أنواع الملاحظات وفئاتها

تم النشر في ‏4 أغسطس 2025تم التحديث في ‏26 سبتمبر 20252 دقيقة قراءة

بعد تقديم المُستخدِمين للآراء والملاحظات، ينبغي عليهم انتظار نتائج التقييم والمراجعة. عند تأكيد واعتماد المُستخدِمين لنتائج التقييم والمراجعة، سيحصلون على المكافأة الخاصَّة بالفئة الموافِقة (من فئات أولوية الثغرة المُكتشفَة من P1 حتى P5). ملاحظة: تجدرُ الإشارة لكون برنامج المكافآت هذا مُتاح فقط للمُستخدِمين المُدرَجين ضمن قائمة السماح.

نموذج الإبلاغ عن الضعف الأمني

  1. ملف طلب الإبلاغ عن الثغرة أو رابط URL (والذي يتضمَّن وصفًا نصّيًا فقط، دون لقطات شاشة) أو خطوات التشغيل والتي تُسمَّى خطوات إعادة إنتاج الخطأ (كالإشارة إلى المسار: الإعدادات ← المعلومات الشخصية ← مشكلة في رفع الصور).

  2. محتوى تفعيل الثغرة (المُدخَل أو الطلب أو الشيفرة التي تُفعِّل الثغرة).

  3. إثبات مخاطر الثغرة (إذ يُحدَّد المُعدَّل وفق مستوى المخاطر).

العيوب والاقتراحات

أخطاء جسيمة (100 USDT)

  1. يتعذر إكمال الوظائف المهمة (على سبيل المثال، لم يتم إكمال المعاملات، ولا يمكن تقديم الطلبات).

  2. توسُّع الخطأ وتأثيره على سير العمل الطبيعي للوظائف المهِمَّة الأخرى.

  3. حالات انهيار التطبيق أو تجمُّده أو دخوله في حلقات لا نهائية من التكرار الناجمة عن عمليات غير قياسية (أي سلوكيات لا يُتوقَّع من المستخدمين القيام بها أثناء الاستخدام الطبيعي للتطبيق).

  4. عيوب غير مقبولة من حيث المظهر (مثل تشوُّه الصورة أو انضغاطها أو تغيُّر أبعادها).

  5. مشكلات أمنية تُسبِّب تسريبًا للبيانات (مثل تسرُّب معلومات خاصَّة تعود للحساب بنتيجة هجمات خبيثة).

أخطاء عامَّة (30 USDT)

العيوب التي لا تؤثر على عمليات المنتج أو تتسبب في فشله، بل لها تأثير كبير على مظهر المنتج أو العمليات التالية.

  1. عدم القدرة على أداء الوظائف الثانوية بشكل طبيعي.

  2. أخطاء في الواجهة (مثل عدم اتِّساق معاني أسماء الأعمدة ووصفها في نافذة البيانات).

  3. خطأ في الاستعلام أو في عرض البيانات.

  4. عدم فرض قيود إدخال بسيطة على الواجهة الأمامية (واجهة المُستخدِم) للتحكُّم (مثل وجوب تفعيل آلية التحقُّق من صيغة الإدخال في واجهة تسجيل الدخول وإنشاء الحساب ضمن الواجهة الأمامية).

أخطاء في العرض (10 USDT)

واجهات العرض غير ملائمة ولا تتوافق مع أنماط الاستخدام:

  1. الواجهة غير مُصمَّمة على نحوٍ صحيح.

  2. الوصف أو الإرشادات لوظيفة معيَّنة غير واضحة.

اللغة

مشكلات لغوية (10 USDT)

  1. قواعد اللغة في نصوص واجهة المُستخدِم غير صحيحة.

  2. الاستخدام غير الصحيح لعلامات الترقيم.

  3. أخطاء مطبعية.

  4. محتوى فوضوي يُثير الإرباك.

القواعد ومعايير الأهليَّة لبرنامج مكافأة رصد الأخطاء والثغرات الأمنية

يُقدِّم برنامج مكافأة رصد الأخطاء والثغرات لدينا خمسة مستويات من المخاطر الأمنية، وهي: الشديدة والحرجة والعالية والمتوسِّطة والمنخفضة. سيُكافَأ المخترقون الأخلاقيون (أو ما يُعرف اصطلاحًا باسم القبعة البيضاء) بما يصل إلى 1,000,000 USDT لتحفيزهم على مساعدتنا في اكتشاف الثغرات الأمنية المحتملة. ومن خلال هذا النظام، نأمل في بناء بيئة تداوُل أكثر استقرارًا وموثوقية لجميع المُستخدِمين.

مستوى المخاطر

يتم تصنيف الثغرات الأمنية إلى خمسة مستويات اعتمادًا على المخاطر المحتملة، وهي "شديدة" و"حرجة" و"عالية" و"متوسطة" و"منخفضة". ستقوم OKX بتقييم مدى خطورة الثغرة الأمنية المبلغ عنها باستخدام المعايير التالية:

المستوى الشديد (Web3 فقط، أي للخدمات اللامركزيَّة ضمن السلسة)

معيار التصنيف ضمن هذا المستوى من المخاطر: تهديد يُؤثِّر على جميع المُستخدِمين، أو يتسبَّب بتوقُّف الخدمات لمدَّة تتجاوز 60 دقيقة، أو يتسبَّب بخسائر مُحتمَلَة تتجاوز 500,000 دولار.

