برنامه گزارش باگ جیبرس

فلسفه افشای آسیب پذیری

  • به حریم خصوصی احترام بگذاریم. لطفا حسن نیست داشته باشید و از داده‌های کاربران دیگر سوء استفاده نکنید یا برای از بین بردن آن‌ها تلاش نکنید.
  • صبور باشید. لطفا گزارش‌های خود را به‌صورت شفاف و همراه با جزئیات ارسال کنید تا در مدت زمان پاسخ‌دهی ما را کاهش دهید.
  • آسیب نزنید. از طریق ارسال گزارش‌های سریع، آسیب‌پذیری‌های یافت شده را گزارش کنید. هرگز بدون اجازه از داده‌های کسی استفاده نکنید.

باگ یا اشکال نرم‌افزاری به مهاجمان این امکان را می‌دهد تا با نقض خط مشی امنیتی نسبت به نفوذ اقدام کنند. نقص در طراحی یا عدم رعایت بهترین شیوه‌های امنیتی ممکن است به‌عنوان آسیب‌پذیری شناخته شود. نقاط ضعف مورد استفاده توسط ویروس‌ها، کدهای مخرب و مهندسی اجتماعی، آسیب‌پذیری محسوب نمی‌شوند

اگر فکر می‌کنید که یک آسیب پذیری از جیبرس پیدا کرده‌اید، لطفا گزارش آن را در اینجا برای ما ثبت کنید. گزارش باید شامل شرح مفصل و روشنی از مورد کشف‌شده باشد، مراحل کوتاه و قابل تکرار و یا اثبات مفهوم کار باشد. اگر شما جزئیات آسیب‌پذیری را به‌درستی شرح ندهید، ممکن است تاخیر قابل توجهی در فرایند گزارش افشا بوجود بیاید که برای همه نامطلوب است. ما برای محاسبه کیفیت آسیب‌پذیری در جیبرس از استاندارد CVSS v.3 استفاده خواهیم کرد. درباره روش امتیازدهی CVSS نسخه ۳ بیشتر بدانید

قبل از شروع

  • هرگز حملات غیر فنی مانند مهندسی اجتماعی، فیشینگ یا حملات فیزیکی علیه کارکنان، کاربران یا زیرساخت های ما را امتحان نکنید!
  • هنگامی که در شک بودید، با ما از طریق آدرس ایمیل info [at] jibres.com تماس بگیرید.
  • با شرکت در برنامه گزارش باگ جیبرس، شما تصدیق می‌کنید که شرایط استفاده از خدمات جیبرس را خوانده و موافقت خود را با آن اعلام کرده‌اید.
  • مشارکت شما در این برنامه، هیچ‌گونه قانون قابل اجرا علیه شما را نقض نمی‌کند و اجازه انتشار، استفاده، مصالحه یا مختل کردن داده‌هایی که برای شما نیست را به شما نمی‌دهد.
  • فقط تست آسیب‌پذیری در سایت‌های جیبرس در محدوده مجاز بررسی هستند. برخی از سایت های میزبانی شده در زیردامنه‌های جیبرس توسط اشخاص ثالث اداره می‌شود و نباید آزمایش شود.
  • جیبرس این حق را برای خود محفوظ می‌داند که به صلاحدید خود برنامه گزارش باگ را فسخ کرده یا به آن ادامه ندهد.
  • تا زمانی که جیبرس این باگ را ارزیابی نکرده است، تقاضا و گزارش خود را علنی نکنید.

پژوهش خود را انجام دهید

سایر کاربران را با آزمایش‌های خود تحت تاثیر قرار ندهید. برای مثلا اگر می‌خواهید یک دور زدن مجوز اعتبارسنجی را دور بزنید، باید از حساب کاربری خودتان استفاده کنید.

