زمان این مسابقه به پایان رسیده است یا مسابقه غیرفعال میباشد. اگر می خواهید گزارشی ثبت کنید با مدیر سایت در میان بگذارید.

ارزیابی امنیتی سامانه کلاه سفید

ثبت نام و گزارش حفره امنیتی

بسمه تعالي

 

امنیت سامانه کلاه سفید به عنوان مرجع برگزاری مسابقات ارزیابی امنیتی سازمان‌ها و شرکت‌های دولتی و خصوصی اهمیت بسیار زیادی دارد. علی‌رغم تمامی تلاش‌های متخصصان تیم فنی و پشتیبانی، این سامانه نیازمند بررسی و آزمون امنیتی توسط متخصصان دیگر و کاربران آن است. از این رو، مسابقه‌ای ترتیب داده شده است تا در صورت کشف آسیب‌پذیری در سایت کلاه سفید، گزارش آن در اختیار تیم فنی جهت بهبود و توسعه قرار داده شود. برای تشویق و قدردانی از زحمات متخصصان، جوایزی برای کشف آسیب‌پذیری‌ها در نظر گرفته می‌شود. گزارش‌های ارسالی شما طی ۷ روز بررسی خواهد شد.

 

ثبت گزارش

جهت پرداخت جایزه، شواهد و مدارک قابل استناد که آسیب‌پذیری را تائید کند (مانند فیلم، عکس، اسکرین‌شات از صفحه و اسکریپت) مورد نیاز است.

برای بررسی فنی آسیب‌پذیری گزارش‌شده، مراحل تولید مجدد آن لازم است. خواهشمند است که شواهد کافی نظیر مقادیر ورودی و عملیات انجام‌شده مورد نیاز برای بهره‌برداری از آسیب‌پذیری را در گزارش قرار دهید. اگر تیم امنیتی نتواند آسیب‌پذیری را مجدداً ایجاد و تایید کند، به گزارش ارسال‌شده جایزه‌ای تعلق نمی‌گیرد.

در یک گزارش خوب انتظار می‌رود که موارد زیر مشخص شده باشد:

  • نوع آسیب‌پذیری (SQL Injection، Cross-Site Scripting و ... )
  • نوع و نسخه سیستم عامل، مرورگر و سایر برنامه‌‌های مورد استفاده
  • هرگونه تنظیم خاصی که مورد نیاز است تا حمله بازسازی شود.
  • دستورالعمل مرحله به مرحله برای بازسازی حمله
  • آسیب‌پذیری به طور کامل شرح داده شود و این‌که چگونه این آسیب می‌تواند مورد سوء استفاده قرار گیرد.

دامنه‌های مورد نظر

https://www.kolahsefid.org

آسيب‌پذيری‌های قابل قبول و جوايز

كليه آسيب‌پذيري‌ها در سطوح برنامه كاربردي، سرويس‌دهنده وب، سيستم عامل، پايگاه داده و كليه اجزاي نرم‌افزاري وابسته به سايت فوق که قابل بهره‌برداری هستند، مد نظر است. جوايز بر اساس جدول زير و بر اساس نظر كارشناسان و داوران سايت كلاه سفيد به متخصصين پرداخت خواهد شد. لازم به ذکر است که به آسیب‌پذیری‌هایی جایزه داده خواهد شد که سناریوی حمله و نحوه بهره‌برداری از آسیب‌پذیری به صورت کامل شرح داده شده باشد و همچنین شواهد نفوذ به سیستم و یا دسترسی به داده‌های حساس به طور کامل گزارش شده باشند.

