سیاست امنیتی Rasoul Unlimited
چارچوب رسمی امنیت، تست مسئولانه و گزارش آسیبپذیری
بیانیه سیاست امنیتی و افشای آسیبپذیری
این وبسایت بر بستر GitHub Pages میزبانی شده و از طریق Cloudflare توزیع و محافظت میشود. علاوه بر کنترلهای GitHub و Cloudflare، سیاست سختگیرانهٔ Content Security Policy (CSP) جهت کاهش سطح حمله و حفاظت از دادههای بازدیدکنندگان اعمال شده است.
حفظ محرمانگی، یکپارچگی و دسترسپذیری دادهها برای ما یک تعهد جدی و غیرتشریفاتی است. این سند برای تعریف شفاف انتظارات، محدودهٔ مجاز تست امنیتی و فرآیند استاندارد افشای مسئولانه تدوین شده است تا پژوهشگران امنیتی بتوانند در یک چارچوب مشخص و حرفهای با ما همکاری کنند.
در حال محاسبهٔ تاریخ بازنگری سیاست امنیتی…
سیاست امنیت محتوا (CSP)
در ادامه یک نمونه از پیکربندی Content Security Policy اعمالشده از طریق Cloudflare برای این دامنه ارائه شده است. این پیکربندی ممکن است بر اساس ارزیابیهای دورهای و یافتههای امنیتی، با حفظ اصول حداقل دسترسی و defense-in-depth بهروزرسانی شود.
default-src 'self' blob:;
script-src 'self' https://cdn.tailwindcss.com https://cdn.jsdelivr.net https://cdnjs.cloudflare.com https://static.cloudflareinsights.com https://giscus.app 'nonce-RasoulCSP';
style-src 'self' https://fonts.googleapis.com https://cdnjs.cloudflare.com https://cdn.jsdelivr.net 'nonce-RasoulCSP';
style-src-attr 'self' 'nonce-RasoulCSP';
style-src-elem 'self' https://fonts.googleapis.com https://cdnjs.cloudflare.com https://cdn.jsdelivr.net https://giscus.app;
font-src 'self' https://fonts.gstatic.com https://cdnjs.cloudflare.com;
img-src 'self' data: https://avatars.githubusercontent.com;
connect-src 'self' https://static.cloudflareinsights.com https://giscus.app https://api.github.com https://orcid.org https://about.me https://www.researchgate.net https://www.linkedin.com https://github.com;
frame-src https://giscus.app;
object-src 'none';
base-uri 'self';
form-action https://formspree.io 'self';
frame-ancestors 'self';توضیح: مقادیر بالا بهصورت محافظهکارانه تنظیم شدهاند تا فقط سرویسهای ضروری مجاز باشند. در صورت نیاز به افزودن منبع جدید، ابتدا ریسک آن بررسی شده و سپس در نسخهٔ بعدی سیاست لحاظ میشود.
نحوهٔ گزارش آسیبپذیری
اگر نقص امنیتی، رفتار غیرمنتظره یا مورد مشکوکی مشاهده کردید، لطفاً پیش از هرگونه افشای عمومی، از طریق یکی از کانالهای زیر آن را گزارش کنید. ما بهطور جدی از رویکرد افشای مسئولانه حمایت میکنیم.
مسیر پیشنهادی:
- جمعآوری جزئیات فنی و گامهای بازتولید مشکل
- تأیید اینکه تست شما در محدودهٔ مجاز این سیاست است
- ارسال گزارش از طریق یکی از کانالهای رسمی زیر
ارسال ایمیل به: [email protected]
یا ایجاد گزارش در GitHub: ایجاد Security Issue در GitHub
لطفاً در گزارش خود (در حد امکان) موارد زیر را درج کنید:
- شرح خلاصهٔ مشکل و تأثیر احتمالی آن
- آدرس دقیق، مسیر یا ماژول درگیر در آسیبپذیری
- گامهای دقیق بازتولید (Step-by-step Reproduction)
- نمونهٔ اثبات مفهوم (PoC) غیرمخرب و مینیمال
- جزئیات محیط (مرورگر، نسخه، سیستمعامل و…)
- راههای ارتباطی برای هماهنگی و تبادل اطلاعات تکمیلی
لطفاً تا زمانی که مشکل بررسی و برطرف نشده است، از انتشار عمومی PoC یا جزئیات فنی قابل سوءاستفاده خودداری کنید.
کانالهای ارتباط امن
برای ارسال جزئیات حساس (بهویژه PoCهای شامل دادهی واقعی یا لاگهای حساس)، استفاده از رمزنگاری انتها-به-انتها با کلید عمومی PGP پیشنهاد میشود.