  • اختراق واسع النطاق للأموال أو المفاتيح الخاصَّة أو عمليات اختراق واسعة النطاق للبيانات دون أي تفاعُل من المُستخدِم (أي دون نقر أو موافقة أو إدخال).

حرج

Web2 (الويب التقليدي المركزي خارج السلسلة)

  • تنفيذ شيفرات برمجية عن بُعد (RCE): تنفيذ تعليمات برمجية اعتباطية على خوادم OKX

  • هجوم إقحام تعليمات SQL غير مرغوبة (يُعرف أيضًا باسم هجمات حقن تعليمات SQL – ضمن قاعدة البيانات الأساسيَّة): وصول أو تعديل واسع النطاق على قاعدة البيانات الأساسيَّة الفعلية لدى OKX

  • الاستحواذ على الواجهة الخلفية الإدارية: الحصول على صلاحيات إدارية حرجة

  • الاستحواذ الجماعي على الحسابات: استحواذ منهجي على نسبة كبيرة من حسابات المُستخدِمين، وغالبًا ما يؤثِّر على أكثر من 50% من المُستخدِمين

  • تنفيذ أوامر النظام: تشغيل أوامر نظام التشغيل على الخوادم

المحمول

  • استخدام غير مشروع عن بُعد: المساس بسلامة التطبيق عن بُعد أو تنفيذ شيفرات برمجية على البنية التحتية التقنية لدى OKX.

  • اختراق البيانات واسع النطاق: وصول غير مُصرَّح به إلى حجم كبير من بيانات المُستخدِمين من خلال استغلال عيوب في التطبيق.

  • الاستحواذ على الصلاحيات الإدارية: الحصول على وصول إداري إلى الواجهة الخلفية عبر مسارات هجوم مرتبطة بالهواتف المحمولة.

  • تنفيذ أوامر النظام: تنفيذ أوامر نظام التشغيل على خوادم التطبيق.

  • هجوم إقحام تعليمات غير مرغوبة في استعلامات قواعد البيانات سواء العلائقية SQL أو غير العلائقية NoSQL: استغلال نقاط نهاية واجهات برمجة تطبيقات (API) الهواتف المحمولة للتلاعب باستعلامات قواعد البيانات الخلفية، بما يؤدِّي إلى استخراج/تعديل جماعي لبيانات حسَّاسة (معلومات تعريف شخصية، معلومات ماليَّة، بيانات الاعتماد) أو إلى اختراق أنظمة الواجهة الخلفية (طبقة الأنظمة والخدمات الإدارية التي تدير وظائف المنصَّة وبياناتها).

بالنسبة لعملاء إصدار سطح المكتب

  • تنفيذ شيفرات برمجية عن بُعد (RCE): تنفيذ تعليمات برمجية اعتباطية لدى جانب العميل أو الخادم المتصل عبر تطبيق سطح المكتب.

  • الاستحواذ على الصلاحيات الإدارية: الحصول على وصول إداري إلى الواجهة الخلفية عبر العميل، مثل تزوير الطلبات من جهة الخادم (SSRF) (خداع الخادم لإرسال طلبات شبكية إلى موارد داخلية محميَّة بالنيابة عن المهاجم، بما قد يفضي إلى تسريب بيانات أو تنفيذ أفعال غير مُصرَّح بها).

  • تنفيذ أوامر النظام: تمكُّن المهاجم من تشغيل أوامر نظام التشغيل على جهاز المستخدم (العميل) أو على خوادم الواجهة الخلفية، نتيجة إعدادات أمنية خاطئة أو معالجة غير آمنة للمُدخلات (كدمج مُدخلات المُستخدِم داخل سطر الأوامر بدل التحقُّق منها وتمريرها كمعاملات منفصلة).

Web3

معيار التصنيف ضمن هذا المستوى من المخاطر: يؤثِّر على أكثر من 50% من المستخدمين، أو يؤدّي إلى توقُّف الخدمات لأكثر من 15 دقيقة، أو يسبِّب خسائر مُحتملة تتجاوز 100,000 دولار.

  • حالات الاستخدام غير المشروع عن بُعد التي تطال المُدقِّقين أو العقود الذكية، أو الاستحواذ على الصلاحيات الإدارية

مرتفعة

Web2 (الويب التقليدي المركزي خارج السلسلة)

  • البرمجيات ذاتية الانتشار (وتُسمَّى الديدان) المُخزَّنة والمُصمَّمة لاستغلال ثغرات البرمجة النصيَّة عبر المواقع (XSS): تعمل على استغلال ثغرات البرمجة النصيَّة عبر المواقع (ثغرة تسمح بحقن وتشغيل شيفرة خبيثة (عادةً JavaScript) في مُتصفِّحات المستخدمين الآخرين، ممَّا قد يؤدّي إلى سرقة الجلسات أو تنفيذ إجراءات نيابةً عن الضحية) إذ تُخزَّن الشيفرة البرمجية الخبيثة على الخادم، لتُنفَّذ تلقائيًا عند زيارة الصفحات الحسَّاسة، ثمَّ تتكاثر ذاتيًا عبر إصابة حسابات أو صفحات أخرى مرتبطة بالمستخدم.

