تغییرات اخیر

در اینجا اطلاعیه‌ها، نسخه‌ها و تغییرات جدید لیارا فهرست می‌شوند.

    مسابقه کشف آسیب‌پذیری

    ما در جستجوی محققان امنیتی با استعداد هستیم تا به ما در بهبود امنیت و کیفیت محصولات‌مان کمک کنند. اگر شما یک شکارچی باگ هستید یا علاقه‌مند به امنیت سایبری هستید، این یک فرصت عالی برای شماست تا مهارت‌های خود را به کار بگیرید و پاداش‌های جذابی دریافت کنید.

    پاداش‌ها

    گزارش آسیب‌پذیری ارسال شده توسط شما ابتدا باید به تایید داوران لیارا برسد و پس از آن، پاداش نقدی براساس شدت و اهمیت آن مطابق فهرست زیر تعیین می‌شود:

    • Vital: تا ۱۰۰ میلیون تومان
    • Critical: تا ۳۰ میلیون تومان
    • High: تا ۲۰ میلیون تومان
    • Medium: تا ۱۰ میلیون تومان
    • Low: تا ۱ میلیون تومان

    محدوده‌ی کشف آسیب‌پذیری (Scope)

    لطفا در محدوده‌های زیر به جستجو و کشف آسیب‌پذیری بپردازید و در صورت کشف آسیب‌پذیری در محدوده‌ای خارج از فهرست زیر، ابتدا آن را گزارش دهید و در صورت تایید لیارا، ادامه دهید.

    • liara.ir
    • *.liara.ir
    • *.liara.space

    بایدها

    1. به حریم شخصی کاربران احترام بگذارید و هیچ تلاشی در راستای دسترسی، پردازش و یا از بین بردن داده های شخصی نکنید.
    2. صبور باشید و نهایت تلاش خود را برای توضیح دادن به هر سوالی که ممکن است در مورد گزارش شما داشته باشیم، انجام دهید.
    3. در تعامل با تیم ما محترم برخورد کنید و تیم ما نیز همین کار را خواهد کرد.
    4. تست‌ها را فقط با استفاده از حساب‌های شخصی یا تستی خود انجام دهید.
    5. در هنگام انجام تست‌ها، مراقب باشید تا تست‌ها هیچ تأثیر منفی بر مشتریان و خدماتی که به آنها وابسته هستند، نداشته باشد.
    6. در صورت عدم اطمینان، لطفاً تست را متوقف کنید. اگر فکر می‌کنید با تست کردن یک آسیب‌پذیری ممکن است خسارتی ایجاد کنید یا قبلاً خسارتی ایجاد کرده‌اید، گزارش اولیه خود را ارائه داده و یک مجوز برای ادامه تست را درخواست کنید.

    نبایدها

    1. از روش Brute Force یا حدس زدن رمز عبور برای به دست آوردن دسترسی به سیستم‌ها استفاده نکنید.
    2. به طور مستقیم یا غیر مستقیم حملات Denial of Service انجام ندهید.
    3. هیچ نوع فایل shell بارگذاری نکنید و backdoor ایجاد نکنید.
    4. بدون بررسی و تایید شفاف ما، هیچ آسیب‌پذیری‌ را به صورت عمومی افشا نکنید.
    5. هیچ شکلی از مهندسی اجتماعی را در برابر کارمندان، مشتریان، شرکا یا همکاران لیارا انجام ندهید.
    6. در هنگام تست، هیچ کارمند، مشتری یا شریک لیارا را درگیر نکنید و یا هدف قرار ندهید.
    7. سعی نکنید اطلاعاتی که ممکن است حاوی اطلاعات شناسایی شخصی یا سایر اطلاعات حساس باشد را استخراج، دانلود یا به هر روش دیگری انتقال دهید، مگر اینکه این اطلاعات متعلق به خودتان باشند.
    8. رمز عبور هرحسابی را که متعلق به شما نیست یا مجوز صریحی برای تغییر آن ندارید، تغییر ندهید. اگر درخواست تغییر رمز عبور یک حساب را دریافت کردید که خودتان ثبت نام نکرده اید یا به شما ارائه نشده است، فوراً آن را متوقف کنید و یافته های خودرا گزارش دهید.
    9. هیچ کاری انجام ندهید که به عنوان نقض حریم خصوصی، ایجاد خرابی در داده‌ها، متوقف کردن یا تضعیف خدمات ما تلقی شود.
    10. با حساب‌هایی که متعلق به شما نیستند، هیچ‌گونه تعاملی نداشته باشید.
    11. گزارش آسیب‌پذیری‌ها را در YouTube و سایت‌های اشتراکی آپلود نکنید.

