سیاست افشای مسئولانه آسیب‌پذیری‌ها (VDP)

ما برای پژوهش‌های امنیتی ارزش قائلیم و گزارش‌های حسن‌نیت را می‌پذیریم. در حال حاضر تست نفوذ خارجی پذیرفته نمی‌شود.

دامنه

• skyalo.com، *.skyalo.com

• اپلیکیشن‌های موبایل Skyalo (نسخه‌های عمومی و فعلی)

خارج از دامنه: سرویس‌های ثالث، DoS/فلاود، بروت‌فورس، مهندسی اجتماعی، حملات فیزیکی، اسپم/گزارش‌های DMARC، افشای نسخه بدون اثر واقعی، clickjacking بدون اثبات اثر، هدرهای مفقود بدون بهره‌برداری.

قوانین

• با حسن نیت عمل کنید و از نقض حریم خصوصی و کاهش کیفیت سرویس خودداری کنید.

• فقط از حساب‌ها/داده‌های خودتان استفاده کنید.

• هیچ داده‌ای را که متعلق به شما نیست دریافت یا تغییر ندهید. اگر به‌طور اتفاقی به داده‌ای دسترسی پیدا کردید، فوراً متوقف شوید و به ما اطلاع دهید.

• از اسکن خودکار که بر دسترس‌پذیری/پایداری اثر می‌گذارد استفاده نکنید.

نحوه ارسال گزارش

به [email protected] ایمیل بزنید و موارد زیر را ضمیمه کنید:

• میزبان/اندپوینت و محیط درگیر

• مراحل دقیق بازتولید

• حداقل PoC (درخواست/پاسخ HTTP، اسکرین‌شات‌ها)

• برآورد اثر و شدت (ترجیحاً CVSS v3.1)

• بازه زمانی تست و IPهای مبدأ

از ارسال اسرار از طریق ایمیل خودداری کنید (نام‌های کاربری و رمزها، توکن‌ها، dumpهای پایگاه‌داده) — اطلاعات حساس را ماسک کنید.

Safe Harbor

در صورت رعایت این سیاست، ما هیچ اقدام حقوقی علیه شما انجام نمی‌دهیم و فعالیت شما را برای اهداف گزارش‌دهی مجاز تلقی می‌کنیم.

پاداش و قدردانی

در حال حاضر پاداش نقدی در نظر گرفته نشده است. برای گزارش‌های تأییدشده و غیرتکراری — قدردانی عمومی (Hall of Fame) و در صورت درخواست، نامه تقدیر. گزارش‌های تکراری ممکن است بدون قدردانی بیشتر بسته شوند؛ اعتبار به نخستین گزارش معتبر تعلق می‌گیرد.

زمان‌بندی و SLA

• تأیید دریافت: ظرف 3 روز کاری

• وضعیت پس از triage: پس از بررسی

• افشای هماهنگ‌شده: لطفاً تا انتشار اصلاحیه جزئیات را عمومی نکنید (تا 90 روز)

اهداف زمان رفع: بحرانی — 7 روز؛ بالا — 30 روز؛ متوسط — 90 روز؛ پایین — طبق برنامه.