  • تزوير الطلبات عبر المواقع (CSRF - هجوم يستغل ثقة موقع الويب بالمُستخدِم المُسجَّل دخوله) (المُتسبِّب بإجراءات حرجة): تزوير الطلبات عبر المواقع الذي يُفضي إلى اختراق الحساب أو تنفيذ إجراءات غير مُصرَّح بها على الأصول.

  • وصول على نطاق واسع إلى الحسابات: وصول غير مُصرَّح به إلى مجموعة من حسابات المُستخدِمين بسبب ثغرات في منطق المُصادَقَة أو التفويض.

  • هجوم إقحام تعليمات SQL غير مرغوبة (يُعرف أيضًا باسم هجمات حقن تعليمات SQL) (بأثر محدود): استخراج بيانات حسَّاسة مُحدَّدة

  • تسرُّب الشيفرة المصدرية: انكشاف جزء كبير من الشيفرة البرمجية للواجهة الخلفية أو الشيفرة البرمجية الداخلية.

  • تزييف طلبات من جهة الخادم (SSRF) (بناءً على الأثر الناتج في السياق الفعلي لبيئة النظام المستهدَف): هجوم تزييف طلبات من جهة الخادم يصل إلى خدمات داخلية (علمًا أنَّ خطورة هجوم SSRF تتحدَّد وفقًا لمدى الأثر الناتج عن هذا الوصول الداخلي).

المحمول

  • تزوير الطلبات عبر المواقع (CSRF - هجوم يستغل ثقة موقع الويب بالمُستخدِم المُسجَّل دخوله) (المُتسبِّب بإجراءات حرجة): تزوير الطلبات عبر المواقع الذي يُفضي إلى اختراق الحساب أو تنفيذ إجراءات غير مُصرَّح بها على الأصول.

  • تزييف طلبات من جهة الخادم (SSRF) (بناءً على الأثر الناتج في السياق الفعلي لبيئة النظام المستهدَف): هجوم تزييف طلبات من جهة الخادم يصل إلى أنظمة أو خدمات داخلية عبر نقاط نهاية الهواتف المحمولة.

  • كشف بيانات حسَّاسة: تسريب معلومات مُشفَّرة أو حسَّاسة يُخزِّنها أو يُعالِجها التطبيق.

  • تعطيل مسارات المعاملات: عيوب في التطبيق تتداخل مع مسارات التداوُل أو الإيداع أو السحب.

  • عيوب تتعلَّق بمنطق العمل (بأثرٍ يصل إلى الأموال): استخدام غير مشروع لمنطق التطبيق بهدف التلاعب بالأرصدة أو تنفيذ معاملات غير مُصرَّح بها.

  • تسرُّب الشيفرة المصدرية: انكشاف جزء كبير من الشيفرة البرمجية المصدرية للتطبيق.

  • عمليات غير مُصرَّح بها: تنفيذ معاملات أو عمليات مالية غير مُصرَّح بها اعتمادًا على الاستخدام غير المشروع على مستوى التطبيق.

بالنسبة لعملاء إصدار سطح المكتب

  • تزييف الطلبات عبر المواقع (CSRF) (الاستحواذ على الحساب أو تحويل الأموال): طلبات مُزوَّرة من جهة العميل تُفضي إلى إجراءات مُصادَق عليها وحرِجة.

  • تزييف الطلبات من جهة الخادم (SSRF) (بناءً على الأثر الناتج في السياق الفعلي لبيئة النظام المستهدَف): طلبات مُزوَّرة يُرسلها التطبيق إلى خدمات داخلية.

  • الكشف عن بيانات حسَّاسة: إفشاء عبارات استرداد الحسابات المُشفَّرة أو بيانات محلية حسَّاسة عبر وظائف التطبيق.

  • تعطيل مسارات المعاملات: أخطاء على جهة العميل تحول دون إمكانية تنفيذ صفقات التداوُل أو عمليات الإيداع والسحب على نحوٍ صحيح.

  • عيوب تتعلَّق بمنطق العمل (بأثرٍ يصل إلى الأموال): استغلال منطق جهة العميل للتلاعب بأرصدة الحساب أو بسلوكيات التحويل.

Web3

معيار التصنيف ضمن هذا المستوى من المخاطر: يؤثِّر على أكثر من 30% من المُستخدِمين، أو يسبِّب توقّفًا لأكثر من 10 دقائق، أو يُحدِث خسائر مُحتملة تتجاوز 50,000 دولار.

  • مشكلات تتعلَّق بالمُدقِّقين أو عيوب في منطق التعامُل مع الأموال أو تسرُّبات الشيفرة البرمجية.

بالنسبة لمنصَّة Medium

Web2 (الويب التقليدي المركزي خارج السلسلة)

  • الشيفرات المُخزَّنة والمُصمَّمة لاستغلال ثغرات البرمجة النصيَّة عبر المواقع (XSS) (تتطلَّب تفاعُلًا): هجوم قائم على ثغرات البرمجة النصية عبر المواقع المُستمر(المُخزَّن)، حيث تُخزَّن الشيفرة الخبيثة على الخادم وتُنفَّذ تلقائيًا عند زيارة المستخدمين للصفحات المصابة، وتتطلَّب تفاعلًا من المُستخدِم للتشغيل.

