দুকানে, নিরাপত্তা আমাদের সর্বোচ্চ অগ্রাধিকার!
আপনি যদি একজন বাগ হান্টার, নিরাপত্তা গবেষক বা একজন হোয়াইট হ্যাট হ্যাকার হন, তাহলে Dukaan আপনাকে নিরাপত্তার দুর্বলতা শনাক্ত করতে আপনার দক্ষতা দেখানোর সুযোগ দিচ্ছে এবং বিনিময়ে পুরস্কৃত/স্বীকৃত হবে।
যদি আপনি একটি দুর্বলতা খুঁজে পান, আমরা দায়িত্বশীলভাবে আমাদের কাছে রিপোর্ট করার জন্য আপনার সহযোগিতার প্রশংসা করি যাতে আমরা যত তাড়াতাড়ি সম্ভব এটি সমাধান করতে পারি।
আমরা Dukaan-এর সমস্ত প্ল্যাটফর্ম সুরক্ষিত রাখার জন্য যথাসাধ্য চেষ্টা করি, এবং আমাদের অভ্যন্তরীণ নিরাপত্তা দল এবং বহিরাগত নিরাপত্তা পরামর্শদাতাদের সাথে কাজ করে সর্বশেষ হুমকির শীর্ষে থাকার জন্য সর্বাত্মক প্রচেষ্টা করি। আপনি যদি কোনো নিরাপত্তা সমস্যা বা দুর্বলতা খুঁজে পান, অনুগ্রহ করে এখানে রিপোর্ট করুন।
আমরা ক্রমাগত সম্পর্ক তৈরি করতে চাই এবং যতটা সম্ভব নিরাপত্তা প্রযুক্তি উত্সাহীদের সাথে কাজ করতে চাই, এবং এই ধরনের যে কোনও সমস্যাকেও মোটামুটিভাবে পুরস্কৃত করতে চাই।
প্রোগ্রামের নিয়ম
- অন্য ব্যবহারকারীদের গোপনীয়তা লঙ্ঘন করবেন না, ডেটা ধ্বংস করবেন না, আমাদের পরিষেবাগুলি ব্যাহত করবেন না ইত্যাদি।
- সমস্যাটির প্রতিক্রিয়া জানাতে আমাদের একটি যুক্তিসঙ্গত সময় দিন যাতে আমাদের দল তীব্রতা, দৃশ্যকল্প এবং জটিলতাকে কাজে লাগানোর জন্য অগ্রাধিকার দিয়ে সমস্ত প্রতিবেদনের বিচার করার চেষ্টা করবে। রিপোর্ট করা দুর্বলতার প্রতিকার করা হলে আমরা আপনাকে অবহিত করব এবং আপনি নিশ্চিত করতে পারেন যে সমাধানটি পর্যাপ্তভাবে দুর্বলতা কভার করে।
- কোনো বাগ/অনুসন্ধান তদন্তের প্রক্রিয়ায় শুধুমাত্র আপনার নিজের অ্যাকাউন্টগুলিকে লক্ষ্য করুন। আমাদের দলের স্পষ্ট অনুমতি ছাড়া অন্য ব্যবহারকারীদের অ্যাকাউন্টগুলিকে লক্ষ্য করবেন না, অ্যাক্সেস করার চেষ্টা করবেন না বা অন্যথায় ব্যাহত করবেন না।
- আমাদের শারীরিক নিরাপত্তা ব্যবস্থাকে টার্গেট করবেন না বা সোশ্যাল ইঞ্জিনিয়ারিং, স্প্যাম, ডিস্ট্রিবিউটেড ডিনায়াল অফ সার্ভিস (DDOS) আক্রমণ ইত্যাদি ব্যবহার করার চেষ্টা করবেন না।
- যদি আপনি একটি গুরুতর দুর্বলতা খুঁজে পান যা সিস্টেম অ্যাক্সেসের অনুমতি দেয়, তাহলে আপনাকে আর এগিয়ে যেতে হবে না।
- কখন এবং কীভাবে বাগগুলি সমাধান করা এবং ঠিক করা উচিত তা নির্ধারণ করার জন্য এটি ডুকানের সিদ্ধান্ত।
- দুকান ব্যতীত অন্য কোনও পক্ষের কাছে বাগ প্রকাশ করা নিষিদ্ধ, সমস্ত বাগ রিপোর্ট রিপোর্টার এবং দুকানের বিবেচনার উপর থাকবে।
- যেকোনো ধরনের হুমকি স্বয়ংক্রিয়ভাবে আপনাকে প্রোগ্রামে অংশগ্রহণ থেকে অযোগ্য করে দেবে।
- আপনার নিজের বা অন্যের সুবিধার জন্য দুর্বলতা শোষণ বা অপব্যবহার করা স্বয়ংক্রিয়ভাবে প্রতিবেদনটিকে অযোগ্য করে দেবে৷
