ارزیابی امنیتی سامانه باتو
بسمه تعالی
در این مسابقه به متخصصین و هکرهای کلاه سفیدی که موفق به کشف حفره امنیتی در سامانه باتو شوند، جایزه داده خواهد شد. گزارشهای ارسالی شما طی ۷ روز بررسی خواهد شد.
ثبت گزارش
جهت پرداخت جایزه، شواهد و مدارک قابل استناد که آسیبپذیری را تائید کند (مانند فیلم، عکس، اسکرینشات از صفحه و اسکریپت) مورد نیاز است.
برای بررسی فنی آسیبپذیری گزارششده، مراحل تولید مجدد آن لازم است. خواهشمند است که شواهد کافی نظیر مقادیر ورودی و عملیات انجامشده مورد نیاز برای بهرهبرداری از آسیبپذیری را در گزارش قرار دهید. اگر تیم امنیتی نتواند آسیبپذیری را مجدداً ایجاد و تایید کند، به گزارش ارسالشده جایزهای تعلق نمیگیرد.
در یک گزارش خوب انتظار میرود که موارد زیر مشخص شده باشد:
- نوع آسیبپذیری (SQL Injection، Cross-Site Scripting و ... )
- نوع و نسخه سیستم عامل، مرورگر و سایر برنامههای مورد استفاده
- هرگونه تنظیم خاصی که مورد نیاز است تا حمله بازسازی شود.
- دستورالعمل مرحله به مرحله برای بازسازی حمله
- آسیبپذیری به طور کامل شرح داده شود و اینکه چگونه این آسیب میتواند مورد سوء استفاده قرار گیرد.
دامنههای مورد نظر
توجه! متخصصین تنها مجاز به ارزیابی امنیتی زیردامنه این مرکز (bato.im) هستند و دیگر سامانه ها و سرویس ها در حیطه مسابقه نیست.
آدرس فایل برنامه تحت سیستم عامل اندروید
https://www.bato.im/app/bato.apk
توجه: مزاحمت پیامکی برای خطوط غیر از شماره تماس متخصص، ممنوع است. (تمام پیامک ها باید از خطوط موبایل متعلق به متخصص ارسال شود.)
آسيبپذيریهای قابل قبول و جوايز
با توجه به این که این سامانه سرویس های مبتنی بر پیام رسانی و همچنین یافتن افراد براساس منطقه جغرافیایی را ارایه می دهد آسیب پذیری هایی در لایه فنی و غیر فنی مدنظر است که در حیطه ارایه سرویس به کاربر نهایی باشد.
- دسترسی به لیست کل کاربران سامانه با شماره تلفن (5 میلیون تومان)
- دسترسی به لیست کل کاربران سامانه (3 میلیون تومان)
- دسترسی به فایل های ارسال شده و یا دریافت شده توسط کاربران دیگر ( 4 میلیون تومان)
- دسترسی به مخاطبین کاربر دیگر (1 میلیون تومان)
- لیست شماره موبایل مدیران کانال و یا گروه ( 1 میلیون تومان)
- جعل هویت در چت با افراد ، بدان معنا که با آیدی یک نفر به طرف دیگر پیام ارسال و دریافت گردد(2 میلیون تومان)
- دسترسی به اطلاعات گروه بدون عضویت در آن ( 1 میلیون تومان)
- تغییر اطلاعات( اعم از چت و یا فایل) ارسال شده و یا دریافت شده توسط کاربر ( 1 میلیون تومان)
- چت با کاربر دیگر از طریف قابلیت NearBy بدون طی فرآیند طراحی شده داخل نرم افزار اندروید( 1 میلیون تومان)
- بدست آوردن لیست اعضای کانال ( 300 هزار تومان)
- ورود به سامانه با هویت کاربر دیگر و ارسال و دریافت از طرف کاربر دیگر ( 1 میلیون تومان)
- اخلال در عملکرد یک کاربر خاص ( 500 هزار تومان)
- خرید شارژ بدون پرداخت پول (500 هزار تومان)
- خرید چندباره شارژ با یک بار پرداخت پول ( 600 هزار تومان)
- بدست آوردن لیست کانال ها و یا گروه هایی که یک کاربر در آن عضو است (300 هزار تومان)
- ارسال پیام در کانال یا گروه به جای ادمین کانال (به طور کلی تغییر دادن هر تنظیماتی از کانال یا گروه به جای ادمین)(500 هزار تومان)
- بدست آوردن مکالمات خصوصی دو نفر (2 میلیون تومان)
- تغییر ادمین کانال و یا گروه ( اضافه کردن ویا حذف) و یا اعمال قابلیت های مربوط ادمین بر روی یک کاربر عضو ( 700 هزار تومان)
- تغییر شماره و یا نام کاربری کاربران ( 500 هزار تومان)
- اضافه کردن کاربران به کانال ها و گروه ها بدون اجازه (400 هزار تومان)
- غیر فعال سازی یک کاربر و یا لیست کاربران( 600 هزار تومان)
نوع آسیب پذیری | میزان تشویقی |
Remote code execution | 4 میلیون تومان |
Local files access and manipulation | 3 میلیون تومان |
Injections | 2 میلیون تومان |
Cross-Site Scripting (XSS) | 500 هزار تومان |
Cross-Site Requests Forgery (CSRF/XSRF) | 400 هزار تومان |
Other Low Risk* | حداکثر 400 هزار تومان |
Other Medium Risk* | 400 تا 999 هزار تومان |
Other High Risk* | 1 تا 4 میلیون تومان |
* Based on CVSSv2 Vulnerability Scoring System
- برای تشویقیهایی که یک بازه تعیین شده است، داوران سامانه كلاه سفيد بر اساس پارامترهای Exploitability و Impact تصمیمگیری خواهند کرد و صرفاً نظر این کارشناسان معیار خواهد بود.