  • تزييف الطلبات عبر المواقع (CSRF) (على مستوى الأنشطة الأساسيَّة للمنصَّة): CSRF يستهدف إجراءات أعمال غير حرِجة.

  • تجاوُز عملية المُصادَقَة (بأثر محدود): وصول غير مُصرَّح به إلى بيانات الواجهة الخلفية أو بيانات المُستخدِم دون أثرٍ مالي.

  • الاستحواذ على نطاق فرعي: التحكُّم في نطاقات فرعية غير مُستخدَمة بما يسبِّب مخاطر تطال سُمعة المنصَّة أو مخاطر تتعلَّق بالتصيُّد الاحتيالي.

  • عيوب في أكواد التحقُّق: نقاط ضعف في منطق التحقُّق عند تسجيل الدخول أو استعادة تعيين كلمة المرور.

  • كشف بيانات حسَّاسة: إفشاء بيانات مُشفَّرة أو داخلية للمستخدمين عبر واجهات قابلة للوصول (مثل واجهات برمجة التطبيقات أو نقاط وصول عامَّة غير محمية بشكل كافٍ).

  • بيانات اعتماد مكتوبة بنصٍّ صريح: وجود بيانات اعتماد مُضمَّنة مباشرةً داخل الشيفرة المصدرية أو ملفّات الإعداد (مثل أسماء المستخدمين أو كلمات المرور أو الرموز السرّية)، باستثناء مفاتيح واجهة برمجة التطبيقات (API) التي تُقيَّم ضمن فئة منفصلة.

المحمول

  • الشيفرات المُخزَّنة والمُصمَّمة لاستغلال ثغرات البرمجة النصيَّة عبر المواقع (XSS) (تتطلَّب تفاعُلًا): هجوم قائم على ثغرات البرمجة النصية عبر المواقع المُستمر(المُخزَّن) داخل مكوِّنات تطبيق الهاتف المحمول، بحيث تبقى الشيفرة الخبيثة مخزَّنة وتُنفَّذ فقط عند قيام المستخدم بإجراء معيَّن (مثل النقر أو إدخال بيانات).

  • تزييف الطلبات عبر المواقع (CSRF) (على مستوى الأنشطة الأساسيَّة للمنصَّة): تزوير طلبات عبر المواقع يستهدف إجراءات أعمال غير حرِجة.

  • تجاوز المصادقة (بأثر محدود): وصول غير مُصرَّح به إلى بيانات المُستخدِم أو إعداداته دون أثرٍ مالي.

  • تسرُّبات التخزين المحلي: إفشاء بيانات حسَّاسة مخزَّنة من قِبَل العميل، مثل رموز الوصول إلى الجلسة (وهي رموز مؤقتة تُنشئها أنظمة المصادقة لتحديد هوية المستخدم والتحقق من جلسة تسجيل دخوله دون الحاجة لإدخال كلمة المرور في كل مرة) أو بيانات اعتماد مُشفَّرة.

  • عيوب التحقُّق: نقاط ضعف في كود التحقُّق لمرَّة واحدة (OTP) أو آليات تسجيل الدخول أو إعادة التعيين بسبب عدم كفاية خطوات التوثيق أو غياب تحديد المُعدَّل (آلية تقنية تحدُّ من عدد المحاولات أو الطلبات التي يمكن تنفيذها خلال فترة زمنية مُحدَّدة).

  • بيانات اعتماد مكتوبة بنصٍّ صريح: وجود معلومات سرية مُضمَّنة مباشرةً داخل ملفَّات التطبيق (مثل أسماء المستخدمين أو كلمات المرور)، باستثناء مفاتيح واجهة برمجة التطبيقات (API) التي تُقيَّم ضمن فئة منفصلة.

بالنسبة لعملاء إصدار سطح المكتب

  • تزييف الطلبات عبر المواقع (CSRF) (على مستوى الأنشطة الأساسيَّة للمنصَّة): تزوير إجراءات غير حسَّاسة لدى العميل، مثل تغيير الإعدادات.

  • تجاوز المصادقة (بأثر محدود): الحصول على وصول غير مُصرَّح به إلى إعدادات على مستوى المُستخدِم أو إلى واجهات مقيَّدة لدى العميل (أي نوافذ أو صفحات داخل التطبيق يُفترض أن تكون مُتاحة فقط لصلاحيات معيَّنة).

  • تسرُّبات التخزين المحلي: إفشاء بيانات قابلة للاستخدام على نحو غير مشروع يُخزّنها العميل مثل رموز الوصول إلى الجلسة أو مفاتيح المُصادَقَة دون حماية أو رقابة وصول كافيتين.

  • بيانات اعتماد بنصٍّ واضح: معلومات سرية مُضمَّنة دون تشفير (باستثناء مفاتيح واجهة برمجة التطبيقات) داخل إعدادات العميل أو ملفَّاته التشغيلية.

Web3

معيار التصنيف ضمن هذا المستوى: يتطلَّب تفاعُلًا أو يقتصر أثره على نطاقٍ محدود.

  • حالات الاستخدام غير المشروع للمَحافظ والتي تعتمد على التفاعُل من قِبَل المُستخدم، أو تعطيل مسارات المعاملات.