    چه مواردی شامل این مسابقه نمی‌شود؟

    • Physical or social engineering attempts (this includes phishing attacks against Liara employees)
    • Ability to send push notifications/SMS messages/emails without the ability to change content
    • Ability to take over social media pages (Twitter, Facebook, LinkedIn, etc)
    • Negligible security impact
    • Unchained open redirects
    • Reports that state that software is out of date/vulnerable without a proof-of-concept
    • Highly speculative reports about theoretical damage
    • Vulnerabilities as reported by automated tools without additional analysis as to how they're an issue
    • Reports from automated web vulnerability scanners (Acunetix, Vega, etc.) that have not been validated
    • SSL/TLS scan reports (this means output from sites such as SSL Labs)
    • Open ports without an accompanying proof-of-concept demonstrating vulnerability
    • CSV injection
    • Best practices concerns
    • Protocol mismatch
    • Rate limiting
    • Dangling IPs
    • Vulnerabilities that cannot be used to exploit other users or Liara -- e.g. self-xss or having a user
    • paste JavaScript into the browser console
    • Missing cookie flags on non-authentication cookies
    • Reports that affect only outdated user agents or - we only consider exploits in the latest browser
    • versions for Safari, FireFox, Chrome, Edge, IE
    • Issues that require physical access to a victim's computer/device
    • Path disclosure
    • Banner grabbing issues (figuring out what web server we use, etc.)
    • If a site is abiding by the privacy policy, there is no vulnerability.
    • Enumeration/account oracles
    • Account oracles -- the ability to submit a phone number, email, UUID and receive back a message
    • indicating a Liara account exists
    • Distributed denial of service attacks (DDOS)

    نحوه‌ی ارسال گزارش

    پس از مطالعه‌ی شرایط فوق، گزارش خود را با عنوان کردن نکات زیر به آدرس bugbounty@liara.ir ارسال کنید:

    • شدت آسیب‌پذیری
    • مراحل بازتولید آسیب‌پذیری
    • هرگونه تنظیم لازم برای بازسازی حمله

    خدمات رایگان لیارا

    ۲.۵ گیگابایت فضای ذخیره‌سازی ابری رایگان

    ۲.۵ گیگابایت Object Storage سازگار با پروتکل S3 با دیسک‌های SSD به‌صورت رایگان دریافت کنید.

    هاست رایگان برای دیتابیس‌

    دیتابیس‌های MariaDB، PostgreSQL و Redis را فقط با یک کلیک و به‌صورت رایگان تهیه کنید.

    سرویس DNS رایگان

    به سادگی دامنه‌تان را اضافه کنید و به صورت رایگان رکورد‌های آن را مدیریت کنید.

    ۱۰۰ هزار تومان اعتبار اولیه

    بعد از ثبت نام در لیارا مبلغ ۱۰۰ هزار تومان اعتبار هدیه دریافت می‌کنید که با توجه به ساعتی بودن هزینه سرویس‌ها، می‌توانید تمامی خدمات پولی را برای چندین هفته رایگان استفاده کنید.

    ارسال ۱۰۰ ایمیل تراکنشی رایگان در هر ماه

    در سرویس ایمیل لیارا شما می‌توانید تا ۱۰۰ ایمیل رایگان در هر ماه ارسال کنید و فقط برای بیش از آن هزینه پرداخت کنید. (به‌همراه دسترسی SMTP)

    هاست رایگان برای انواع وبسایت

    تفاوتی ندارد برای وبسایت خود از Node استفاده می‌کنید یا Laravel و Django، در لیارا می‌توانید به صورت کاملا رایگان آن را میزبانی کنید.

    توسعه‌دهندگان درباره‌ی ما چه می‌گویند

    تجربه کار باliara_cloud@امروز خیلی خوب بود. یکی از سرویس هام رو منتقل کردم روش و راضیم. انقد سریع و جذاب کارم راه افتادم اصن باورم نمیشد! برعکس سرویس های PaaS دیگه با اون همه پیچیدگیشون. دمتون گرم
    ...

    MohammadReza
    liara testimonial
    keikaavousi

    بعد از بسته شدن @fandoghpaas و ناراحتی همه‌مون از اینکه یه سرویس خوب و صادق نمی‌تونه از پس هزینه‌ها بر بیاد، سرویسم رو منتقل کردم به پاس لیارا (https://liara.ir @liara_cloud) . تجربه راحت و خوب. تفاوت‌هایی داشت که کمی کار می‌خواست ولی تا الان کاملا راضی.

    jadi
    liara testimonial
    jadi

    یه خسته نباشید باید به تصمیمliara_cloud@بگم،
    بعد از چندین روز سرکله زدن با سرویس های مشابه بالاخره تصمیم گرفتم لیارا رو امتحان کنم و باور نمیشه ۱۰ دقیقه بیشتر وقت نبرد،
    دمتون گرم.

    Arch
    liara testimonial
    EbadiDev

    واسه سرویس PaaS با اختلاف لیارا بهترین رابط کاربری داره و یکی از مزیت‌های سرویس دیتابیس‌شون اینه که خودشون به صورت دوره‌ای بکآپ میگیرن.
    ...

    Ali Najafi
    liara testimonial
    me_ali_najafi

    یکی از کارهای خوبی که جدیداً میکنم اینه که یه دیتابیس روی لیارا میسازم و به پروژه وصل میکنم اینطوری هم خونه و هم محل کار دیتابیس بروز رو دارم و راحت میتونم ادامه بدم کار روliara_cloud@

    Navid
    liara testimonial
    1navid

    عاشقliara_cloud@شدم درسته در حد AWS نیست ولی خب تجربه خوبی واسه پروژه های داخل ایران ارائه میده، میتونم رو CD هم اجراش کنم

    Amir H Shekari
    liara testimonial
    vanenshi

    همراه شما هستیم

    در خصوص سفارش یا استفاده از سرویس‌ها سوالی دارید؟
    تلفن واحد فروش:
    ۰۲۵-۳۳۵۵۷۶۱۹ (روزهای کاری ۹ الی ۱۷)
    تلفن واحد فروش: ۳۳۵۵۷۶۱۹-۰۲۵ (روزهای کاری ۹ الی ۱۷)