Bug Bounty

برنامج الإبلاغ عن الثغرات

آخر تحديث: 18 مايو 2026 • للباحثين الأمنيين فقط

الخلاصة: ابحث ضمن النطاق المحدّد فقط، أبلغنا خاصةً قبل أي إفصاح علني، احصل على مكافأة مالية لكل ثغرة موثّقة فريدة. الباحث المتعاون بحسن نية محميّ من أي إجراء قانوني.

النطاق المسموح

  • mahara.sy وأي subdomain تشغّله مهارة.
  • كل واجهات الـ Authentication والـ Authorization.
  • تدفّق المدفوعات، الـ escrow، وزر تأكيد الاستلام.
  • مطابقة الذكاء الاصطناعي + الـ safety gate.
  • رفع الملفات (avatars، gig covers، وثائق الهوية).
  • صفحات الإدارة (لوحة الإدمن).
  • الـ APIs العامة + Server Actions.

خارج النطاق (لن نقبل تقارير عنه)

  • هجمات DoS / DDoS (لا تختبرها — توقّفنا عن العمل بدل أن نكافأها).
  • هندسة اجتماعية على موظّفي مهارة أو مستخدميها.
  • الفحص الآلي المكثّف (rate-limit النّا 1 req/sec كحد أقصى).
  • ثغرات بمنصّات أو خدمات طرف ثالث (Resend، OpenRouter، Docker...).
  • متصفّحات أو أنظمة تشغيل قديمة غير مدعومة.
  • اعتمادات (credentials) مسرّبة بمكان آخر.
  • ثغرات نظرية بدون PoC قابل لإعادة الإنتاج.
  • تقارير عن غياب headers أمنية أو CSP fine-tuning (نعرفها، مدرجة بـ backlog الداخلي).
  • Rate-limit يعمل بدقة (لو لقيت bypass فعلي، هذا داخل النطاق).
  • Self-XSS أو XSS يتطلّب وصولاً فعلياً لجهاز الضحية.
  • بيانات mock / seed (الإيميلات mock+*@mahara.local).

المكافآت (بالـ tier)

المبلغ النهائي يعتمد على شدّة التأثير وجودة التقرير. القرار لفريق الأمان في مهارة. تُدفع بـ USDT أو تحويل بنكي بعد التحقّق والإصلاح.

المستوىمثالالمكافأة
حرجRCE، اختراق مصادقة كامل، تسريب بيانات شامل$200
عالياستيلاء على حساب، تجاوز payout، تجاوز KYC$100
متوسطIDOR محدودة، XSS موضعية، SSRF بشروط$50
منخفضInfo disclosure مفيدة، rate-limit bypass$25 أو Hall of Fame

ما يجب أن يحويه التقرير

  • وصف موجز للثغرة ونوعها (CWE category إن أمكن).
  • خطوات إعادة الإنتاج دقيقة وقابلة للتنفيذ من صفر.
  • الأثر المحتمل (ماذا يستفيد المهاجم؟ بيانات تتسرّب؟ صلاحيات تُتجاوز؟).
  • PoC: سكربت، curl command، screenshot، أو فيديو قصير.
  • اقتراح إصلاح (اختياري لكن مرحَّب به).
  • معرّفك المفضّل للإفصاح العام بعد الإصلاح (اسم، Twitter، GitHub، أو مجهول).

الجدول الزمني

  • 72 ساعة: إقرار باستلام تقريرك + التقييم الأولي.
  • 7 أيام: تأكيد ما إذا كان داخل النطاق + درجة الشدّة المبدئية.
  • 30 يوم: إصلاح (وقت أطول للحرجة المعقّدة، نُحدّثك).
  • بعد الإصلاح: دفع المكافأة + نشر علني (مع اعتمادك إن وافقت) + إدراجك بـ Hall of Fame.

Safe Harbor

ما دمت تلتزم بهذه الشروط، لن نتّخذ أي إجراء قانوني ضدّك ولن نُبلّغ عنك. هذا الالتزام يشمل:

  • عدم الوصول إلى بيانات مستخدمين حقيقيين بأكثر مما يلزم لإثبات الثغرة.
  • عدم تعديل أو حذف أي بيانات.
  • عدم إفصاح علني عن الثغرة قبل إصلاحها.
  • عدم استخدام الثغرة لأي غرض غير الإبلاغ.
  • الالتزام بمعدّل لا يتجاوز طلب واحد في الثانية.
  • عدم اختبار أنواع الهجمات خارج النطاق (DoS، هندسة اجتماعية).

Hall of Fame

الباحثون الذين ساهموا في تأمين مهارة (مع موافقتهم على الإفصاح):

لم يُسجَّل أي مساهم بعد. كن الأول!

كيف تُبلّغ

راسلنا على support@mahara.sy
استخدم BOUNTY في بداية الموضوع لأولوية التوجيه.

للتفاصيل التقنية الكاملة وسياسة التواصل، راجع ‎/.well-known/security.txt.

راجع أيضاً صفحة الأمان، سياسة الخصوصية، و الشروط والأحكام.