Nerd Level Tech logo
|
الدرس 3 من 24

أساسيات صيد الثغرات

الاعتبارات القانونية والأخلاقية

3 دقيقة للقراءة

يوجد صيد الثغرات في منطقة رمادية قانونياً. فهم النطاق وأحكام الملاذ الآمن والحدود الأخلاقية يحميك ويحمي المنظمات التي تختبرها.

أساسيات الملاذ الآمن

تحمي بنود الملاذ الآمن الباحثين الذين:

  1. يبقون ضمن النطاق: يختبرون فقط الأصول المصرح بها صراحةً
  2. يتبعون القواعد: يحترمون حدود المعدل، لا يصلون لبيانات العملاء
  3. يبلغون بمسؤولية: يقدمون النتائج عبر القنوات الرسمية
  4. يتصرفون بحسن نية: النية هي تحسين الأمان، وليس إحداث ضرر

مثال على لغة الملاذ الآمن

"لن نبدأ إجراءً قانونياً ضد الباحثين الذين يبذلون جهداً بحسن نية للامتثال لهذه السياسة، بما في ذلك... تجنب انتهاكات الخصوصية، وتدمير البيانات، ومقاطعة أو تدهور خدمتنا."

اقرأ دائماً السياسة الكاملة قبل الاختبار.

تعريف النطاق

ضمن النطاق (آمن للاختبار)

  • النطاقات المدرجة صراحةً في نطاق البرنامج
  • النطاقات الفرعية إذا تم تضمين wildcards (*.example.com)
  • وظائف محددة مذكورة (مثل "تدفق المصادقة")

خارج النطاق (لا تختبر)

  • خدمات الطرف الثالث (AWS، Cloudflare، معالجات الدفع)
  • الهجمات الفيزيائية أو الهندسة الاجتماعية (إلا إذا سُمح صراحةً)
  • اختبار حجب الخدمة
  • الوصول لبيانات العملاء أبعد من الإثبات
  • المسح الآلي بكميات عالية (إلا إذا سُمح)

ما يمكن أن يسوء

الإجراء العواقب
اختبار نطاقات خارج النطاق حظر الحساب، إجراء قانوني
الوصول لبيانات العملاء تهم جنائية (انتهاكات CFAA)
التسبب في تعطيل الخدمة حظر + دعوى قضائية محتملة
النشر قبل فترة الإفصاح ضرر بالسمعة، مخاطر قانونية
استخدام الماسحات الآلية بتهور حظر IP، إزالة من البرنامج

الاعتبارات القضائية

  • الولايات المتحدة: قانون الاحتيال وإساءة استخدام الكمبيوتر (CFAA) - تفسير واسع
  • الاتحاد الأوروبي: GDPR يؤثر على كيفية تعاملك مع أي بيانات شخصية تجدها
  • بلدك: قد تنطبق القوانين المحلية بغض النظر عن موقع الهدف

حرج: الملاذ الآمن يحميك فقط إذا قدمه البرنامج صراحةً. برامج الإفصاح عن الثغرات (VDPs) بدون مكافآت قد تظل لها حماية قانونية.

الإرشادات الأخلاقية

  1. قلل التأثير: استخدم أقل طريقة تدخلاً لإثبات الثغرة
  2. لا تخزن: أبلغ عن النتائج فوراً، لا تخزنها للاحقاً
  3. احترم الخصوصية: لا تقرأ أو تنسخ أو تشارك بيانات المستخدمين أبعد من الإثبات
  4. لا ابتزاز: لا تهدد بالإفصاح إذا لم تُدفع المكافأة
  5. اعترف بالآخرين: قدّر البحث السابق والمتعاونين

ممارسات التوثيق

وثّق دائماً:

  • الطابع الزمني للاكتشاف
  • الخطوات الدقيقة للتكرار
  • الأدلة (لقطات شاشة، طلبات/ردود HTTP)
  • تقييم التأثير
  • أي بيانات تم الوصول إليها (احجب المعلومات الحساسة)

هذا يحميك إذا تم التشكيك في تصرفاتك.

في الدرس التالي، سنساعدك في اختيار أول برنامج صيد ثغرات استراتيجياً. :::

اختبار

الوحدة 1: أساسيات صيد الثغرات

خذ الاختبار