ارزیابی امنیتی سامانه تست امنیتی SSL/TLS
بسمه تعالي
در این مسابقه به متخصصین و هکرهای کلاه سفیدی که موفق به کشف حفره امنیتی در سامانه تست امنیتی SSL/TLS شوند، جایزه داده خواهد شد. گزارشهای ارسالی شما طی ۷ روز بررسی خواهد شد.
ثبت گزارش
جهت پرداخت جایزه، شواهد و مدارک قابل استناد که آسیبپذیری را تائید کند (مانند فیلم، عکس، اسکرینشات از صفحه و اسکریپت) مورد نیاز است.
برای بررسی فنی آسیبپذیری گزارششده، مراحل تولید مجدد آن لازم است. خواهشمند است که شواهد کافی نظیر مقادیر ورودی و عملیات انجامشده مورد نیاز برای بهرهبرداری از آسیبپذیری را در گزارش قرار دهید. اگر تیم امنیتی نتواند آسیبپذیری را مجدداً ایجاد و تایید کند، به گزارش ارسالشده جایزهای تعلق نمیگیرد.
در یک گزارش خوب انتظار میرود که موارد زیر مشخص شده باشد:
- نوع آسیبپذیری (SQL Injection، Cross-Site Scripting و ... )
- نوع و نسخه سیستم عامل، مرورگر و سایر برنامههای مورد استفاده
- هرگونه تنظیم خاصی که مورد نیاز است تا حمله بازسازی شود.
- دستورالعمل مرحله به مرحله برای بازسازی حمله
- آسیبپذیری به طور کامل شرح داده شود و اینکه چگونه این آسیب میتواند مورد سوء استفاده قرار گیرد.
دامنههای مورد نظر
توجه! متخصصین تنها مجاز به ارزیابی امنیتی زیردامنه این مرکز (sslcheck.certcc.ir) هستند و هیچکدام از سامانهها یا زیردامنههای دیگر سازمان در حال حاضر در مسابقه شرکت ندارد.
آسيبپذيریهای قابل قبول و جوايز
كليه آسيبپذيريها در سطوح برنامه كاربردي، سرويسدهنده وب، سيستم عامل، پايگاه داده و كليه اجزاي نرمافزاري وابسته به سايت فوق که قابل بهرهبرداری هستند، مد نظر است. جوايز بر اساس جدول زير و بر اساس نظر كارشناسان و داوران سايت كلاه سفيد به متخصصين پرداخت خواهد شد. لازم به ذکر است که به آسیبپذیریهایی جایزه داده خواهد شد که سناریوی حمله و نحوه بهرهبرداری از آسیبپذیری به صورت کامل شرح داده شده باشد و همچنین شواهد نفوذ به سیستم و یا دسترسی به دادههای حساس به طور کامل گزارش شده باشند.
| نوع آسیب پذیری | میزان تشویقی |
| Remote code execution | 2 میلیون تومان |
| Local files access and manipulation | 1 میلیون تومان |
| Injections | 1 میلیون تومان |
| Cross-Site Scripting (XSS) | 500 هزار تومان |
| Cross-Site Requests Forgery (CSRF/XSRF) | 200 تا 400 هزار تومان |
| Other Low Risk* | حداکثر 400 هزار تومان |
| Other Medium Risk* | 400 تا 999 هزار تومان |
| Other High Risk* | 1 تا 2 میلیون تومان |
* Based on CVSSv2 Vulnerability Scoring System
- برای تشویقیهایی که یک بازه تعیین شده است، داوران سامانه كلاه سفيد بر اساس پارامترهای Exploitability و Impact تصمیمگیری خواهند کرد و صرفاً نظر این کارشناسان معیار خواهد بود.
- آسیبپذیریهای مشابه که به طور مثال مربوط به یک پارامتر خاص است و ممکن است در صفحات مختلفی دیده شود، یکبار محسوب میشود.
- در صورتی واجد شرایط دریافت جایزه هستید که اولین نفری باشید که آسیبپذیری ناشناخته را گزارش کنید.
- زمان قابل قبولی برای تیم امنیتی در نظر گرفته میشود تا آسیبپذیری گزارششده را ترمیم کنند و قبل از آن نباید اطلاعات گزارش علنی شود.
- افشای آسیبپذیریها فقط بر اساس قوانین سایت کلاه سفید و توسط این سایت انجام میشود. هر گونه افشای اطلاعات توسط متخصص قبل از آن مغایر با قوانین سایت است.
