ابدأ بالتواصل مع الأشخاص وتبادل معارفك المهنية

أنشئ حسابًا أو سجّل الدخول للانضمام إلى مجتمعك المهني.

متابعة

ماهي الطريقة السليمة لإبلاغ منشأة بوجود ثغرات امنية بأنظمتهم؟ (السعودية)

بسم الله الرحمن الرحيم

 

لنفرض اثناء تصفحي للموقع (س) التابع للشركة (ص)

تعثرت بثغرة امنية خطيرة .. فلنقل ثغرة لحقن قواعد البيانات

 

مالطريقة المناسبة للإبلاغ عن هذه الثغرة دون الإنتهاء بي داخل زنزانة !

 

كما نعلم أن نظام مكافحة الجرائم المعلوماتية  يشمل العقوبات فقط ولا يشمل طرق التعامل مع الثغرات الأمنية

 

لهذا اتمنى من مختصي امن المعلومات ومختصي القانون إفادتنا نحن مجتمع الهاكرز الأخلاقيين الذين لايسعون للضرر بل التأمين ..

 

user-image
تم إضافة السؤال من قبل Abdulaziz Alshehri , Senior Programmer , شركة تام للخدمات التجارية [warshaplus.com]
تاريخ النشر: 2016/02/07
سعد رضا ٰ
من قبل سعد رضا ٰ , Software Engnieering , None

الطريقة السليمة هي أن تسلم من الابلاغ عن الثغرة

لأن ما فيه عندنا قانون واضح يعني حسب المسؤول اللي يستقبل تقريرك في منشأته ..

 وتوقع السؤال : كيف وصلت للثغرات ؟

فيه واحد بلغ عن ثغرة عندنا ويحسب انهم بيكافؤنه

ولكن يالله يطلع بحب الخشوم وسلم من السجن

ahmed abdullah alatwi
من قبل ahmed abdullah alatwi , معقب , مؤسسة / ذرى الجزيرة وفروعها

السلام عليكم ورحمة الله وبركاتة 

اضربلك مثل خاص بهذا الموضوع قبل تقريبا عام واحد اكتشفت ثغرة في الابلكيشن المشهور " فيس بوك " وكانت ثغرة اختراق حساب مش حاجة سهلة والحمد لله استغليتها بالحلال . تواصلت مع الدعم الفني ومن خلاله اثبت انه يوجد ثغرة امنية والتواصل بالايميل طبعا  وتم سد هذة الثغرة وحصلت على مكافأة مالية قدرهادولار 

حسب الثغرة تاخذ المكافاة 

 

Abdulaziz Alshehri
من قبل Abdulaziz Alshehri , Senior Programmer , شركة تام للخدمات التجارية [warshaplus.com]

أستاذي أحمد العطوي ..

مع الأسف الشديد هذا النظام يسمى مكافئة الثغرات (Bug Bounty) وهو مقدم من قبل المؤسسة/الشركة نفسها

في هذه الحالة .. الفيس بوك

https://www.facebook.com/whitehat/

ومثله في موقع اوفينسف سيكيورتي

https://www.offensive-security.com/bug-bounty-program/

 

قائمة بالمواقع التي تقوم بنفس البرنامج

https://bugcrowd.com/list-of-bug-bounty-programs

 

لكن اذا نظرت للمؤسسات المحلية ستجد انه لايوجد مثل هذه البرامج

واكبر مثال قضية الأخ مرجوج الهزازي بعد إبلاغ جامعة الطائف(حسب ما أذكر)

قاضوه ووصلوه للمحاكم ! وغيره من الأشخاص

 

حقيقةً اتمنى وجود حل لهذه المشكلة !

اتمنى وجود نقاط تحمي صيادين الثغرات بل وتكافئهم مثل ماتقوم اكبر الشركات والمؤسسات بالعالم

وهالشيء بيقلل من التخريب والاختراق لمجرد (اندكس) وبيحفز المنفعة من هالمواهب !

 

 

نقطة جانبية :

بعض السلطات تحاكم الشخص اذا قام بفحص الرابط لثغرة الحقن بإستخدام علامات التنصيص !

المزيد من الأسئلة المماثلة