OLX VDP নীতিতে স্বাগতম 👋
OLX হল আপনার স্থানীয়ভাবে কেনা-বেচা করার জন্য অনলাইন মার্কেটপ্লেস, যেখানে ভিনটেজ জামাকাপড় এবং প্রাচীন আসবাবপত্র থেকে শুরু করে ইলেক্ট্রনিক্স, গাড়ি এবং আরও অনেক কিছু পূর্ব-মালিকানাধীন আইটেম রয়েছে। স্থানীয় লেনদেনের জন্য সবচেয়ে বড় এবং দ্রুত বর্ধনশীল অ্যাপ হিসেবে আমরা নিজেদেরকে গর্বিত করি। আমাদের ভলনারেবিলিটি ডিসক্লোজার প্রোগ্রামে আপনার অংশগ্রহণ আমাদের প্ল্যাটফর্মের নিরাপত্তা এবং নির্ভরযোগ্যতা নিশ্চিত করতে সাহায্য করে। সকলের জন্য OLX কে একটি নিরাপদ এবং বিশ্বস্ত মার্কেটপ্লেস তৈরি করতে আমাদের সাথে যোগ দেওয়ার জন্য আপনাকে ধন্যবাদ!
প্রকাশ নীতি:
- আমরা অনুরোধ করছি যে আপনি একটি সম্ভাব্য নিরাপত্তা দুর্বলতা আবিষ্কার করার সাথে সাথে আমাদের জানান।
- আমাদের দল সমস্যা সমাধানের জন্য দ্রুত কাজ করবে। আমরা একটি যুক্তিসঙ্গত সময়ের জন্য জিজ্ঞাসা
জনসাধারণ বা কোনো তৃতীয় পক্ষের কাছে প্রকাশ করার আগেই সমস্যাটির সমাধান করুন।
- আমরা দয়া করে অনুরোধ করছি যে আপনি গোপনীয়তা লঙ্ঘন, ক্ষতিকর এড়াতে আন্তরিক প্রচেষ্টা করুন৷
ডেটা, বা যে কোনও উপায়ে আমাদের পরিষেবাগুলি ব্যাহত করা।
রিপোর্টিং নির্দেশিকা
- পদক্ষেপ সহ রিপোর্টের স্পষ্ট পাঠ্য বিবরণ সহ বিস্তারিত প্রতিবেদন প্রদান করুন
দুর্বলতা পুনরুত্পাদন করতে.
- প্রয়োজনে আপনাকে অবশ্যই স্ক্রিনশট বা PoC কোডের মতো সংযুক্তি অন্তর্ভুক্ত করতে হবে।
- একটি পরিষ্কার আক্রমণের দৃশ্য অন্তর্ভুক্ত করুন। এটা ঠিক কিভাবে আমাদের প্রভাবিত করবে?
- প্রতি প্রতিবেদনে একটি দুর্বলতা জমা দিন, যদি না আপনাকে সরবরাহ করার জন্য দুর্বলতা চেইন করতে হয়
প্রভাব
নিরাপত্তা সংক্রান্ত সমস্যা আমরা জানতে চাই
- প্যারামিটার টেম্পারিং: আপনি যদি ব্যবহারকারীর ইনপুট বা প্যারামিটার ব্যবহার করার উপায় খুঁজে পান যা নিরাপত্তার সাথে আপস করতে পারে, তাহলে আমাদের জানান। সিস্টেমের অখণ্ডতা বজায় রাখার জন্য আমরা এটিকে গুরুত্ব সহকারে নিই।
- চ্যাটবট এর মাধ্যমে ইনজেকশন: আমাদের চ্যাটবট সিস্টেমে পাওয়া যে কোনো দুর্বলতার জন্য যা ক্ষতিকারক কোড বা ডেটা ম্যানিপুলেশনের অনুমতি দেয়, অনুগ্রহ করে আমাদের জানান। আমরা এই মিথস্ক্রিয়া সুরক্ষিত অগ্রাধিকার.
- পেমেন্ট গেটওয়ে ডিজাইন: আমাদের পেমেন্ট গেটওয়ের ডিজাইন বা বাস্তবায়নে কোনো দুর্বলতা রিপোর্ট করে পেমেন্ট প্রসেস সুরক্ষিত করতে সাহায্য করুন।
বাদ
নীচে তালিকাভুক্ত বিভাগগুলির মধ্যে পড়া প্রতিবেদনগুলি আমাদের VDP প্রোগ্রামের সুযোগের বাইরে বিবেচিত হয় এবং পুরস্কারের জন্য যোগ্য হবে না। :
- কোনো সংবেদনশীল ক্রিয়া ছাড়াই পৃষ্ঠাগুলিতে ক্লিক জ্যাক করা
- দুর্বলতা প্রদর্শন ছাড়াই কমা বিভক্ত মান (CSV) ইনজেকশন।
- কোনো সংবেদনশীল ক্রিয়া ছাড়াই অননুমোদিত ফর্ম বা ফর্মগুলিতে ক্রস-সাইট অনুরোধ জালিয়াতি (CSRF)
- ব্যবহারকারীর ডিভাইসে MITM বা শারীরিক অ্যাক্সেস প্রয়োজন এমন আক্রমণ
- যে কোনো কার্যকলাপ যা আমাদের পরিষেবার (DoS) ব্যাঘাত ঘটাতে পারে
- অ্যাটাক ভেক্টর না দেখিয়ে/এইচটিএমএল/সিএসএস পরিবর্তন করতে সক্ষম না হয়ে কন্টেন্ট স্পুফিং এবং টেক্সট ইনজেকশন সমস্যা
