتاجه بالكامل).
  • اسأل فريق Alaan قبل إرسال نقاط الضعف في النطاقات الفرعية غير المحددة
  • لا تتفاعل إلا مع الحسابات التي تمتلكها أو بإذن صريح من صاحب الحساب.

النطاق

مواقع آلان
  • https://www.alaan.com/
  • https://app.alaanpay.com/
تطبيقات الأجهزة المحمولة
إرسال الأخطاء المستبعدة

يتم استبعاد عمليات إرسال الأخطاء التالية لأنها ضارة و/أو لأنها ذات تأثير أمني منخفض على مالك البرنامج. يحتوي هذا القسم على المشكلات التي لم يتم قبولها بموجب هذا البرنامج وسيتم وضع علامة عليها على الفور على أنها غير صالحة.

تم استبعاد النتائج التالية على وجه التحديد وسيتم اعتبارها غير صالحة:

  • مشكلات الأمان في تطبيقات الطرف الثالث أو مواقع الويب التي تتكامل مع Alaan
  • رسائل الخطأ الوصفية (على سبيل المثال، Stack Traces أو أخطاء التطبيق أو الخادم).
  • رموز/صفحات HTTP أو غيرها من صفحات HTTP غير الرموز/الرموز.
  • البصمات/الكشف عن اللافتات على الخدمات المشتركة/العامة.
  • الكشف عن الملفات أو الأدلة العامة المعروفة (على سبيل المثال، robots.txt).
  • النقر والمشكلات التي لا يمكن استغلالها إلا من خلال الهندسة الاجتماعية.
  • CSRF في النماذج المتاحة للمستخدمين المجهولين (على سبيل المثال، نموذج الاتصال).
  • تزوير طلب تسجيل الخروج عبر المواقع (تسجيل الخروج CSRF).
  • وجود وظيفة «الإكمال التلقائي» أو «حفظ كلمة المرور» للتطبيق أو متصفح الويب.
  • عدم وجود Speedbump الأمني عند مغادرة الموقع.
  • اختبار الكابتشا ضعيف/تجاوز الكابتشا
  • خيارات: تم تمكين أسلوب HTTP
  • نصوص HTTPS ذات المحتوى المختلط
  • الذات - CSS
  • تعداد اسم المستخدم/البريد الإلكتروني
    1. رسالة خطأ عبر صفحة تسجيل الدخول
    2. عبر رسالة خطأ نسيت كلمة المرور
  • رؤوس أمان HTTP المفقودة، على وجه التحديد (https://www.owasp.org/index.php/List_of_useful_HTTP_headers
    على سبيل المثال
    1. أمن النقل الصارم
    2. خيارات الإطار X
    3. الحماية من أشعة إكس إس إس
    4. خيارات نوع المحتوى X
    5. سياسة أمان المحتوى، سياسة أمان المحتوى X، X-Webkit-CSP
    6. تقرير سياسة أمان المحتوى فقط
  • مشكلات SSL، على سبيل المثال
    1. هجمات SSL مثل BEAST و BREACH وهجوم إعادة التفاوض
    2. مجموعات تشفير SSL ضعيفة/غير آمنة

أخطاء خارج النطاق لتطبيقات Android:

  • تسربت الروابط المشتركة من خلال حافظة النظام.
  • تم تسريب أي عناوين URL لأن التطبيق الضار لديه إذن لعرض عناوين URL المفتوحة
  • عدم تثبيت الشهادة
  • البيانات الحساسة في عناوين URL/هيئات الطلب عند حمايتها بواسطة TLS
  • بيانات المستخدم المخزنة بدون تشفير على وحدة تخزين خارجية
  • عدم وجود تشويش خارج النطاق
  • سر OAuth والتطبيق المشفر الصلب/القابل للاسترداد في APK
  • الأعطال بسبب النوايا غير الصحيحة المرسلة إلى النشاط/الخدمة/البث/التلقية/البث المُصدَّر (استغلال هذه المعلومات لتسرب البيانات الحساسة أمر شائع في النطاق)
  • أي نوع من البيانات الحساسة المخزنة في الدليل الخاص للتطبيق
  • عدم وجود تحكم في الحماية الثنائية في تطبيق Android
  • يتم استغلال القرصنة في وقت التشغيل باستخدام أدوات مثل، على سبيل المثال لا الحصر، Frida/Appmon (عمليات الاستغلال ممكنة فقط في بيئة مكسورة الحماية)