آسيبپذيریهای غير قابل قبول
آسيبپذيریهای زير پذيرفته نمیشوند:
- حملات از كار اندازی سرويس (DoS)
- حملات مهندسی اجتماعی و Phishing
- آسيبپذيری در دامنهها و آدرسهای IP غير از آدرس هدف
- Best Practiceها، شامل حداقل طول كلمات عبور و نظایر آن
- آسیبپذیریها و Best Practiceهای مربوط به SSL
- حمله Brute Force
- آسیبپذیریهایی که به تعامل با کاربر نیاز است
- آسیبپذیریهای مربوط به مرورگرهای قدیمی
- نامهنگاری الکترونیکی جعلی (E-mail spoofing)
- حمله Self XSS
- هر موردی که مربوط به بدست آوردن نامهای کاربری (Account/e-mail enumeration) باشد
- آسیبپذیریهایی که قبلاً توسط سایر متخصصین گزارش شده است
- آسیبپذیریهای گزارششده توسط اسکنرها و سایر ابزارهای اتوماتیک
- گزارش پایینبودن ورژن کتابخانهها و نرمافزارهای به کار رفته در صورت عدم بهرهبرداری
- آسیبپذیریهای مربوط به نشت اطلاعات سرور و پیکربندی نادرست آن مثل نسخه و نوع وب سرور
| نام | ارزیابی امنیتی سامانه تست امنیتی SSL/TLS |
|---|---|
| نام سازمان | مرکز پژوهشی آپا - دانشگاه صنعتی امیرکبیر |
| وضعیت مسابقه | غیرفعال |
| نوع مسابقه | عمومی |
| تاریخ شروع | 1397/8/6 |
| تاریخ پایان | 1397/9/30 |
| زمان ساخت | شنبه ۵ آبان ۱۳۹۷ ۱۰:۵۲:۲۶ |
| زمان به روز رسانی | چهارشنبه ۲۴ مهر ۱۳۹۸ ۱۴:۵۳:۳۸ |
| مبلغ کل جوایز | 60,000,000 (ریال) |
| حداقل جایزه برای هر باگ | |
| حداکثر جایزه برای هر باگ | 10,000,000 (ریال) |
| ارزش جوایز پرداختشده | 23,000,000 (ریال) |
| حفرههای گزارششده | 41 |
| حفرههای تاییدشده | 9 |
| حفرههای تاییدنشده | 32 |
| حفرههای تکراری | 0 |
| حفرههای در حال بررسی | 0 |
فعالیت های این مسابقه (فقط جوایز بالاتر از ۵۰۰۰۰۰ ریال)
| # | نام مسابقه | شناسه گزارش | متخصص | نوع فعالیت | نوع آسیبپذیری / باگ | مبلغ جایزه (ریال) | مشاهده | زمان |
|---|---|---|---|---|---|---|---|---|
| 1 | ارزیابی امنیتی سامانه تست امنیتی SSL/TLS | 931 | smahmadpanah | دریافت جایزه | Business Logic Vulnerability | 900,000 | - | چهارشنبه ۱۴ آذر ۱۳۹۷ ۱۵:۳۱:۵۵ |
| 2 | ارزیابی امنیتی سامانه تست امنیتی SSL/TLS | 925 | Ox1r4ni4n | دریافت جایزه | Cross-Site Scripting | 4,500,000 | - | چهارشنبه ۱۴ آذر ۱۳۹۷ ۱۵:۲۵:۵۴ |
| 3 | ارزیابی امنیتی سامانه تست امنیتی SSL/TLS | 897 | serbia | دریافت جایزه | Access Control Bugs | 9,000,000 | - | چهارشنبه ۱۴ آذر ۱۳۹۷ ۱۵:۲۱:۳۲ |
| 4 | ارزیابی امنیتی سامانه تست امنیتی SSL/TLS | 874 | serbia | دریافت جایزه | Other | 900,000 | - | چهارشنبه ۱۴ آذر ۱۳۹۷ ۱۵:۱۶:۰۴ |
| 5 | ارزیابی امنیتی سامانه تست امنیتی SSL/TLS | 871 | serbia | دریافت جایزه | Other | 1,350,000 | - | چهارشنبه ۱۴ آذر ۱۳۹۷ ۱۵:۱۲:۴۹ |