امنیت

آخرین به‌روزرسانی: ۱۵ مارس ۲۰۲۶

امنیت این سایت و حریم خصوصی کاربران آن برای ما مهم است. ما از افشای مسئولانه آسیب‌پذیری‌های امنیتی از سوی پژوهشگران امنیت، توسعه‌دهندگان و عموم استقبال می‌کنیم.

این صفحه سیاست افشای مسئولانه ما را توضیح می‌دهد — نحوه گزارش آسیب‌پذیری، موارد در دامنه (scope) و نحوه پاسخ‌گویی ما. لطفاً هنگام بررسی و گزارش مسائل احتمالی امنیتی، این دستورالعمل‌ها را دنبال کنید.

گزارش یک آسیب‌پذیری

اگر یک آسیب‌پذیری امنیتی کشف کرده‌اید، لطفاً از طریق ایمیل آن را گزارش کنید. تا زمانی که فرصت معقولی برای بررسی و رفع مشکل نداشته باشیم، آسیب‌پذیری را به‌صورت عمومی افشا نکنید.

contact@freeonlinenosignup.com

لطفاً عبارت "Security Vulnerability Report" را در عنوان ایمیل درج کنید و تا حد ممکن موارد زیر را ارائه دهید:

  • توضیح روشن از آسیب‌پذیری و تأثیر احتمالی آن
  • URL، endpoint یا کامپوننت تحت تأثیر
  • دستورالعمل‌های گام‌به‌گام برای بازتولید
  • هرگونه کد اثبات مفهوم، اسکرین‌شات یا نمونه‌های request/response
  • نام یا شناسه شما در صورت تمایل به ذکر نام (اختیاری)

دامنه (Scope)

موارد زیر در دامنه افشای مسئولانه محسوب می‌شوند:

  • Cross-site scripting (XSS)
  • Cross-site request forgery (CSRF)
  • آسیب‌پذیری‌های تزریق سمت سرور (SQL injection، command injection و ...)
  • دور زدن احراز هویت یا مجوزدهی
  • افشای داده‌های حساس یا نشت اطلاعات
  • پیکربندی‌های نادرست امنیتی که قابل سوءاستفاده توسط مهاجم باشد
  • Open redirect که می‌تواند در حملات فیشینگ استفاده شود
  • Insecure direct object references
  • اجرای کد از راه دور (Remote code execution)

خارج از دامنه

موارد زیر خارج از دامنه محسوب می‌شوند و به‌عنوان گزارش معتبر پذیرفته نمی‌شوند:

  • حملات یا آزمایش‌های عدم ارائه سرویس (DoS یا DDoS)
  • حملات brute force علیه هر بخش از سایت
  • اسکن خودکار بدون مجوز کتبی قبلی
  • مهندسی اجتماعی یا حملات فیشینگ علیه کاربران یا کارکنان
  • مسائل امنیت فیزیکی
  • آسیب‌پذیری‌های سرویس‌ها، کتابخانه‌ها یا زیرساخت‌های شخص ثالث که مستقیماً تحت کنترل ما نیستند — لطفاً به فروشنده مربوطه گزارش کنید
  • نبودن security headerها که در این زمینه مشخص، آسیب‌پذیری قابل بهره‌برداری و اثبات‌شده ایجاد نکند
  • آسیب‌پذیری‌های نظری بدون proof of concept عملی یا اثر نشان‌داده‌شده
  • مسائلی که نیازمند این باشد که کاربر از قبل دستگاه یا مرورگر خودش را آلوده کرده باشد

چه انتظاری داشته باشید

پس از ارسال گزارش آسیب‌پذیری، می‌توانید انتظار موارد زیر را از ما داشته باشید:

1

تأیید دریافت

دریافت گزارش شما را ظرف ۳ روز کاری تأیید می‌کنیم.

2

بررسی

گزارش را بررسی می‌کنیم و اعتبار و شدت آن را ارزیابی می‌کنیم. اگر به اطلاعات بیشتری نیاز داشته باشیم ممکن است با شما تماس بگیریم.

3

رفع مشکل

برای آسیب‌پذیری‌های تأییدشده، تلاش می‌کنیم هرچه سریع‌تر مشکل را برطرف کنیم و بر اساس شدت اولویت‌بندی کنیم. شما را از پیشرفت مطلع نگه می‌داریم.

4

افشای عمومی

پس از رفع مشکل، در صورت تمایل می‌توانیم هماهنگی لازم برای افشای عمومی را انجام دهیم. لطفاً پیش از انتشار جزئیات، زمان معقولی برای اصلاح به ما بدهید.

تعهدات ما

وقتی یک آسیب‌پذیری را با حسن نیت و مطابق با این سیاست گزارش می‌دهید، ما متعهد می‌شویم:

  • در ارتباط با پژوهش شما اقدام قانونی علیه شما انجام ندهیم
  • گزارش شما را محرمانه نگه داریم و بدون رضایت شما جزئیات شخصی‌تان را به اشتراک نگذاریم
  • شما را از وضعیت مشکل مطلع نگه داریم
  • در صورت تمایل، در صورتی که مشکل تأیید شود، از شما برای کشف آن قدردانی کنیم
  • برای رفع به‌موقع آسیب‌پذیری‌های تأییدشده اقدام کنیم

در مقابل، از شما می‌خواهیم به داده‌هایی که متعلق به شما نیست دسترسی پیدا نکنید، آن‌ها را تغییر ندهید یا حذف نکنید؛ دسترس‌پذیری سایت را مختل نکنید؛ و روی حساب‌ها یا داده‌های سایر کاربران تست انجام ندهید.

تماس

برای سوالات عمومی درباره این سیاست (غیر از گزارش آسیب‌پذیری)، از صفحه تماس استفاده کنید. برای گزارش باگ‌های غیرامنیتی، از صفحه گزارش مشکل استفاده کنید.