أخطاء خارج النطاق لتطبيقات iOS

  • عدم وجود عوامل تخفيف للاستغلال، مثل PIE أو ARC أو Stack Canaries
  • عدم تثبيت الشهادة
  • الكشف عن المسار في النظام الثنائي
  • بيانات المستخدم المخزنة بدون تشفير على نظام الملفات
  • عدم وجود تشويش خارج النطاق
  • عدم الكشف عن الهروب من السجن خارج النطاق
  • رمز OAuth والتطبيق السري المشفر/القابل للاسترداد في IPA
  • أعطال بسبب أنظمة عناوين URL غير المصححة
  • عدم وجود ضوابط الحماية الثنائية (مكافحة التصحيح)
  • تسرب اللقطة/لوحة اللصق
  • يتم استغلال القرصنة في وقت التشغيل باستخدام أدوات مثل، على سبيل المثال لا الحصر، Frida/Appmon (عمليات الاستغلال ممكنة فقط في بيئة مكسورة الحماية)

** الملحق: نحن نصنف الأنشطة الضارة على النحو التالي

  • أي نوع من هجمات DoS
  • محاولات متعمدة لإلحاق الضرر بأنظمة آلان
  • إدخال الأبواب الخلفية/أحصنة طروادة والبرامج الضارة في أنظمة Alaan
  • محاولات خرق البيانات السرية
  • الكشف علنًا عن الثغرة الأمنية قبل حلها.
  • الاختبارات المادية، مثل الوصول إلى المكتب (على سبيل المثال، الأبواب المفتوحة والأبواب الخلفية).
  • الملاحظات مستمدة بشكل أساسي من الهندسة الاجتماعية (مثل التصيد الاحتيالي والصيد).
  • أي اختبار على أي تطبيق/أنظمة أخرى غير مذكورة في نطاق «الهدف».

ملاحظة: ستتم متابعة جميع محاولات إلحاق الضرر بأنظمة Alaan وبياناتها التي لا تتبع الكشف المسؤول بشكل قانوني إلى أقصى حد يسمح به القانون.

شروط وأحكام الدفع

  • إذا تم اعتبارك مؤهلاً للحصول على مكافأة مالية، فقد يُطلب منك تقديم معلومات إضافية تتعلق بالتحقق وتحديد الهوية والضرائب لتسهيل الدفع.
  • لن يتم إصدار المكافآت إلا بعد التحقق الناجح من الثغرة الأمنية المبلغ عنها وإكمال جميع عمليات التحقق والأهلية المطلوبة.
  • تخضع الأهلية للدفع للامتثال لجميع قواعد البرنامج، بما في ذلك إرشادات الإفصاح المسؤول والمتطلبات القانونية ومتطلبات الضرائب المقتطعة.
  • يتحمل المستلم وحده مسؤولية أي ضرائب أو رسوم أو جبايات تنشأ عن المكافآت النقدية.
  • تحتفظ Alaan بالحق في حجب المكافآت أو تعديلها في حالات عدم اكتمال المعلومات أو عدم الامتثال أو عمليات الإرسال المكررة.
  • من خلال تقديم التقرير المشار إليه في هذا المستند، فإنك تقبل هذه السياسة دون قيد أو شرط وتتنازل عن أي حق في متابعة الإجراءات القانونية أو الكشف علنًا عن التقرير أو أي اتصالات ذات صلة أو أي مستندات أو معلومات مرتبطة.

هل تواجه صعوبات في إدارة مصروفات شركتك؟ "الآن" هو حلك الأمثل

المزيد من التحكم | المزيد من التوفير | المزيد من الأتمتة.
شكرًا لك! تم استلام طلبك!
عفوًا! حدث خطأ ما أثناء إرسال النموذج.
Dark purple Alaan Visa Platinum Business card on a two-tone purple surface.

من خلال النقر «قبول»، أنت توافق على تخزين ملفات تعريف الارتباط على جهازك لتحسين التنقل في الموقع وتحليل استخدام الموقع والمساعدة في جهودنا التسويقية. شاهد موقعنا سياسة الخصوصية لمزيد من المعلومات.

ارفضاقبل
التفضيلات
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Preferences