موارد زیر هرگز مجاز نبوده و طبیعتا واجد دریافت پاداش نیز نیستند. هم‌چنین ممکن است ما به دلیل انجام این کارها حساب کاربری شما را به حالت تعلیق درآوریم و آدرس آی‌پی شما را مسدود کنیم

  • انجام حملات محروم‌سازی از سرویس یا دی‌داس DDoS یا سایر حملات حجمی.
  • محتوای هرزنامه
  • اسکنرهای مخاطرات امنیتی، خزنده‌ها یا ابزارهای خودکار در مقیاس بزرگ که باعث ایجاد ترافیک زیاد می‌شوند.
  • *توجه* تا زمانی که ابزارهای خودکار منجر به ایجاد حجم ترافیکی زیاد نشوند ما مجاز به استفاده از آن‌ها هستیم. برای مثال اجرای یک اسکن nmap برای یک هاست مجاز است اما ارسال ۱۰.۰۰۰ درخواست در یک دقیقه توسط برپ سوییت قطعا بیش از اندازه است.

تحقیق و پژوهش در مورد حمله منع سرویس فقط در صورت پیروی از این قوانین آزاد بوده و مجاز است

  • مورد مطالعه باید در حساب کاربری خود شما انجام شود.
  • اگر فکر می‌کنید که دسترسی به خدمات با انجام این کار تحت تاثیر قرار می‌گیرد و از دسترس خارج می‌شود، بلافاصله عملیات را متوقف کنید. در مورد نشان دادن تاثیر کامل آسیب‌پذیری پیدا شده، نگران نباشید. تیم امنیتی جیبرس قادر به تعیین میزان تاثیرگذاری خواهند بود.

دستورالعمل شناسایی شدت آسیب‌پذیری

تمامی گزارش‌های ارسالی به جیبرس در مقیاسی هدفمند و ساده ارزیابی می‌شوند. هر کدام از آسیب‌پذیری‌ها منحصربفرد هستند، اما دستورالعمل زیر به‌شکلی واضح به ما برای ارزیابی و دسته‌بندی شدت آسیب‌پذیری کمک می‌کند.

بحرانی

مشکلات بحرانی پی‌آمدهای مستقیم و فوری را برای جیبرس یا طیف وسیعی از کاربران ما ایجاد می‌کنند. این موارد غالبا در زیرساخت‌های ما یا اجزایی از برنامه‌های کاربردی سطح پایین و اثرگذار در سرویس‌های ما هستند.

بالا

مشکلات شدید پی‌آمدهای مثل اجازه دسترسی به مهاجم برای خواندن یا ویرایش داده‌های با حساسیت بالا را که به آن دسترسی ندارد ممکن می‌کند. از نظر وسعت معمولا این مشکلات محدودتر از مشکلات بحرانی هستند، اگرچه ممکن است هم‌چنان دسترسی گسترده‌ای را در اختیار مهاجمان قرار دهند.

متوسط

مشکلات متوسط معمولا به مهاجم اجازه خواندن یا ویرایش بخش محدودی از داده‌ها را که به آن دسترسی ندارند می‌دهد. معمولا این دسترسی‌ها به داده‌های با حساسیت کمتر از سطح شدید منجر می‌شوند.

کم

مسائل مربوط به شدت کم به شکل معمول به مهاجم اجازه می‌دهند تا به بخش به شدت محدودی از داده‌ها دسترسی پیدا کند. در این سطح معمولا چگونگی رفتار یک بخش نقض شده و خارج از انتظار عمل می‌کند، اما این امر تقریبا امکان افزایش دسترسی یا توانایی برای رفتار ناخواسته را برای مهاجم فراهم نمی‌کند.

ارسال گزارش آسیب‌پذیری

همه فناوری‌ها دارای اشکال و باگ هستند. اگر یک آسیب‌پذیری امنیتی یافتید، مایلیم تا به شما کمک کنیم تا آن را به شکل صحیح با ما در جریان بگذارید. ارسال گزارش آسیب‌پذیری در برنامه گزارش باگ جیبرس مهیا شده است. اثبات مفهوم مهم‌ترین بخش در ارسال گزارش است. مراحل شفاف و تکرارپذیر به ما کمک می‌کند تا با سرعت بیشتری مشکل را اعتبارسنجی کنیم.