- Dukaan এর সিকিউরিটি টিমের সাথে বাগ ডিসক্লোজার যোগাযোগ গোপন রাখতে হবে। বাগ রিপোর্ট বন্ধ হওয়ার পরে গবেষকদের অবশ্যই দুর্বলতা (POC কোড, ভিডিও, স্ক্রিনশট) নথিভুক্ত করার জন্য তৈরি করা সমস্ত শিল্পকর্ম ধ্বংস করতে হবে।
যোগ্যতা
- আমাদের কাছে সমস্যাটি রিপোর্ট করার জন্য প্রথম হন৷
- দুর্বলতা বিভাগগুলির অধীনে স্পষ্টভাবে তালিকাভুক্ত একটি আইটেমের সাথে সম্পর্কিত হতে হবে।
- যেখানে প্রয়োজন সেখানে ধারণার স্ক্রিনশট, ভিডিও বা কোড স্নিপেটের প্রমাণ সহ পর্যাপ্ত তথ্য থাকতে হবে।
- আপনি আপনার রিপোর্টে প্রয়োগ করা পাল্টা ব্যবস্থার কার্যকারিতা পরীক্ষায় অংশগ্রহণ করতে সম্মত হন।
- আপনি দুকানের সাথে যেকোন যোগাযোগ গোপন রাখতে রাজি।
দুর্বলতা বিভাগ
দুর্বলতার ধরন
- ক্রস সাইট অনুরোধ জালিয়াতি
- ক্রস-সাইট স্ক্রিপ্টিং
- রিডাইরেক্ট খুলুন
- ক্রস অরিজিন রিসোর্স শেয়ারিং
- এসকিউএল ইনজেকশন
- সার্ভার সাইড অনুরোধ জালিয়াতি
- বিশেষাধিকার বৃদ্ধি
- স্থানীয় ফাইল অন্তর্ভুক্তি
- দূরবর্তী ফাইল অন্তর্ভুক্তি
- সংবেদনশীল তথ্য ফাঁস
- প্রমাণীকরণ বাইপাস
- ডিরেক্টরি ট্রাভার্সাল
- পেমেন্ট ম্যানিপুলেশন
- রিমোট কোড এক্সিকিউশন
- তথ্য প্রকাশ
- সাবডোমেন টেকওভার
- অনিরাপদ প্রত্যক্ষ অবজেক্ট রেফারেন্স (IDOR)
বর্জন
- এমন কোনো সেরা নিরাপত্তা অনুশীলন মিস করা হয়েছে যা একটি দুর্বলতা নয়
- সেলফ এক্সএসএস
- ব্যবহারকারীর নাম বা ইমেল ঠিকানা গণনা
- ইমেইল বোমা হামলা
- এইচটিএমএল ইনজেকশন
- স্যান্ডবক্স ওরফে ব্যবহারকারী-সামগ্রী ডোমেনে XSS দুর্বলতা
- অপ্রমাণিত ওরফে ওপেন রিডাইরেক্ট বা ট্যাবনাবিং
- অপ্রমাণিত পৃষ্ঠাগুলিতে বা কোনও উল্লেখযোগ্য রাষ্ট্র-পরিবর্তন ক্রিয়া ছাড়াই পৃষ্ঠাগুলিতে ক্লিকজ্যাকিং৷
- লগআউট বা অননুমোদিত CSRF
- অ-সংবেদনশীল কুকিগুলিতে কুকি পতাকা অনুপস্থিত৷
- অনুপস্থিত নিরাপত্তা শিরোনাম যা সরাসরি দুর্বলতার দিকে নিয়ে যায় না
- স্বয়ংক্রিয় সরঞ্জাম বা স্ক্যান থেকে অপ্রমাণিত ফলাফল
- "ব্যাক" বোতাম যা লগআউট করার পরেও কাজ করে
- এমন আক্রমণ যা ব্যবহারকারীর ডিভাইসে শারীরিক অ্যাক্সেসের প্রয়োজন
- সামাজিক প্রকৌশলী
- একটি পরিচিত-সুরক্ষিত লাইব্রেরির ব্যবহার (শোষণের প্রমাণ ছাড়াই)
- কোনো সংবেদনশীল তথ্য ছাড়াই নিম্ন-প্রভাব বর্ণনামূলক ত্রুটি পৃষ্ঠা এবং তথ্য প্রকাশ
- SPF/DKIM/DMARC/BIMI রেকর্ডগুলি অবৈধ বা অনুপস্থিত৷
- পাসওয়ার্ড এবং অ্যাকাউন্ট নীতি, যেমন (তবে সীমাবদ্ধ নয়) রিসেট লিঙ্কের মেয়াদ বা পাসওয়ার্ড জটিলতা
- ইউনিকোড/পুনিকোড বা RTLO সমস্যার মাধ্যমে ফিশিং ঝুঁকি
- শেষ পয়েন্টে হারের সীমাবদ্ধতা অনুপস্থিত (কোনও নিরাপত্তা উদ্বেগ ছাড়াই)
- ফাইল আপলোডগুলিতে EXIF তথ্যের উপস্থিতি
- এক্সিকিউটেবল আপলোড/ডাউনলোড করার ক্ষমতা
সুযোগ
প্রশ্ন আছে? আমরা উত্তর পেয়েছি!
ডুকান বাগ বাউন্টি প্রোগ্রাম সম্পর্কে আপনার যদি কোনো প্রশ্ন বা অভিযোগ থাকে, তাহলে অনুগ্রহ করে [email protected] ইমেল ঠিকানা ব্যবহার করে আমাদের সাথে যোগাযোগ করুন।
Translated to Bengali