منخفض

Web2 (الويب التقليدي المركزي خارج السلسلة)

  • استغلال ثغرات البرمجة النصيَّة عبر المواقع (XSS) الانعكاسية: ثغرة تسمح بحقن شيفرة خبيثة (غالبًا JavaScript) تُدرَج في عنوان URL أو معلِّمة طلب، فيعكسها الخادم في الاستجابة فورًا، فإذا نقر المستخدم على الرابط أو أرسل الطلب، تُنفَّذ الشيفرة في متصفّحه (ويختلف هذا النمط عن XSS المخزَّنة بأنَّ الشيفرة الخبيثة غير محفوظة على الخادم، بل تُنفَّذ لحظة التفاعل).

  • استغلال ثغرات البرمجة النصيَّة عبر المواقع (XSS) على مستوى طرف العميل دون أي تفاعل مع الخادم (DOM) أو باستغلال المحتوى البرمجي لمكونات Flash القديمة في الصفحة (مثل ملفات SWF): هجمات استغلال البرمجة عبر المواقع من جهة العميل دون تفاعلٍ مع الواجهة الخلفية.

  • حالات إعادة التوجيه المفتوحة: توجيه المُستخدِمين إلى نطاقات خارجية دون تحقُّق.

  • حالات تسرُّب المعلومات العامَّة: إفشاء مسارات داخلية أو أدلَّة (مواقع ملفات مُحدَّدة) أو واجهات تنقيح للأخطاء البرمجية الحاصلة.

  • تزييف الطلبات عبر المواقع (CSRF) العام: تزوير طلبات عبر المواقع يستهدف إجراءات غير حسَّاسة بالنسبة للمُستخدِم.

  • التلاعب بترويسات HTTP : تعديل رؤوس الطلب أو الاستجابة بتأثيرٍ محدود، مثل تغيُّر سلوك التخزين المؤقّت أو إعادة التوجيه (HTTP هو بروتوكول النقل في الويب (بين العميل والخادم)، والترويسات هي حقول معلومات تُرفَق برسائل الطلب المُرسلَة من المتصفح أو الاستجابة المُرسلَة من الخادم، مثل Cache-Control للتحكّم في الذاكرة المؤقَّتة أو Location لإعادة التوجيه).

المحمول

  • انكشاف مكوّنات التطبيق: تعريض مكوّنات يفترض أن تظل محجوبة عن الوصول الخارجي، مثل أنشطة Android المُعلَنة (وهي واجهات داخل التطبيق يمكن الوصول إليها مباشرة من تطبيقات أخرى إذا لم تُؤمَّن بشكل صحيح) أو خدمات iOS (خدمات النظام أو المكوّنات البرمجية التي يمكن استدعاؤها من تطبيقات أخرى إذا لم تُقيَّد).

  • حالات إعادة التوجيه المفتوحة: عمليات إعادة توجيه غير مُتحقَّق من سلامتها ضمن تدفُّقات عمل التطبيق (المسارات أو الخطوات التي يسلكها المستخدم داخل التطبيق).

  • مشكلات ترويسات HTTP: تعديلات طفيفة بتأثير ضئيل يمكن إهماله.

بالنسبة لعملاء إصدار سطح المكتب

  • حجب خدمة محلِّي: تعطيل تطبيق سطح المكتب عبر ملفات أو مُدخلات غير صحيحة البنية تؤدّي إلى فشل المعالجة وانهيار التطبيق.

  • سوءِ ضبط طفيف: انكشاف ملفات مؤقَّتة أو محليَّة من دون عرض بيانات حسَّاسة أو إتاحة الفرصة المباشرة للاستخدام غير المشروع.

Web3

معيار التصنيف ضمن هذا المستوى: أثر أو قابليَّة استخدام غير مشروع ضئيلان.

  • مشكلات استقرار العُقَد أو تسرُّبات للمعلومات بحدودها الدنيا.

توجيهات إرشاديَّة إضافية

  • IDOR (مرجع غير آمن مباشر إلى الكائنات - ثغرة ناتجة عن إمكانية الوصول إلى موارد النظام (مثل ملفات أو حسابات أو سجلات) عبر التلاعب بالمعرّفات مباشرةً ودون تحقق من الصلاحيات): يجب على المُبلِّغ أن يوضِّح مسار اكتشاف المُعرِّفات (أي النمط أو المنهجية التي مكَّنته من تحديد المُعرِّفات القابلة للاستغلال)، وليس الاعتماد فقط على التخمين بالقوة الغاشمة (تجريب قيم أو أرقام عشوائية/متتابعة دون منهجية).

  • بالنسبة للأجهزة المحمولة: بلِّغ عن كل ثغرة لمرَّة واحدة فقط لكل منصَّة (سواء لتطبيق الأجهزة العاملة بنظام iOS أو Android).

  • التكرارات: تَكرار نفس المشكلة عبر أصول متعدّدة يُحتسَب تقريرًا واحدًا.

  • النتائج الإيجابية الزائفة، أو الأثر التجاري المنخفض، أو العيوب غير القابلة للاستخدام غير المشروع — لا تُكافَأ، لكن قد يُعترف بوجودها أو يُسجَّل الإبلاغ عنها دون صرف مكافأة.

