إجابة
لا يوفر Jotform أي هدف استجابة لهذا البرنامج.
سياسة الإفصاح
- قم بإخطارنا بعد اكتشاف مشكلة أمنية حقيقية أو محتملة.
- أرسل وصفًا نصيًا واضحًا للثغرة الأمنية مع خطوات إعادة إنتاج الثغرة الأمنية.
- لكي يكون تقرير الثغرات الأمنية مفهومًا، يمكنك تضمين مرفقات مثل الفيديو أو لقطات الشاشة أو إثبات رمز المفهوم حسب الضرورة.
- لا تضر أكثر مما تنفع. يجب ألا تترك الأنظمة أو المستخدمين في حالة أكثر عرضة للخطر مما كانت عليه عندما وجدتهم. يجب ألا تشارك في الاختبارات أو الأنشطة ذات الصلة التي تؤدي إلى تدهور المعلومات أو إتلافها أو إتلافها داخل أنظمتنا، أو التي قد تؤثر على مستخدمينا. أثناء البحث عن ثغرة أمنية، إذا لم تكن متأكدًا مما إذا كان يجب عليك الاستمرار، فيرجى التواصل على الفور مع\nفريق Jotform للحماية.
المجال
أنظمة المعلومات التي يمكن الوصول إليها بشكل عام أو ملكية الويب أو البيانات التي تمتلكها Jotform أو تديرها أو تسيطر عليها.
الثغرات الغير مؤهلة
- Tab-nabbing.
- Click-jacking/UI-redressing أو المشاكل التي يمكن استغلالها عن طريق click-jacking.
- إعادة توجيه مفتوحة - ما لم يكن من الممكن إثبات تأثير أمني إضافي (مثل سرقة رمز المصادقة ومفاتيح API وما إلى ذلك).
- هجمات رفض الخدمة.
- Self-XSS بدون سيناريو هجوم منطقي.
- إضافة HTML إلى رسائل البريد الإلكتروني التي سيتم إرسالها عبر Jotform.
- Fingerprinting على الخدمات المعروفة/العامة
- الكشف عن الملفات أو الدلائل العامة المعروفة (مثل robots.txt و sitemap.xml).
- الكشف عن المعلومات دون تأثير كبير.
- نسخة SSL/TLS ومشاكل الإعدادات والشيفرات الضعيفة أو الشهادات المنتهية.
- هجمات CSRF مع الحد الأدنى من الآثار الأمنية. (مثلاً CSRF عملية التسجيل والدخول).
- مشاكل متعلقة بـ SPF/DKIM/DMARC
- نقص أو خطأ في إعداد عناوين الأمن الرئيسية (مثل CSP, HSTS) التي لا تؤدي إلى ضعف بشكل مباشر.
- نقص Secure أو HTTPOnly في ملفات الإرتباط
- الكشف عن إصدارات البرامج المعرضة للخطر بدون دليل على قابلية الاستغلال.
- تقارير من أدوات الأتمتة.
- هجمات CSV injection.
- عدم تجريد الصور من بيانات EXIF الوصفية.
- هجمات Brute-force.
- السيناريوهات التي تتطلب تفاعل مستخدم غير محتمل و/أو إصدار نظام تشغيل أو برنامج قديم.
- هجمات تتطلب رجل في الوسط(MITM) أو أو الوصول الفيزيائي إلى جهاز المستخدم.
- الأخطاء التي لا تشكل أي مخاطر أمنية.
أولوياتنا تشمل
- كشف البيانات الحساسة
- هجمات Remote Code Execution (RCE)
- هجمات Server-Side Request Forgery (SSRF)
- هجمات Cross-site Scripting (XSS)
- هجمات Cross-site Request Forgery (CSRF)
- هجمات SQL Injection
- هجمات XML External Entity (XXE)
- ثغرات التحكم في الوصول (مرجع كائن مباشر غير آمن، تصعيد الامتياز، وصول معطل، إلخ.)
- مشكلات اجتياز المسار/الدليل
قواعد البرنامج
- لا تستخدم أبدًا أي نتائج لتسوية النظام أو سحب البيانات أو تحويلها إلى أنظمة أخرى. أرسل تقريرك بمجرد اكتشاف ثغرة أمنية.
- إذا عثرت على معلومات حساسة، مثل المعلومات الشخصية وبيانات الاعتماد وما إلى ذلك، أثناء التقييم؛ لا تحفظ البيانات أو المعلومات الشخصية أو تنسخها أو تخزنها أو تنقلها أو تفصح عنها أو تحتفظ بها بأي طريقة أخرى.
- لا تقم بإجراء هندسة اجتماعية أو تصيد احتيالي أو هجمات أمنية مادية ضد مكاتب Jotform أو مستخدميها أو موظفيها.
- يُحظر الكشف عن أي ثغرات دون إذن صريح من Jotform.
- التعامل باحترام مع أعضاء الفريق.
إذا لم تتبع القواعد، فقد يتم منعك من برنامج الكشف عن الثغرات الأمنية في Jotform.
يحتفظ Jotform بالحق في تعديل قواعد هذا البرنامج أو اعتبار أي إستجابات غير صالحة في أي وقت. لا توجد مكافأة مالية مرتبطة ببرنامج الكشف عن الثغرات الأمنية. يجوز لـ Jotform إيقاف برنامج الكشف عن الثغرات الأمنية دون إشعار في أي وقت.
الإفشاء
يرجى ملاحظة أنه لا توجد اتفاقية مستوى الخدمة (SLA) مرتبطة ببرنامج الكشف عن الثغرات الأمنية وأن الردود على تقاريرك تكون وفقًا لتقدير Jotform وحدها. بغض النظر عما إذا كنت قد تلقيت ردًا منا أم لا، فإن هذا البرنامج لا يسمح بالإفصاح من جانبك لأي طرف آخر. لا يجوز لك الكشف علنًا عن معلومات حول نقاط الضعف الموجودة في هذا البرنامج، ولا مشاركة النتائج التي توصلت إليها مع باحثين أمنيين آخرين.
الملاذ الآمن
سيتم اعتبار أي أنشطة يتم إجراؤها بطريقة تتوافق مع هذه السياسة سلوكًا مصرحًا به. إذا تم اتخاذ أي إجراء قانوني من قبل طرف آخر ضدك بما يتعلق بالأنشطة التي تمت بناءً على هذه السياسة، سنتخذ خطوات للإبلاغ عن أن أفعالك قد تم تنفيذها وفقًا لهذه السياسة.
شكرًا لك على المساعدة في الحفاظ على أمان Jotform ومستخدمينا!