تم إطلاق تقويم مشاركة الموظفين لعام 2025.

تحميل الآن

Empuls برنامج مكافأة الثغرات

في Empuls ، نحن ندرك أن حماية بيانات المستهلكين هي أولوية قصوى ومسؤولية كبيرة تتطلب مراقبة مستمرة. نحن نقدر بشدة جميع العاملين في مجتمع الأمن الذين يساعدوننا في ضمان أمن أنظمتنا بنسبة 100% في جميع الأوقات.

نحن نؤمن بأن الكشف المسؤول عن الثغرات الأمنية يساعدنا في الحفاظ على أقصى درجات الأمان والخصوصية لمستخدمينا. ندعو الباحثين الأمنيين للإبلاغ عن أي ثغرة أمنية قد يواجهونها في منتجاتنا. سيتم مكافأة أولئك الذين يرسلون الثغرات ضمن نطاق برنامجنا بكل سرور لدعمهم وخبرتهم الأمنية.

كيف تعمل

  1. إذا لاحظت أي مشكلة أمنية محتملة أثناء استيفاء جميع المعايير المطلوبة في سياستنا، فاتصل بنا على الدعم علىempuls.io لإنشاء تذكرة.
  2. سيتحقق فريق الأمن لدينا من صحة المشكلة المبلغ عنها ومدى خطورتها في غضون 90 يومًا.  
  3. بعد التحقق، سيتخذ فريقنا خطوات لإصلاح المشكلات الأمنية في سياساتنا الأمنية.  
  4. بمجرد حل المشكلة، سيقوم فريقنا بإبلاغ مالك التذكرة.

الاهليه

لكي تكون مؤهلاً للحصول على المكافأة، يجب عليك استيفاء المتطلبات التالية:

  1. يجب أن تكون أول شخص يقوم بالإبلاغ عن ثغرة أمنية إلى Empuls.  
  2. يجب أن تؤثر المشكلة على أي من التطبيقات المدرجة ضمن النطاق المحدد لدينا.  
  3. يجب أن تندرج المشكلة تحت الأخطاء "المؤهلة" المدرجة.  
  4. لا يُسمح بنشر معلومات الثغرات الأمنية في المجال العام.  
  5. يجب الحفاظ على سرية أي معلومات حول مشكلة الثغرة الأمنية حتى يتم حل المشكلة.  
  6. يجب عدم انتهاك سياسات الخصوصية التي وضعها Empuls عند إجراء اختبار الأمان.
  7. يُحظر تمامًا تعديل بيانات المستخدم غير المصادق عليها أو حذفها أو تعطيل خوادم الإنتاج أو أي شكل من أشكال التدهور في تجربة المستخدم.  

يمكن أن يؤدي انتهاك أي من هذه القواعد إلى عدم الأهلية أو الإزالة من برنامج مكافأة الأخطاء البرمجية Empuls .

الإرشادات

  1. استخدم فقط القناة المحددة support@empuls.io للإبلاغ عن أي ثغرة أمنية.
  2. أثناء رفع التذكرة، تأكد من ذكر الوصف والتأثير المحتمل للثغرة الأمنية.
  3. كما يجب تضمين تعليمات مفصلة حول الخطوات الواجب اتباعها لإعادة إنتاج الثغرة.
  4. يجب إرفاق مقطع فيديو كامل لـ POC، يوضح جميع الخطوات والمعلومات.
  5. التفاصيل حول النطاق ومعايير التأهيل مذكورة أدناه.

نطاق

  1. المنصة: https://empulsaccounts.xoxoday.com
  2. مواقع الويب خارج النطاق: النطاقات الفرعية المرحلية، أي نطاق فرعي آخر غير متصل بـ empuls.io

نقاط الضعف المؤهلة

من المحتمل أن تكون أي مشكلة في التصميم أو التنفيذ تؤثر بشكل كبير على سرية أو سلامة بيانات المستخدم ضمن نطاق البرنامج. وتشمل الأمثلة الشائعة ما يلي:

  • البرمجة النصية عبر المواقع (XSS)
  • تزوير الطلبات عبر المواقع (CSRF)
  • تزوير الطلبات من جانب الخادم (SSRF)
  • حقن SQL
  • تنفيذ التعليمات البرمجية عن بُعد من جانب الخادم (RCE)
  • هجمات الكيانات الخارجية ل XML (XXE)
  • مشكلات التحكم في الوصول (مشكلات المراجع المباشرة غير الآمنة للكائنات غير الآمنة، وتجاوز الامتيازات، وما إلى ذلك)
  • اللوحات الإدارية المكشوفة التي لا تتطلب بيانات اعتماد تسجيل الدخول
  • مشكلات عبور الدليل
  • الكشف عن الملفات المحلية (LFD) وإدراج الملفات عن بُعد (RFI)
  • التلاعب في المدفوعات
  • أخطاء تنفيذ التعليمات البرمجية من جانب الخادم
  • الحد من معدل واجهة برمجة التطبيقات
    - تجاوز حدود معدل واجهة برمجة التطبيقات.
    - شروط السباق ومشكلات التزامن في نقاط نهاية واجهة برمجة التطبيقات.

