cryptoservers.io
تشغيل خادم

الإفصاح الأمني

كيفية الإبلاغ عن ثغرة أمنية في بنيتنا التحتية أو خدماتنا، وما يحدث بعد ذلك.

ساري المفعول 2026-04-01 آخر تحديث 2026-04-22 الإصدار v2.0 موقَّع بـ 0xA62AEDAF647EE3E6
Cryptoservers legal and policy seal

الإبلاغ عن ثغرة

إن كنتَ تعتقد أنكَ اكتشفتَ ثغرة أمنية تؤثر على cryptoservers.io أو البنية التحتية الأساسية، يُرجى الإبلاغ عنها عبر إحدى القنوات التالية:

  • البريد الإلكتروني[email protected]، ويُفضَّل مشفَّراً بـ PGP باستخدام مفتاحنا العام.
  • security.txt — جهة اتصال قابلة للقراءة آلياً على /.well-known/security.txt وفق RFC 9116.
  • HackerOne الخاص — بالدعوة؛ اذكر اسم مستخدمكَ على HackerOne في بريدكَ الإلكتروني الأولي.

يُرجى عدم الإبلاغ عن الثغرات عبر القنوات العامة (مشكلات GitHub، وTwitter، وMastodon، وتذاكر الدعم) قبل أن تُتاح لنا فرصة الرد.

النطاق

ضمن النطاق

  • موقع cryptoservers.io وجميع النطاقات الفرعية.
  • لوحة تحكم العميل (panel.cryptoservers.io).
  • دليل /.well-known/ ومحتواه الموقَّع.
  • ثغرات الإفلات من المشرف الافتراضي، والانتقال من المضيف إلى الضيف، ومن الضيف إلى الضيف، والترحيل المباشر التي تؤثر على نسيج KVM لدينا.
  • التحايل على المصادقة / التفويض في اللوحة أو تدفق OAuth الخاص بها.
  • كشف المعلومات الشخصية للعميل أو بيانات الدفع.

خارج النطاق

  • المحتوى الذي يستضيفه العملاء أو الخدمات التي يُشغّلها العملاء على بنيتنا التحتية — تواصل مع العميل مباشرةً أو استخدم abuse@.
  • اختبارات رفض الخدمة ضد بنيتنا التحتية.
  • الهندسة الاجتماعية ضد موظفينا.
  • نتائج الماسحات الآلية دون تأثير قابل للإثبات.
  • رؤوس الأمان المفقودة التي لا تُفضي مباشرةً إلى ثغرة.
  • إصدارات البرامج القديمة على الواجهات التسويقية دون استغلال فعّال.

ما يحدث بعد الإبلاغ

  1. الإقرار خلال 24 ساعة، 7 أيام في الأسبوع. موقَّع بـ PGP.
  2. الفرز خلال 72 ساعة — تقييم الخطورة وتقدير أولي لوقت المعالجة.
  3. الإصلاح والتحقق — نُطلق إصلاحاً، نطلب منكَ التحقق، ثم ننشره في الإنتاج.
  4. الإفصاح المنسَّق — متفق عليه معكَ، عادةً 90 يوماً بعد إطلاق الإصلاح. سننشر تقرير ما بعد الحادثة مع منحكَ الفضل (أو بصورة مجهولة الهوية بناءً على الطلب).
  5. المكافأة — راجع قسم المكافآت أدناه.

جدول المكافآت

تُدفع بالدولار الأمريكي USD (عبر تحويل مصرفي) أو العملة المشفرة من اختياركَ (BTC, XMR, LTC, ETH, DASH, BCH, DOGE) بسعر الصرف الفوري يوم المنح.

الخطورة (CVSS v3.1)المكافأةمثال
حرجة (9.0 – 10.0)$5,000 – $15,000إفلات من المشرف الافتراضي، RCE في اللوحة، تسريب PII جماعي
عالية (7.0 – 8.9)$1,500 – $5,000RCE بعد المصادقة، تصعيد الامتيازات في اللوحة، SSRF إلى الشبكة الداخلية
متوسطة (4.0 – 6.9)$300 – $1,500XSS مخزَّن في اللوحة، IDOR يكشف بيانات غير شخصية
منخفضة (0.1 – 3.9)$50 – $300إعادة توجيه مفتوحة، غياب تحديد المعدل دون تأثير مباشر

تُمنح التقارير المكررة على أساس أول تقديم صالح. أعلى مكافأة دفعناها حتى الآن هي $12,000 (2025-09-11، TOCTOU في الترحيل المباشر للمشرف الافتراضي). جميع الباحثين الصالحين مُدرَجون في قاعة الشرف عند الموافقة.

الملاذ الآمن

لا يُعدّ البحث المُجرى ضمن نطاق هذه السياسة وروحها وصولاً غير مصرَّح به بموجب قانون Saint Kitts أو قانون ولاياتنا التشغيلية، ولن نتخذ إجراءات مدنية أو جنائية ضد الباحثين المتصرفين بحسن نية. تحديداً:

  • لا تُسرّب من البيانات أكثر مما يلزم لإثبات التأثير — لقطة شاشة واحدة كافية.
  • لا تُشغّل إجراءات هدّامة (حذف بيانات العملاء، أو إيقاف الخدمات، أو تعديل حالة الإنتاج).
  • أوقف وأبلغ فور إثبات التأثير.
  • لا تشارك النتائج مع أطراف ثالثة قبل تاريخ الإفصاح المنسَّق.

إن خرجتَ من النطاق عن طريق الخطأ — بنية حسنة — تواصل معنا فوراً وسنعالج الأمر معاً.

هذا المستند v2.0, ساري المفعول 2026-04-01, آخر تحديث 2026-04-22. نسخة موقَّعة بـ PGP متاحة عند الطلب على [email protected].