- آسیبپذیریهای مشابه که به طور مثال مربوط به یک پارامتر خاص است و ممکن است در صفحات مختلفی دیده شود، یکبار محسوب میشود.
- در صورتی واجد شرایط دریافت جایزه هستید که اولین نفری باشید که آسیبپذیری ناشناخته را گزارش کنید.
- زمان قابل قبولی برای تیم امنیتی در نظر گرفته میشود تا آسیبپذیری گزارششده را ترمیم کنند و قبل از آن نباید اطلاعات گزارش علنی شود.
- افشای آسیبپذیریها فقط بر اساس قوانین سایت کلاه سفید و توسط این سایت انجام میشود. هر گونه افشای اطلاعات توسط متخصص قبل از آن مغایر با قوانین سایت است.
آسيبپذيریهای غير قابل قبول
آسيبپذيریهای زير پذيرفته نمیشوند:
- با توجه به شرایط ثبت نام و ورود، ارسال پیامک به ازای آدرس IP و شماره محدودیت داشته و ارزیابی آن شامل مشمول مسابقه نیست.
- حملات از كار اندازی سرويس (DoS , DDOS)
- حملات مهندسی اجتماعی و Phishing
- آسيبپذيری در دامنهها و آدرسهای IP غير از آدرس هدف
- Best Practiceها، شامل حداقل طول كلمات عبور و نظایر آن
- آسیبپذیریها و Best Practiceهای مربوط به SSL
- حمله Brute Force به نحوی که از لایه نرم افزار استفاده نشود
- آسیبپذیریهایی که به تعامل با کاربر نیاز است
- آسیبپذیریهای مربوط به مرورگرهای قدیمی
- نامهنگاری الکترونیکی جعلی (E-mail spoofing)
- حمله Self XSS
- هر موردی که مربوط به بدست آوردن نامهای کاربری (Account/e-mail enumeration) باشد
- آسیبپذیریهایی که قبلاً توسط سایر متخصصین گزارش شده است
- آسیبپذیریهای گزارششده توسط اسکنرها و سایر ابزارهای اتوماتیک
- گزارش پایینبودن ورژن کتابخانهها و نرمافزارهای به کار رفته در صورت عدم بهرهبرداری
- آسیبپذیریهای مربوط به نشت اطلاعات سرور و پیکربندی نادرست آن مثل نسخه و نوع وب سرور
- آسیب پذیری های غیر مرتبط با دامنه محدوده مسابقه
نام | ارزیابی امنیتی سامانه باتو |
---|---|
نام سازمان | شبکه اجتماعی باتو |
وضعیت مسابقه | غیرفعال |
نوع مسابقه | عمومی |
تاریخ شروع | 1398/2/4 |
تاریخ پایان | 1398/6/15 |
زمان ساخت | سه شنبه ۲۷ آذر ۱۳۹۷ ۱۲:۰۹:۲۳ |
زمان به روز رسانی | چهارشنبه ۲۴ مهر ۱۳۹۸ ۱۴:۵۳:۳۸ |
مبلغ کل جوایز | 150,000,000 (ریال) |
حداقل جایزه برای هر باگ | |
حداکثر جایزه برای هر باگ | |
ارزش جوایز پرداختشده | 70,500,000 (ریال) |
حفرههای گزارششده | 51 |
حفرههای تاییدشده | 23 |
حفرههای تاییدنشده | 23 |
حفرههای تکراری | 5 |
حفرههای در حال بررسی | 0 |
فعالیت های این مسابقه (فقط جوایز بالاتر از ۵۰۰۰۰۰ ریال)
# | نام مسابقه | شناسه گزارش | متخصص | نوع فعالیت | نوع آسیبپذیری / باگ | مبلغ جایزه (ریال) | مشاهده | زمان |
---|---|---|---|---|---|---|---|---|
1 | ارزیابی امنیتی سامانه باتو | 1658 | hoseinroot | دریافت جایزه | Access Control Bugs | 900,000 | - | شنبه ۶ اردیبهشت ۱۳۹۹ ۱۱:۴۲:۳۷ |
2 | ارزیابی امنیتی سامانه باتو | 1658 | hoseinroot | پذیرش گزارش | Access Control Bugs | در حال برآورد | - | چهارشنبه ۲۱ اسفند ۱۳۹۸ ۰۹:۰۵:۴۹ |
3 | ارزیابی امنیتی سامانه باتو | 1655 | hoseinroot | دریافت جایزه | Access Control Bugs | 900,000 | - | شنبه ۲۰ مهر ۱۳۹۸ ۰۸:۵۸:۴۴ |
4 | ارزیابی امنیتی سامانه باتو | 1653 | hoseinroot | دریافت جایزه | Access Control Bugs | 900,000 | - | شنبه ۲۰ مهر ۱۳۹۸ ۰۸:۵۴:۵۲ |
5 | ارزیابی امنیتی سامانه باتو | 1658 | hoseinroot | مشابهت با دیگر گزارش ها | Access Control Bugs | - | - | یکشنبه ۱۳ مرداد ۱۳۹۸ ۱۰:۱۱:۳۵ |