حالات لا تُحتسَب كرصد ثغرات ولا تُكافَأ

  • التقارير المُستخرَجة من أدوات أو ماسحات تلقائيَّة

  • نتيجة إيجابية زائفة لهجوم حقن أو إقحام تعليمات SQL دون تقديم برهان عملي مُكتمِل (PoC) يُثبت استخراج اسم قاعدة البيانات أو اسم مستخدمها

  • الثغرات الأمنية بسبب البريد العشوائي، وانتحال عناوين البريد (إرسال رسائل تبدو كأنها مرسلة من عنوان شرعي)، وهجمات الإرسال المُكثَّف (ويُسمَّى أيضًا قصف البريد الإلكتروني - هجوم يهدف لإغراق صندوق بريد هدف بمئات أو آلاف الرسائل خلال فترة قصيرة، ممَّا يؤدي إلى تعطيل خدمة البريد أو استنزاف الموارد)، وما إلى ذلك.

  • البرمجة النصية الذاتية عبر المواقع (XSS)

  • استخدام مكتبات أو مكوِّنات معروفة بوجود ثغرات أمنية فيها من دون وجود برهان عملي مُكتمِل (PoC)

  • النقر على الصفحات الّتي لا تحتوي على إجراءات حساسة

  • تزوير الطلبات عبر المواقع (CSRF) على النماذج غير المُصادَق عليها أو ذات الأثر المنخفض (نماذج لا تتطلّب تسجيل دخول أو لا تؤدّي إلى تغييرات مهمة، مثل صناديق البحث العامَّة أو نماذج الإبلاغ غير الحرجة، هذه الحالات لا تؤدي إلى اختراق حساب أو تحويل أموال لذلك تُعدُّ خارج نطاق المكافآت ما لم تُظهر أثرًا فعليًا).

  • الهجمات التي تتطلَّب وجود وسيط (MITM - نوع من الاختراق الأمني حيث يتسلل المهاجم بين متحاورين في شبكة دون علم كل منهما) أو جهاز تمَّ كسر قيود نظام التشغيل فيه أو تعديله، أو تستلزم وصولًا ماديًا إلى جهاز المُستخدِم

  • المكتبات المعروفة سابقًا بأنَّها تعاني من ثغرات أمنية ومن دون برهان عملي مُكتمِل (PoC)

  • حقن CSV (ثغرة تنشأ عندما يقبل التطبيق مدخلات نصية من المستخدم ثم يُصدِّرها ضمن ملف CSV دون تنظيف أو ترميز مناسب. فإذا احتوى أحد الحقول على صيغة قابلة للتنفيذ فإنَّ برامج إدارة الجداول قد تُعامل هذا الحقل كصيغة وتنفِّذه عند فتح الملف، ممَّا قد يؤدي إلى تنفيذ أوامر، أو تسريب بيانات، أو إجراءات غير مرغوب فيها) من دون إظهار كيفية الاستغلال فعليًا

  • غياب أفضل الممارسات في بروتوكولات التشفير SSL (بروتوكول أمان لتأمين الاتصالات عبر الشبكة) أو TLS (بروتوكول أمان أحدث وأكثر تطورًا يُستخدم الآن لتشفير الاتصالات عبر الإنترنت) (مثل اعتماد خوارزميات تشفير ضعيفة أو إصدارات قديمة من البروتوكول)

  • محاولات حجب الخدمة (DoS) أو تعطيل الخدمة

  • تزييف المحتوى (إدخال أو عرض محتوى مزيّف للمستخدم (مثل رسالة خطأ أو تحذير كاذب)) أو حقن نصّي من دون تعديل في شيفرة HTML أو CSS (أي من دون تغيير بنية الصفحة أو مظهرها)، ومن دون استخدام متجه هجوم (أي الطريق أو الأسلوب الذي يستغله المهاجم لاختراق النظام. مثل رابط خبيث، أو حقن عبر استمارة إدخال، أو ملف مرفق).

  • مشكلات آلية تحديد معدّل الطلبات (آلية تقييد لعدد الطلبات التي يمكن للعميل إجراؤها خلال فترة زمنية محددة، تُستخدم للحدّ من إساءة الاستخدام والتخفيف من هجمات الحرمان من الخدمة الجزئية) أو هجمات القوة الغاشمة (محاولة متكرِّرة ومنهجيّة لتخمين معلومات حسّاسة (كلمات مرور، رموز التحقّق) عن طريق تجربة الكثير من الاحتمالات تلقائيًا) على واجهات لا تتعلَّق بالمصادقة (أي واجهات برمجة تطبيقات أو نقاط نهاية لا تتضمَّن وظائف المصادقة مثل تسجيل الدخول أو إعادة تعيين كلمة المرور، مثل واجهات عرض البيانات أو تنفيذ المعاملات)

  • غياب أفضل الممارسات في سياسة أمان المحتوى

  • غياب وسمَي HttpOnly (وسم يَحجُب وصول شيفرات JavaScript إلى ملف تعريف الارتباط لحمايته من هجمات البرمجة النصية عبر المواقع XSS) أو Secure (وسم يضمن إرسال ملف تعريف الارتباط فقط عبر بروتوكول HTTPS الآمن لمنع تسريبه عبر الشبكات غير المشفّرة) في ملفات تعريف الارتباط، وهو ما يجعل هذه الملفات عرضةً لمخاطر أمنية مثل سرقة الجلسات أو انتحال الهوية.