الثغرات غير المؤهلة

  • عمليات إعادة التوجيه المفتوحة: 99% من عمليات إعادة التوجيه المفتوحة لها تأثير أمني منخفض. بالنسبة للحالات النادرة التي يكون التأثير فيها أعلى، على سبيل المثال، سرقة رموز oauth الرمزية، ما زلنا نريد أن نسمع عنها
  • التقارير التي تشير إلى أن البرنامج قديم/غير صالح للاستخدام بدون "إثبات المفهوم
  • مشاكل رأس المضيف دون وجود نقاط ضعف مصاحبة تثبت وجود ثغرة أمنية
  • مشكلات XSS التي تؤثر على المتصفحات القديمة فقط
  • آثار المكدس التي تكشف عن المعلومات
  • اختراق النقرات والمشكلات التي لا يمكن استغلالها إلا من خلال اختراق النقرات
  • حقن CSV. يرجى الاطلاع على هذه المقالة: حقن صيغة CSV | جوجل
  • شواغل أفضل الممارسات
  • تقارير تخمينية للغاية حول الأضرار النظرية. تكون ملموسة
  • برمجيات XSS الذاتية التي لا يمكن استخدامها لاستغلال مستخدمين آخرين
  • الثغرات كما تم الإبلاغ عنها بواسطة الأدوات الآلية دون تحليل إضافي لكيفية كونها مشكلة
  • تقارير من أدوات الفحص الآلي لثغرات الويب (Acunetix، وBurp Suite، وVega، وغيرها) التي لم يتم التحقق من صحتها
  • هجمات الحرمان من الخدمة
  • هجمات القوة الغاشمة
  • تنزيل الملف المنعكس (RFD)
  • محاولات الهندسة المادية أو الاجتماعية (وهذا يشمل هجمات التصيد الاحتيالي ضد موظفي Empuls )
  • مشكلات حقن المحتوى
  • تزييف الطلبات عبر المواقع (CSRF) مع الحد الأدنى من الآثار الأمنية (تسجيل الخروج CSRF، إلخ)
  • سمات الإكمال التلقائي المفقودة
  • علامات ملفات تعريف الارتباط المفقودة على ملفات تعريف الارتباط غير الحساسة للأمان
  • المشكلات التي تتطلب الوصول الفعلي إلى كمبيوتر الضحية
  • رؤوس الأمان المفقودة التي لا تمثل ثغرة أمنية فورية.
  • قضايا الاحتيال
  • توصيات حول التحسينات الأمنية
  • تقارير فحص SSL/TLS (وهذا يعني المخرجات من مواقع مثل SSL Labs)
  • مشكلات التقاط الشعارات (معرفة خادم الويب الذي نستخدمه، إلخ)
  • المنافذ المفتوحة دون أن تكون مصحوبة بمركز عمليات مصاحب يثبت الثغرة
  • الثغرات التي تم الكشف عنها مؤخراً. نحن بحاجة إلى وقت لتصحيح أنظمتنا مثلنا مثل أي شخص آخر - يرجى منحنا أسبوعين قبل الإبلاغ عن هذه الأنواع من المشكلات

ثواب

سيتم دفع مكافآت Bug Bounty على شكل بطاقات هدايا شهيرة. ستعتمد قيمة بطاقة الهدية على خطورة الخطأ ونوعيته كما هو موضح أدناه:

شدة الخلل
قيمة المكافأة
عالية
$250
متوسط
$150
منخفضة
$100

ملاحظة

سيتم اتخاذ القرار النهائي بشأن أهلية الأخطاء والمكافأة من قبل Empuls. البرنامج موجود وفقًا لتقدير الشركة ويمكن إلغاؤه في أي وقت.

هل وجدت حشرة؟

تواصل معنا لرفع مخالفة، إذا لاحظت أي مشكلة أمنية محتملة مع استيفاء جميع المعايير المطلوبة في سياستنا.

تقرير
شركة
من نحن
الوظائف التي نوظفها 🚀
الناس والثقافة
الانباء
الشركاء
برنامج الإحالة
موارد
جميع الميزات
المدونات
ندوات عبر الإنترنت
تحميل
قصص العملاء
المسرد
دعم
تطبيقات الجوال
الأسئلة الشائعة
مركز المساعدة
رفع تذكرة
تواصل معنا
التسعير
اتصل بنا
احجز عرضا توضيحيا
طلب تقديم العروض
سياسة الخصوصية
أمن
شروط الاستخدام
علة مكافأة
© 2025 Xoxoday | All Rights Reserved