نوع آسیب‌پذیری میزان تشویقی
Remote code execution 4 میلیون تومان
Local files access and manipulation 2 میلیون تومان
Injections 2 میلیون تومان
Cross-Site Scripting (XSS) 1 میلیون تومان
Cross-Site Requests Forgery (CSRF/XSRF) 400 تا 800 هزار تومان
Other Low Risk* حداکثر 800 هزار تومان
Other Medium Risk* 800 هزار تا 2 میلیون تومان
Other High Risk* 2 تا 4 میلیون تومان

* Based on CVSSv2 Vulnerability Scoring System

 

  • برای تشویقی‌هایی که یک بازه تعیین شده است، داوران سامانه كلاه سفيد بر اساس پارامترهای Exploitability و Impact تصمیم‌گیری خواهند کرد و صرفاً نظر این کارشناسان معیار خواهد بود.
  • آسیب‌پذیری‌های مشابه که به طور مثال مربوط به یک پارامتر خاص است و ممکن است در صفحات مختلفی دیده شود، یک‌بار محسوب می‌شود.
  • در صورتی واجد شرایط دریافت جایزه هستید که اولین نفری باشید که آسیب‌پذیری ناشناخته را گزارش کنید.
  • زمان قابل قبولی برای تیم امنیتی در نظر گرفته می‌شود تا آسیب‌پذیری گزارش‌شده را ترمیم کنند و قبل از آن نباید اطلاعات گزارش علنی شود.
  • افشای آسیب‌پذیری‌ها فقط بر اساس قوانین سایت کلاه سفید و توسط این سایت انجام می‌شود. هر گونه افشای اطلاعات توسط متخصص قبل از آن مغایر با قوانین سایت است.

 

آسيب‌پذيری‌ها‌ی غير قابل قبول

آسيب‌پذير‌ی‌های زير پذيرفته نمی‌شوند:

  • حملات از كار اندازی سرويس (DoS)
  • حملات مهندسی اجتماعی و Phishing
  • آسيب‌پذيری در دامنه‌ها و آدرس‌های IP غير از آدرس هدف
  • Best Practiceها، شامل حداقل طول كلمات عبور و نظایر آن
  • آسیب‌پذیری‌ها و Best Practiceهای مربوط به SSL
  • حمله Brute Force
  • آسیب‌پذیری‌هایی که به تعامل با کاربر نیاز است
  • آسیب‌پذیری‌های مربوط به مرورگرهای قدیمی
  • نامه‌نگاری الکترونیکی جعلی (E-mail spoofing)
  • حمله Self XSS
  • هر موردی که مربوط به بدست آوردن نام‌های کاربری (Account/e-mail enumeration) باشد
  • آسیب‌پذیری‌هایی که قبلاً توسط سایر متخصصین گزارش شده است
  • آسیب‌پذیری‌های گزارش‌شده توسط اسکنرها و سایر ابزارهای اتوماتیک
  • گزارش پایین‌بودن ورژن کتابخانه‌ها و نرم‌افزارهای به کار رفته در صورت عدم بهره‌برداری
  • آسیب‌پذیری‌های مربوط به نشت اطلاعات سرور و پیکربندی نادرست آن مثل نسخه و نوع وب سرور
نامارزیابی امنیتی سامانه کلاه سفید
نام سازمانکلاه سفید
وضعیت مسابقهغیرفعال
نوع مسابقهعمومی
تاریخ شروع1398/2/4
تاریخ پایان1399/3/31
زمان ساختچهارشنبه ۴ اردیبهشت ۱۳۹۸ ۱۶:۵۹:۲۷
زمان به روز رسانییکشنبه ۱ تیر ۱۳۹۹ ۰۰:۰۰:۰۲
مبلغ کل جوایز60,000,000 (ریال)
حداقل جایزه برای هر باگ
حداکثر جایزه برای هر باگ20,000,000 (ریال)
ارزش جوایز پرداخت‌شده96,600,000 (ریال)
حفره‌های گزارش‌شده78
حفره‌های تایید‌شده35
حفره‌های تایید‌نشده38
حفره‌های تکراری5
حفره‌های در حال بررسی0

نظرهای این مسابقه

نتیجه‌ای یافت نشد.