- অ প্রমাণীকরণের শেষ পয়েন্টে হার সীমিত করা বা ব্রুটফোর্স সমস্যা
- একটি স্পষ্ট নিরাপত্তা প্রভাব ছাড়াই পরিষেবা শক্ত করার সুপারিশ। এর মধ্যে ক্যাপচা বা হার সীমিত ব্যবহারের অভাব বা দুর্বলতা অন্তর্ভুক্ত। এর মধ্যে জবরদস্তি করা আছে যা অনুপযুক্ত হার সীমাবদ্ধ করার অনুমতি দিতে পারে।
- একটি স্পষ্ট প্রভাব ছাড়াই অনিয়ন্ত্রিত ফাইল আপলোড, সম্পদ খরচের বাইরে, DoS, অবাঞ্ছিত বিষয়বস্তু, ইত্যাদি।
- স্ব-এক্সএসএস
- নিরাপত্তা শিরোনাম অনুপস্থিত
- কুকিতে শুধুমাত্র Http বা সুরক্ষিত পতাকা অনুপস্থিত
- দুর্বল পাসওয়ার্ড নীতি
- সেশন ম্যানেজমেন্ট, যেমন: সেশন টাইমআউট, সেশন হাইজ্যাকিং ইত্যাদি।
- অনুপস্থিত ইমেল সেরা অনুশীলন (অবৈধ, অসম্পূর্ণ বা অনুপস্থিত SPF/DKIM/DMARC রেকর্ড, ইত্যাদি)
- সফ্টওয়্যার সংস্করণ প্রকাশ / ব্যানার সনাক্তকরণ সমস্যা / বর্ণনামূলক ত্রুটি বার্তা বা শিরোনাম (যেমন স্ট্যাক ট্রেস, অ্যাপ্লিকেশন বা সার্ভার ত্রুটি)
- দুর্বলতা শুধুমাত্র পুরানো বা আনপ্যাচড ব্রাউজার ব্যবহারকারীদের প্রভাবিত করে [সর্বশেষ প্রকাশিত স্থিতিশীল সংস্করণের পিছনে 2টিরও কম স্থিতিশীল সংস্করণ]
- তৃতীয় পক্ষের দ্বারা হোস্ট করা সাইটগুলিতে দুর্বলতাগুলি যদি না তারা মূল ওয়েবসাইটে একটি দুর্বলতার দিকে নিয়ে যায়৷
- ধারণার কার্যকারী প্রমাণ ছাড়াই পূর্বে পরিচিত দুর্বল লাইব্রেরি।
- পাবলিক জিরো-ডে দুর্বলতা যার অফিসিয়াল প্যাচ 1 মাসেরও কম সময় ধরে আছে
- ট্যাবনাবিং
- রিডাইরেক্ট খুলুন - যদি না একটি অতিরিক্ত নিরাপত্তা প্রভাব প্রদর্শন করা যায়
- সমস্যাগুলির জন্য ব্যবহারকারীর অসম্ভাব্য মিথস্ক্রিয়া প্রয়োজন৷
- *.cashmycar.olx.in সুযোগের বাইরে
মোবাইলের জন্য সুযোগের বাইরে দুর্বলতা
- সার্টিফিকেট পিনিং বা HSTS এর অভাব।
- APK-এ অপর্যাপ্ত রুট প্রতিরোধ/সনাক্তকরণ
- অস্পষ্টতা বা বাইনারি সুরক্ষা (অ্যান্টি-ডিবাগিং) নিয়ন্ত্রণের অভাব
- যে কোনও শোষণের জন্য ব্যবহারকারীকে একটি দূষিত অ্যাপ ইনস্টল করার জন্য প্রতারণার প্রয়োজন হয়৷
- দুর্বলতাগুলির জন্য ব্যাপক ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন৷
- ডিভাইসে অ-সংবেদনশীল ডেটার এক্সপোজার
- অ্যাপ-মধ্যস্থ ব্যক্তিগত ডিরেক্টরিতে সংবেদনশীল ডেটা সঞ্চয়
- TLS সুরক্ষা সহ অসুরক্ষিত HTTP এর মাধ্যমে সংবেদনশীল ডেটা প্রেরণ
- সম্ভাব্য আক্রমণের দৃশ্য ছাড়াই মোবাইল অ্যাপ্লিকেশনগুলিতে হার্ডকোডড কীগুলির আবিষ্কার।
- ফ্রিদার মতো সরঞ্জাম ব্যবহার করে শোষণ করে
- দুর্বলতা কাজে লাগাতে শারীরিক ডিভাইস অ্যাক্সেস (যেমন USB ডিবাগিং), রুট/জেলব্রোকেন অ্যাক্সেস বা থার্ড-পার্টি অ্যাপ ইনস্টলেশন প্রয়োজন এমন যেকোনো ধরনের দুর্বলতা
- খোলা ইউআরআই বা স্ন্যাপশট/পেস্টবোর্ড লিকেজ দেখার অনুমতি সহ ক্ষতিকারক অ্যাপগুলির কারণে ইউআরআই লিক
- রপ্তানিকৃত ক্রিয়াকলাপ, পরিষেবা বা সম্প্রচার রিসিভারগুলিতে পাঠানো ত্রুটিপূর্ণ উদ্দেশ্যগুলির কারণে ক্র্যাশ (সংবেদনশীল ডেটা ফাঁসের জন্য এগুলিকে কাজে লাগানো সুযোগের মধ্যে)
- APK-এ অপর্যাপ্ত বাইনারি সুরক্ষা নিয়ন্ত্রণ
- অনানুষ্ঠানিক সিস্টেমের মাধ্যমে সংশোধিত APK-এ দুর্বলতা রিপোর্ট করা হয়েছে।
Translated to Bengali