- کلید عمومی در Keybase در دسترس است.
- دانلود مستقیم کلید عمومی PGP
-
پیش از استفاده، اثر انگشت زیر را با منبع مستقل تطبیق دهید:
D483 4991 882E 7EC4 4187 40AC 1CAF 52B8 DB95 F6FE - پس از وارد کردن کلید، متن ایمیل را رمزنگاری کرده و به [email protected] ارسال کنید.
محدودهٔ مجاز تست امنیتی (Scope)
برای احترام به قوانین و زیرساخت سایر ارائهدهندگان خدمات، تستهای امنیتی تحت این سیاست فقط شامل دامنههای زیر میشود:
-
rasoulunlimited.ir -
www.rasoulunlimited.ir
سرویسها، دامنهها، زیر دامنهها یا زیرساختهایی که بهطور مستقیم تحت کنترل Rasoul Unlimited نیستند (از جمله سرویسدهندگان میزبانی، پرداخت و پلتفرمهای شخص ثالث)، خارج از محدودهٔ این سیاست هستند و هرگونه تست روی آنها باید طبق قوانین و سیاست همان سرویس انجام شود.
مثالهایی از فعالیتهای خارج از محدوده:
- تست نفوذ مستقیم روی زیرساخت شبکهٔ Cloudflare یا GitHub
- هدف قرار دادن سرویسهای شخص ثالثی که صرفاً در این سایت لینک شدهاند
- حملات منع سرویس (DoS / DDoS) روی هرگونه زیرساخت
فرآیند افشای مسئولانه و تعهد متقابل
- در حالت عادی، تلاش میکنیم ظرف حداکثر ۴۸ ساعت دریافت گزارش را از طریق ایمیل تأیید کنیم.
- بر اساس شدت و پیچیدگی مشکل، برنامهٔ رسیدگی، رفع یا کاهش ریسک معمولاً حداکثر ظرف ۳۰ روز به اطلاع گزارشدهنده میرسد. در موارد بحرانی، اولویتدهی اضطراری انجام میشود.
- در صورت تمایل شما، نام یا هندل (مثلاً هندل گیتهاب یا توییترتان) در بخش تقدیر از پژوهشگران امنیتی ذکر خواهد شد؛ مگر آنکه ناشناس ماندن را ترجیح دهید.
- نسخهٔ فشردهٔ این سیاست مطابق استاندارد security.txt در فایل security.txt نیز منتشر شده است. دانلود security.txt
توضیح حقوقی (Safe Harbor غیررسمی): تا زمانی که تستهای امنیتی شما بهصورت معقول، در محدودهٔ این سیاست، بدون سوءاستفاده و با نیت مسئولانه انجام شود، هدف ما تعامل سازنده با شما و نه پیگیری حقوقی است. البته این متن مشاورهٔ حقوقی محسوب نمیشود و ممکن است با بهروزرسانی سیاست تغییر کند.
راهنمای عملی تست امنیتی
بهمنظور جلوگیری از اختلال سرویس یا آسیب ناخواسته، لطفاً در حین تست موارد زیر را رعایت کنید:
- استفاده از روشهای آزمون غیرمخرب و پرهیز از حذف، ویرایش یا نشت دادههای واقعی
- خودداری از هرگونه حملهٔ DoS / DDoS ، resource exhaustion یا ارسال حجم بسیار بالای درخواست
- عدم اقدام به مهندسی اجتماعی، فیشینگ، یا حملات هدفمند علیه حسابهای شخصی (ایمیل، شبکههای اجتماعی و غیره)
- عدم تلاش برای دور زدن احراز هویت سرویسهای ثالث خارج از محدوده
- پاکسازی هرگونه دادهی آزمایشی ایجاد شده پس از اتمام تست (در صورت امکان)
مسئولیت رعایت قوانین محلی و بینالمللی مرتبط با تست امنیتی کاملاً بر عهدهٔ محقق است. با ارسال گزارش، شما تأیید میکنید که فعالیتهای انجامشده مطابق قوانین قابل اجرا و در محدودهٔ این سیاست بوده است.
مسیر تکامل امنیتی
این جدول زمانی، مهمترین رویدادها و تغییرات امنیتی وبسایت را نشان میدهد تا شفافیت و قابلیت پیگیری بهتری برای پژوهشگران و کاربران حرفهای فراهم شود.
هیچ رویدادی مطابق جستجو یافت نشد.
اعلانها و بولتنهای امنیتی
آخرین هشدارها، اصلاحات و بولتنهای امنیتی مرتبط با این وبسایت در بخش Security Advisories در GitHub منتشر میشود. توصیه میشود پژوهشگران حرفهای پیش از شروع تست، این بخش را مرور کنند.