Təhlükəsizlik tədqiqatçılarının məsuliyyətli açıqlamasını dəyərləndiririk. Bu siyasət hansı sistemlərin əhatə olunduğunu, qaydaları və mükafat şərtlərini müəyyən edir. Niyyətlə bu qaydalara əməl edən tədqiqatçılara qarşı hüquqi tədbir görmürük (safe harbor).
Əhatə (in-scope)
community.tur.al və onun API-ləri (/api/v1/*)
Tural Community mobil tətbiqi (Android)
Autentifikasiya, sessiya və icazə (RBAC) mexanizmləri
Ödəniş axını və inteqrasiyaları
İstisna (out-of-scope)
Üçüncü tərəf xidmətləri (ödəniş provayderləri, e-poçt göndərici və s.)
Sosial mühəndislik, fiziki hücumlar, DoS/DDoS və həcm-əsaslı testlər
Real istifadəçi məlumatları üzərində avtomatlaşdırılmış aqressiv skan
Artıq məlum olan və ya açıq sənədləşdirilmiş gözləntili davranışlar
Tədqiqat qaydaları
Yalnız öz hesabınız və ya test üçün yaratdığınız hesablarla işləyin.
Məlumat oğurlamayın, dəyişdirməyin və ya silməyin; minimal sübut kifayətdir.
Tapıntını ictimailəşdirməzdən əvvəl bizə ağlabatan düzəliş müddəti verin.
Hər tapıntını addım-addım reproduksiya ilə security@community.tur.al ünvanına göndərin.
Mükafat səviyyələri
P0 — RCE, kütləvi data sızması1 500 AZN-ə qədər
P1 — autentifikasiya bypass, hesab ələ keçirmə800 AZN-ə qədər
P2 — IDOR, saxlanılan XSS, ciddi məntiq qüsuru300 AZN-ə qədər
P3 — aşağı təsirliHall of Fame + təşəkkür
Mükafatlar təsirə, reproduksiya keyfiyyətinə və unikallığa görə müəyyən edilir. Dublikat və ya əhatədənkənar tapıntılar mükafatlandırılmaya bilər.
Cavab müddətləri
İlk təsdiq: 3 iş günü · Triage və ciddilik təyini: 7 iş günü · Düzəliş hədəfi: P0/P1 üçün 30 gün, digərləri üçün 90 günə qədər. Razılaşdırılmış açıqlama müddəti tapıntının ciddiliyinə görə müəyyən olunur.