سیکیورٹی

آخری اپ ڈیٹ: 15 مارچ 2026

اس سائٹ کی سیکیورٹی اور اس کے صارفین کی رازداری ہمارے لیے اہم ہے۔ ہم سیکیورٹی ریسرچرز، ڈویلپرز اور عوام کی جانب سے سیکیورٹی کمزوریوں کے ذمہ دارانہ انکشاف (responsible disclosure) کا خیر مقدم کرتے ہیں۔

یہ صفحہ ہماری responsible disclosure پالیسی بیان کرتا ہے — کمزوری کیسے رپورٹ کریں، کیا چیزیں scope میں آتی ہیں، اور ہم کیسے جواب دیں گے۔ ہم درخواست کرتے ہیں کہ ممکنہ سیکیورٹی مسائل کی جانچ اور رپورٹنگ کرتے وقت آپ ان رہنما اصولوں کی پیروی کریں۔

کمزوری رپورٹ کرنا

اگر آپ نے کوئی سیکیورٹی کمزوری دریافت کی ہے تو براہِ کرم اسے ای میل کے ذریعے ہمیں رپورٹ کریں۔ جب تک ہمیں تحقیقات اور مسئلہ حل کرنے کا مناسب موقع نہ مل جائے، کمزوری کو عوامی طور پر ظاہر نہ کریں۔

contact@freeonlinenosignup.com

براہِ کرم subject line میں "Security Vulnerability Report" لکھیں اور درج ذیل میں سے زیادہ سے زیادہ معلومات فراہم کریں:

  • کمزوری کی واضح وضاحت اور اس کا ممکنہ اثر
  • متاثرہ URL، endpoint یا component
  • مسئلہ دوبارہ پیدا کرنے کی مرحلہ وار ہدایات
  • کوئی proof-of-concept کوڈ، اسکرین شاٹس، یا request/response مثالیں
  • اگر آپ کریڈٹ چاہتے ہیں تو آپ کا نام یا handle (اختیاری)

Scope

ذمہ دارانہ انکشاف کے لیے درج ذیل چیزیں scope میں سمجھی جاتی ہیں:

  • Cross-site scripting (XSS)
  • Cross-site request forgery (CSRF)
  • Server-side injection کمزوریاں (SQL injection، command injection وغیرہ)
  • Authentication یا authorisation bypass
  • حساس ڈیٹا کا انکشاف یا معلومات کا لیک ہونا
  • سیکیورٹی misconfigurations جو حملہ آور استعمال کر سکے
  • Open redirects جو phishing میں استعمال ہو سکیں
  • Insecure direct object references
  • Remote code execution

Scope سے باہر

درج ذیل چیزیں scope سے باہر سمجھی جاتی ہیں اور انہیں درست vulnerability reports کے طور پر قبول نہیں کیا جائے گا:

  • Denial of service (DoS یا DDoS) حملے یا ٹیسٹنگ
  • سائٹ کے کسی حصے پر brute force حملے
  • پہلے سے تحریری اجازت کے بغیر automated scanning
  • ہمارے صارفین یا اسٹاف کو نشانہ بنانے والی social engineering یا phishing
  • جسمانی سیکیورٹی کے مسائل
  • تھرڈ پارٹی سروسز، لائبریریز یا انفراسٹرکچر کی کمزوریاں جو براہِ راست ہمارے کنٹرول میں نہیں — انہیں متعلقہ vendor کو رپورٹ کریں
  • ایسے missing security headers جو اس مخصوص سیاق میں قابلِ استحصال کمزوری ثابت نہ کرتے ہوں
  • theoretical vulnerabilities جن کا کوئی working proof of concept یا واضح impact نہ ہو
  • ایسے مسائل جن میں صارف نے پہلے ہی اپنا ڈیوائس یا براؤزر compromise کیا ہو

آپ کیا توقع رکھیں

جب آپ vulnerability report جمع کرواتے ہیں تو آپ ہم سے یہ توقع رکھ سکتے ہیں:

1

موصولی کی تصدیق

ہم 3 کاروباری دنوں کے اندر آپ کی رپورٹ موصول ہونے کی تصدیق کریں گے۔

2

تحقیق

ہم رپورٹ کی تحقیق کریں گے اور مسئلے کی درستگی اور شدت کا اندازہ لگائیں گے۔ مزید معلومات کی ضرورت ہو تو ہم سوالات کر سکتے ہیں۔

3

حل

تصدیق شدہ کمزوریوں کے لیے ہم مسئلہ جلد از جلد حل کرنے کی کوشش کریں گے، شدت کے مطابق ترجیح دیتے ہوئے۔ ہم آپ کو پیش رفت سے آگاہ رکھتے رہیں گے۔

4

انکشاف

جب مسئلہ حل ہو جائے، تو اگر آپ چاہیں تو ہم آپ کے ساتھ عوامی انکشاف کو کوآرڈینیٹ کر سکتے ہیں۔ براہِ کرم تفصیلات شائع کرنے سے پہلے ہمیں مناسب remediation مدت دیں۔

ہماری ذمہ داریاں

جب آپ نیک نیتی سے اور اس پالیسی کے مطابق کمزوری رپورٹ کرتے ہیں تو ہم یہ وعدہ کرتے ہیں کہ:

  • آپ کی تحقیق کے سلسلے میں آپ کے خلاف قانونی کارروائی نہیں کریں گے
  • آپ کی رپورٹ کو خفیہ رکھیں گے اور آپ کی اجازت کے بغیر آپ کی ذاتی تفصیلات شیئر نہیں کریں گے
  • مسئلے کی حیثیت کے بارے میں آپ کو آگاہ رکھیں گے
  • اگر آپ چاہیں اور مسئلہ تصدیق ہو جائے تو آپ کو کریڈٹ دیں گے
  • تصدیق شدہ کمزوریوں کو بروقت حل کرنے کے لیے کام کریں گے

اس کے بدلے ہم آپ سے درخواست کرتے ہیں کہ آپ ایسا ڈیٹا نہ دیکھیں، نہ تبدیل کریں، اور نہ حذف کریں جو آپ کا نہیں؛ سائٹ کی دستیابی میں خلل نہ ڈالیں؛ اور دوسرے صارفین کے اکاؤنٹس یا ڈیٹا پر ٹیسٹنگ نہ کریں۔

رابطہ

اس پالیسی کے بارے میں عمومی سوالات (vulnerability reports کے علاوہ) کے لیے رابطہ صفحہ استعمال کریں۔ غیر سیکیورٹی بگ رپورٹس کے لیے مسئلہ رپورٹ کریں صفحہ استعمال کریں۔