کمزوریوں کے ذمہ دارانہ انکشاف کی پالیسی (VDP)

ہم سیکیورٹی ریسرچ کی قدر کرتے ہیں اور نیک نیتی پر مبنی رپورٹس قبول کرتے ہیں۔ بیرونی پین ٹیسٹ فی الحال قبول نہیں کیے جاتے۔

دائرۂ کار

• skyalo.com، *.skyalo.com

• Skyalo کی موبائل ایپس (موجودہ عوامی ورژن)

دائرۂ کار سے باہر: فریق ثالث سروسز، DoS/فلوڈ، بروٹ فورس، سوشل انجینئرنگ، فزیکل حملے، اسپام/DMARC رپورٹس، اثر کے بغیر ورژن افشا کرنا، ثابت شدہ اثر کے بغیر clickjacking، اور بغیر ایکسپلائٹ کے غائب ہیڈرز۔

قواعد

• نیک نیتی سے کام کریں، رازداری کی خلاف ورزی اور سروس میں خرابی سے بچیں۔

• صرف اپنے اکاؤنٹس/ڈیٹا استعمال کریں۔

• کسی ایسے ڈیٹا تک رسائی حاصل نہ کریں یا اسے تبدیل نہ کریں جو آپ کا نہیں ہے۔ اگر غلطی سے رسائی ہو جائے تو فوراً رک جائیں اور ہمیں اطلاع دیں۔

• دستیابی یا استحکام کو متاثر کرنے والی خودکار اسکننگ استعمال نہ کریں۔

رپورٹ کیسے بھیجیں

اس پر لکھیں [email protected]، اور یہ شامل کریں:

• متاثرہ ہوسٹ/اینڈپوائنٹ اور ماحول

• واضح reproduction steps

• کم سے کم PoC (HTTP request/response، اسکرین شاٹس)

• اثر اور شدت کا اندازہ (ترجیحاً CVSS v3.1)

• ٹیسٹنگ ونڈو اور اصل IPs

ای میل کے ذریعے خفیہ معلومات نہ بھیجیں (لاگ ان تفصیلات، ٹوکنز، DB ڈمپس) — حساس معلومات کو mask کریں۔

Safe Harbor

اس پالیسی کی پابندی کی صورت میں ہم آپ کے خلاف قانونی کارروائی نہیں کریں گے اور آپ کی سرگرمیوں کو رپورٹنگ کے مقصد سے مجاز سمجھیں گے۔

انعامات اور اعتراف

اس وقت مالی انعامات موجود نہیں ہیں۔ تصدیق شدہ، غیر دہرائی جانے والی رپورٹس کے لیے — پبلک شکریہ (Hall of Fame) اور، درخواست پر، شکریہ کا خط۔ Duplicate رپورٹس اضافی اعتراف کے بغیر بند کی جا سکتی ہیں؛ کریڈٹ پہلی درست رپورٹ کو ملتا ہے۔

مدتیں اور SLA

• موصولی کی تصدیق: 3 کاروباری دنوں

• کے اندر

• triage کے بعد اسٹیٹس: جانچ کے نتائج کے مطابقہم آہنگ انکشاف: ہم درخواست کرتے ہیں کہ اصلاح جاری ہونے تک تفصیلات شائع نہ کریں (تک 90 دن

)اصلاح کے اہداف: