ارزیابی امنیتی سامانه باتو

بسمه تعالی

در این مسابقه به متخصصین و هکرهای کلاه سفیدی که موفق به کشف حفره امنیتی در سامانه باتو شوند، جایزه داده خواهد شد. گزارش‌های ارسالی شما طی ۷ روز بررسی خواهد شد.

ثبت گزارش

جهت پرداخت جایزه، شواهد و مدارک قابل استناد که آسیب‌پذیری را تائید کند (مانند فیلم، عکس، اسکرین‌شات از صفحه و اسکریپت) مورد نیاز است.

برای بررسی فنی آسیب‌پذیری گزارش‌شده، مراحل تولید مجدد آن لازم است. خواهشمند است که شواهد کافی نظیر مقادیر ورودی و عملیات انجام‌شده مورد نیاز برای بهره‌برداری از آسیب‌پذیری را در گزارش قرار دهید. اگر تیم امنیتی نتواند آسیب‌پذیری را مجدداً ایجاد و تایید کند، به گزارش ارسال‌شده جایزه‌ای تعلق نمی‌گیرد.

در یک گزارش خوب انتظار می‌رود که موارد زیر مشخص شده باشد:

• نوع آسیب‌پذیری (SQL Injection، Cross-Site Scripting و ... )
• نوع و نسخه سیستم عامل، مرورگر و سایر برنامه‌‌های مورد استفاده
• هرگونه تنظیم خاصی که مورد نیاز است تا حمله بازسازی شود.
• دستورالعمل مرحله به مرحله برای بازسازی حمله
• آسیب‌پذیری به طور کامل شرح داده شود و این‌که چگونه این آسیب می‌تواند مورد سوء استفاده قرار گیرد.

دامنه‌های مورد نظر   

https://www.bato.im

توجه! متخصصین تنها مجاز به ارزیابی امنیتی زیردامنه این مرکز (bato.im) هستند و دیگر سامانه ها و سرویس ها در حیطه مسابقه نیست.

آدرس فایل برنامه تحت سیستم عامل اندروید

https://www.bato.im/app/bato.apk

توجه: مزاحمت پیامکی برای خطوط غیر از شماره تماس متخصص، ممنوع است. (تمام پیامک ها باید از خطوط موبایل متعلق به متخصص ارسال شود.)

آسيب‌پذيری‌های قابل قبول و جوايز

با توجه به این که این سامانه سرویس های مبتنی بر پیام رسانی و همچنین یافتن افراد براساس منطقه جغرافیایی را ارایه می دهد آسیب پذیری هایی در لایه فنی و غیر فنی مدنظر است که در حیطه ارایه سرویس به کاربر نهایی باشد.

1. دسترسی به لیست کل کاربران سامانه با شماره تلفن (5 میلیون تومان)
2. دسترسی به لیست کل کاربران سامانه (3 میلیون تومان)
3. دسترسی به فایل های ارسال شده و یا دریافت شده توسط کاربران دیگر ( 4 میلیون تومان)
4. دسترسی به مخاطبین کاربر دیگر (1 میلیون تومان)
5. لیست شماره موبایل مدیران کانال و یا گروه  ( 1 میلیون تومان)
6. جعل هویت در چت با افراد ، بدان معنا که با آیدی یک نفر به طرف دیگر پیام ارسال و دریافت گردد(2 میلیون تومان)
7. دسترسی به اطلاعات گروه بدون عضویت در آن ( 1 میلیون تومان)
8. تغییر اطلاعات( اعم از چت و یا فایل) ارسال شده و یا دریافت شده توسط کاربر ( 1 میلیون تومان)
9. چت با کاربر دیگر از طریف قابلیت NearBy بدون طی فرآیند طراحی شده داخل نرم افزار اندروید( 1 میلیون تومان)
10. بدست آوردن لیست اعضای کانال ( 300 هزار تومان)
11. ورود به سامانه با هویت کاربر دیگر و ارسال و دریافت از طرف کاربر دیگر ( 1 میلیون تومان)
12. اخلال در عملکرد یک کاربر خاص ( 500 هزار تومان)
13. خرید شارژ بدون پرداخت پول  (500 هزار تومان)  
14. خرید چندباره شارژ با یک بار پرداخت  پول ( 600  هزار تومان)
15. بدست آوردن لیست کانال ها و یا گروه هایی که یک کاربر در آن عضو است (300 هزار تومان)  
16. ارسال پیام در کانال یا گروه به جای ادمین کانال (به طور کلی تغییر دادن هر تنظیماتی از کانال یا گروه به جای ادمین)(500 هزار تومان)  
17. بدست آوردن مکالمات خصوصی دو نفر (2 میلیون تومان)  
18. تغییر ادمین کانال  و یا گروه ( اضافه کردن ویا حذف) و یا اعمال قابلیت های مربوط ادمین بر روی یک کاربر عضو ( 700 هزار تومان)
19. تغییر شماره و یا نام کاربری کاربران ( 500 هزار تومان)
20. اضافه کردن کاربران به کانال ها و گروه ها بدون اجازه (400 هزار تومان)
21. غیر فعال سازی یک کاربر و یا لیست کاربران( 600 هزار تومان)

* Based on CVSSv2 Vulnerability Scoring System

• برای تشویقی‌هایی که یک بازه تعیین شده است، داوران سامانه كلاه سفيد بر اساس پارامترهای Exploitability و Impact تصمیم‌گیری خواهند کرد و صرفاً نظر این کارشناسان معیار خواهد بود.
• آسیب‌پذیری‌های مشابه که به طور مثال مربوط به یک پارامتر خاص است و ممکن است در صفحات مختلفی دیده شود، یک‌بار محسوب می‌شود.
• در صورتی واجد شرایط دریافت جایزه هستید که اولین نفری باشید که آسیب‌پذیری ناشناخته را گزارش کنید.
• زمان قابل قبولی برای تیم امنیتی در نظر گرفته می‌شود تا آسیب‌پذیری گزارش‌شده را ترمیم کنند و قبل از آن نباید اطلاعات گزارش علنی شود.
• افشای آسیب‌پذیری‌ها فقط بر اساس قوانین سایت کلاه سفید و توسط این سایت انجام می‌شود. هر گونه افشای اطلاعات توسط متخصص قبل از آن مغایر با قوانین سایت است.

آسيب‌پذيری‌ها‌ی غير قابل قبول

آسيب‌پذير‌ی‌های زير پذيرفته نمی‌شوند:

• با توجه به شرایط ثبت نام و ورود، ارسال پیامک به ازای آدرس IP و شماره محدودیت داشته و ارزیابی آن شامل مشمول مسابقه نیست.
• حملات از كار اندازی سرويس (DoS , DDOS)
• حملات مهندسی اجتماعی و Phishing
• آسيب‌پذيری در دامنه‌ها و آدرس‌های IP غير از آدرس هدف
• Best Practiceها، شامل حداقل طول كلمات عبور و نظایر آن
• آسیب‌پذیری‌ها و Best Practiceهای مربوط به SSL
• حمله Brute Force به نحوی که از لایه نرم افزار استفاده نشود
• آسیب‌پذیری‌هایی که به تعامل با کاربر نیاز است
• آسیب‌پذیری‌های مربوط به مرورگرهای قدیمی
• نامه‌نگاری الکترونیکی جعلی (E-mail spoofing)
• حمله Self XSS
• هر موردی که مربوط به بدست آوردن نام‌های کاربری (Account/e-mail enumeration) باشد
• آسیب‌پذیری‌هایی که قبلاً توسط سایر متخصصین گزارش شده است
• آسیب‌پذیری‌های گزارش‌شده توسط اسکنرها و سایر ابزارهای اتوماتیک
• گزارش پایین‌بودن ورژن کتابخانه‌ها و نرم‌افزارهای به کار رفته در صورت عدم بهره‌برداری
• آسیب‌پذیری‌های مربوط به نشت اطلاعات سرور و پیکربندی نادرست آن مثل نسخه و نوع وب سرور
• آسیب پذیری های غیر مرتبط با دامنه محدوده مسابقه