  • سجلات SPF (إطار سياسة الإرسال، وهو آلية تُحدِّد خوادم البريد المسموح لها بإرسال الرسائل نيابةً عن نطاق ما) أو DKIM (بروتوكول البريد المُعرَّف بمفاتيح النطاق - والذي يُضيف توقيعًا رقميًا إلى كل رسالة صادرة من النطاق، للتأكُّد من أنَّها أصلية ولم يتمّْ تعديلها) أو DMARC (سياسة مصادقة الرسائل والإبلاغ عنها ومطابقتها استنادًا إلى النطاق - وهو بروتوكول يُحدِّد كيف يجب على خدمات البريد الإلكتروني التعامُل مع الرسائل غير المُصرَّح بها التي تُرسل باسم نطاق ما) المفقودة أو غير الصحيحة، وجميعها تُعد آليات أساسية لتوثيق البريد الإلكتروني.

  • ثغرات تؤثِّر فقط على مُتصفِّحات قديمة أو غير مُحدَّثة (أقدم من نسختين مستقرّتين)

  • الكشف عن أرقام إصدارات البرمجيات (إظهار رقم الإصدار علنًا مما قد يكشف ثغرات معروفة)، أو معلومات الشعار التعريفي (رسائل تعريفيَّة تُظهر تفاصيل الخادم أو التطبيق عند الاتصال به)، أو تتبّعات الاستدعاءات البرمجية/المكدّس (رسائل تُظهر تسلسل الاستدعاءات الداخلية عند حدوث خطأ)، أو رسائل أخطاء مطوَّلة (تفاصيل مفرطة عن النظام تُعرض في رسالة الخطأ).

  • ثغرات يوم الصفر (ثغرات أمنيّة غير مُعلَن عنها سابقًا ولم يكن لدى المطوِّر أو الشركة المالكة وقت لمعالجتها قبل أن يبدأ المهاجمون باستغلالها. أي أن الاستغلال يبدأ في نفس يوم اكتشافها أو إعلانها، دون فترة سماح) العلنية والتي صَدرت لها تحديثات أمنية/إصلاحات برمجية منذ أقل من شهر (وتُقيَّم طريقة التعامل معها حالةً بحالة)

  • الإمساك بعلامات التبويب

  • ثغرات تتطلّب تفاعلًا غير مُرجَّح الحدوث من قِبَل المستخدم

  • ثغرات أمنية معروفة مُسبقًا لدى الفرق الداخلية

  • توصيات «أفضل الممارسات» فقط (مثل اقتراحات تقوية وتحصين الأنظمة

  • ثغرات مرتبطة بمنصّة WordPress

  • التحميل الجانبي لمكتبات DLL (هجوم يستغلُّ طريقة تحميل البرامج لمكتبات الربط الديناميكي (DLL) بحيث يتمّ إدراج مكتبة خبيثة بدل المكتبة المشروعة، ممَّا قد يتيح تنفيذ شيفرة خبيثة على الجهاز) دون إظهار حدوث تصعيدٍ في الامتيازات (عملية يحصل فيها المهاجم على مستويات صلاحية أعلى من تلك التي يمتلكها بالفعل (مثلاً الانتقال من صلاحية مستخدم عادي إلى صلاحية مسؤول)).

  • التحايل على آلية تحديد مُعدَّل الطلبات بمُجرَّد تغيير عنوان IP أو مُعرِّف الجهاز

  • تزييف شريط العنوان (عرض عنوان مزيف أو مُضلِّل في شريط العنوان بينما يعرض المحتوى صفحة أخرى فعلية، بحيث يظن المستخدم أنّه يتصفّح موقعًا آمنًا بينما هو في واقع الأمر على موقع خبيث) أو انتحال عنوان URL (استخدام عناوين أو نطاقات تُشبه النطاق الحقيقي (أو تزوير العرض البصري للعنوان) لخداع المستخدم) أو النطاق داخل متصفحات الويب المُضمَّنة في التطبيقات على الأجهزة المحمولة (مثل متصفحات dApp أو المتصفحات المبنية على WebView - متصفحات ويب مضمَّنة داخل تطبيقات الهواتف المحمولة بدلًا من فتح صفحة في متصفح خارجي مستقل).

  • كشف بيانات حسّاسة على وسائل التواصل الاجتماعي

  • الاستحواذ على نطاقات داخلية لا تندرج ضمن النطاقات okx.com أو okg.com أو oklink.com.

  • تطبيقات (سطح مكتب/الأجهزة المحمولة) لم تُنزَّل من المصادر الرسمية المشمولة بالنطاق

  • الإبلاغ عن «إثبات الاحتياطيات» على أنّه تسرُّب لوثيقة حسَّاسة

  • تقارير تعتمد فقط على تحليل ساكن (أسلوب لفحص الشيفرة أو الملفّات البرمجية دون تشغيلها فعليًا. يقدّم إشارات مبدئية لكنه لا يثبت أن الثغرة قابلة للاستغلال فعلًا) للملفّات التنفيذية (برامج أو وحدات برمجية مُترجَمة إلى لغة الآلة وجاهزة للتشغيل (مثل ملفات .exe أو .dll على ويندوز، أو ELF على لينكس)) من دون برهان عملي يؤثّر في منطق الأعمال

  • غياب آليات الإخفاء (تقنية لإعادة كتابة الشيفرة أو التطبيق بطريقة تجعل من الصعب على المهاجمين قراءة الكود أو فهم بنيته الداخلية)، أو حماية الملفّات التنفيذية، أو آليات رصد كسر قيود نظام التشغيل أو تغييره بإصدار غير رسمي.

  • تجاوز آلية «تثبيت الشهادة» (آلية أمان تُقيِّد التطبيق لقبول شهادات TLS/HTTPS مُحدَّدة (مثل شهادة الخادم أو بصمة مفتاحها)، بدلًا من الاعتماد الكلّي على سلاسل الثقة العامة، وذلك لمنع هجمات الوسيط) على الأجهزة التي تمَّ كسر قيود نظام التشغيل فيها أو تغييره.

  • غياب آليات تخفيف الاستخدام غير المشروع (مثل PIE (طريقة بناء تجعل الملفّ التنفيذي يُحمَّل في عناوين ذاكرة مختلفة في كل تشغيل، ممَّا يُصعِّب على المهاجمين توقُّع مواقع التعليمات)، وARC (آلية خلط مواقع أجزاء الذاكرة بحيث لا تكون عناوينها ثابتة، ممَّا يقلّل من قدرة المهاجم على القفز إلى مواقع متوقعة)، وStack Canaries (قيمة سرّيّة بين المخزن المؤقّت (buffer) وعنوان الإرجاع في المكدّس، تُفحص هذه القيمة قبل العودة من الدالة، وإذا تغيّرت يُفترض أن هناك تجاوزًا للذاكرة، فَتُنهِي العملية بدلًا من تنفيذ تعليمات مخترقة.))

  • وجود بيانات حسّاسة داخل عناوين URL أو بنى الطلبات، عندما تكون محميَّة ببروتوكول TLS

  • الكشف عن المسارات ضمن الملفّات التنفيذية

  • معلومات سرية خاصَّة بالتطبيق مُضمَّنة بنصٍّ صريح أو قابلة للاسترجاع داخل حزم IPA (لنظام iOS)/APK (لنظام Android) من دون أثرٍ على منطق الأعمال

  • بيانات حسّاسة مُخزّنة داخل الدليل الخاص بالتطبيق

  • انهيار التطبيق نتيجة مخططات عناوين URL غير صحيحة البنية (مخططات أو بروتوكولات مخصَّصة قد تحتوي على مدخلات غير متوقعة تؤدي إلى أخطاء عند المعالجة) أو مكوّنات مُصدَّرة (مكوّنات التطبيق التي جرى طرحها بحيث يمكن لتطبيقات أخرى استدعاؤها. فإذا لم تُؤمَّن بشكل صحيح، يمكن إساءة استخدامها لإحداث أعطال أو تنفيذ سلوكيات غير متوقعة).

  • حالات الاستخدام غير المشروع التي تتم وقت التشغيل، والتي لا تكون ممكنة إلا في بيئة جهاز تمَّ كسر قيود نظام التشغيل فيه أو تعديله (مثلًا عبر أداة Frida - مكتبة ديناميكية للتجسّس والحقن تسمح للمحلّلين والباحثين الأمنيّين وأيضًا للمهاجمين بمراقبة وتغيير سلوك تطبيقات قيد التشغيل على أنظمة متعددة. تُستخدم لحقن شيفرة (عادةً JavaScript) في عمليّة جارية، واعتراض واستبدال استدعاءات الدوال، وقراءة أو تعديل القيم في الذاكرة أثناء التشغيل)

  • تسريب الروابط المُشاركة عبر الحافظة (أي قيام التطبيق بكتابة روابط مشاركة قد تحتوي على رموز وصول أو معطيات حسّاسة إلى الحافظة التي يمكن لتطبيقات أخرى قراءتها)

  • تسرُّب عناوين الموارد الموحَّدة (URI) نتيجة تطبيقات خبيثة تمتلك أذونات.

  • انكشاف مفاتيح واجهة برمجة التطبيقات (Keys) من دون إظهار أثر أمني مُثبت (مثل مفاتيح Google Maps أو مفاتيح موجودة في مستودعاتنا العلنية على GitHub)

  • الخدمات التابعة لأطراف ثالثة (ما لم يُسمح بها صراحةً)

  • الخدمات غير المملوكة لشركة OKX (مثل الثغرات الأمنية لدى مزوّدي الخدمات السحابية)

القواعد العامَّة:

  • كن السبَّاق في الإبلاغ عن الثغرة الأمنية.

  • قدّم برهانًا عمليًا واضحًا (PoC) مع خطوات إعادة إنتاج الخلل.

  • تجنّب أي اختبارات قد تؤثّر في حسابات مستخدمين حقيقيين.

  • لا تُجرِ محاولات حجب الخدمة، أو إرسال الرسائل المزعجة، أو الهندسة الاجتماعية.

  • لا تحاول الوصول إلى بيانات المستخدمين أو تعديلها من دون إذن.

حل الشكاوي

إذا كانت لديك أي آراء أو ملاحظات حول عملية الإبلاغ، ومستويات المخاطر، وطريقة تقييمها، فتواصَل مع فريق دعم العملاء لدينا للحصول على المساعدة الفورية.