ارزیابی امنیتی سامانه کلاه سفید
بسمه تعالي
امنیت سامانه کلاه سفید به عنوان مرجع برگزاری مسابقات ارزیابی امنیتی سازمانها و شرکتهای دولتی و خصوصی اهمیت بسیار زیادی دارد. علیرغم تمامی تلاشهای متخصصان تیم فنی و پشتیبانی، این سامانه نیازمند بررسی و آزمون امنیتی توسط متخصصان دیگر و کاربران آن است. از این رو، مسابقهای ترتیب داده شده است تا در صورت کشف آسیبپذیری در سایت کلاه سفید، گزارش آن در اختیار تیم فنی جهت بهبود و توسعه قرار داده شود. برای تشویق و قدردانی از زحمات متخصصان، جوایزی برای کشف آسیبپذیریها در نظر گرفته میشود. گزارشهای ارسالی شما طی 14 روز بررسی خواهد شد.
ثبت گزارش
جهت پرداخت جایزه، شواهد و مدارک قابل استناد که آسیبپذیری را تائید کند (مانند فیلم، عکس، اسکرینشات از صفحه و اسکریپت) مورد نیاز است.
برای بررسی فنی آسیبپذیری گزارششده، مراحل تولید مجدد آن لازم است. خواهشمند است که شواهد کافی نظیر مقادیر ورودی و عملیات انجامشده مورد نیاز برای بهرهبرداری از آسیبپذیری را در گزارش قرار دهید. اگر تیم امنیتی نتواند آسیبپذیری را مجدداً ایجاد و تایید کند، به گزارش ارسالشده جایزهای تعلق نمیگیرد.
در یک گزارش خوب انتظار میرود که موارد زیر مشخص شده باشد:
- نوع آسیبپذیری (SQL Injection، Cross-Site Scripting و ... )
- نوع و نسخه سیستم عامل، مرورگر و سایر برنامههای مورد استفاده
- هرگونه تنظیم خاصی که مورد نیاز است تا حمله بازسازی شود.
- دستورالعمل مرحله به مرحله برای بازسازی حمله
- آسیبپذیری به طور کامل شرح داده شود و اینکه چگونه این آسیب میتواند مورد سوء استفاده قرار گیرد.
دامنههای مورد نظر
آسيبپذيریهای قابل قبول و جوايز
كليه آسيبپذيريها در سطوح برنامه كاربردي، سرويسدهنده وب، سيستم عامل، پايگاه داده و كليه اجزاي نرمافزاري وابسته به سايت فوق که قابل بهرهبرداری هستند، مد نظر است. جوايز بر اساس جدول زير و بر اساس نظر كارشناسان و داوران سايت كلاه سفيد به متخصصين پرداخت خواهد شد. لازم به ذکر است که به آسیبپذیریهایی جایزه داده خواهد شد که سناریوی حمله و نحوه بهرهبرداری از آسیبپذیری به صورت کامل شرح داده شده باشد و همچنین شواهد نفوذ به سیستم و یا دسترسی به دادههای حساس به طور کامل گزارش شده باشند.
| نوع آسیبپذیری | میزان تشویقی |
| Remote code execution | 12 میلیون تومان |
| Local files access and manipulation | 6 میلیون تومان |
| Injections | 6 میلیون تومان |
| Cross-Site Scripting (XSS) | 1 میلیون و 200 هزار تومان |
| Cross-Site Requests Forgery (CSRF/XSRF) | حداکثر 1 میلیون تومان |
| Other Medium Risk* | حداکثر 2 میلیون و500 هزار تومان |
| Other High Risk* | حداکثر 10 میلیون تومان |
* Based on CVSSv3 Vulnerability Scoring System
- برای تشویقیهایی که محدوده تعیین شده، داوران سامانه كلاه سفيد بر اساس پارامترهای Exploitability و Impact تصمیمگیری خواهد کرد و صرفاً نظر این کارشناسان معیار خواهد بود.
- آسیبپذیریهای مشابه که مثلاً مربوط به یک پارامتر خاص است و ممکن است در صفحات مختلفی دیده شود، یکبار محسوب می شود.
- آسیبپذیری مشابه در پارامترهای مختلف یک صفحه و همچنین آسیبپذیری یک پارامتر در صفحات مختلف، یک بار محسوب میشود.
- آسیبپذیری مشابه در پارامترها(ورودیها) مختلف یک صفحه و همچنین آسیبپذیری یک پارامتر (ورودی) در صفحات مختلف، یک بار محسوب میشود.
- در صورتی واجد شرایط جایزه هستید که اولین نفری باشید که یک آسیبپذیری ناشناخته را گزارش کنید.
- افشای آسیبپذیریها فقط بر اساس قوانین سایت کلاه سفید و توسط این سایت انجام میشود. هر گونه افشای اطلاعات توسط متخصص، مغایر با قوانین سایت است و مسئولیت حقوقی چنین اقدامی متوجه فرد افشاکننده است.
آسيبپذيریهای غير قابل قبول
آسيبپذيریهای زير پذيرفته نمیشوند:
- آسیبپذیریهای با سطح ریسک پایین
- (Click Jacking (X-Frame-Options
- SSL/TLS Misconfigurations
- Host Header Injection
- Tabnabbing
- OWASP Secure Headers
- Content Injection
- انواع حملات منع سرويس
- انواع حملات مهندسی اجتماعی و Phishing
- آسيب پذيري در دامنه ها و آدرس هاي IP غير از آدرس هدف
- Best Practice ها، شامل حداقل طول كلمات عبور و غيره.
- آسیب پذیری ها و Best Practice های مربوط به SSL
- حمله Brute force
- آسیب پذیری های مربوط به مرورگر های قدیمی
- نامه نگاری الکترونیکی جعلی (E-mail spoofing)
- حمله Self XSS
- هر موردی مربوط به بدست آوردن نام های کاربری یا آدرسهای ایمیل
(Account/e-mail enumeration) - آسیب پذیری هایی که قبلاً توسط سایر متخصصین گزارش شده
- آسیب پذیری های گزارش شده توسط اسکنر ها و سایر ابزار های اتوماتیک که قابل بهرهبرداری نیستند.
- گزارش پایین بودن ورژن کتابخانه ها و نرم افزار های به کار برده شده در صورت عدم بهره برداری
- گزارش پایین بودن ورژن کتابخانه ها و نرم افزار های به کار برده شده
- گزارش باز بودن پورت ها
- آسیبپذیریهای مربوط به نشت اطلاعات نوع و نسخه وبسرور یا اطلاعات نوع و نسخه زبان برنامهنویسی یا فعال بودن متودهای اضافی مثل OPTIONS
- تنظیم نبودن فلگهای امنیتی کوکی ها (مثل Secure یا HttpOnly)
| نام | ارزیابی امنیتی سامانه کلاه سفید |
|---|---|
| نام سازمان | کلاه سفید |
| وضعیت مسابقه | غیرفعال |
| نوع مسابقه | عمومی |
| تاریخ شروع | 1398/2/4 |
| تاریخ پایان | 1401/11/25 |
| زمان ساخت | چهارشنبه ۴ اردیبهشت ۱۳۹۸ ۱۶:۵۹:۲۷ |
| زمان به روز رسانی | سه شنبه ۲۵ بهمن ۱۴۰۱ ۰۹:۰۳:۵۳ |
| مبلغ کل جوایز | 20,000,000 (ریال) |
| حداقل جایزه برای هر باگ | |
| حداکثر جایزه برای هر باگ | |
| ارزش جوایز پرداختشده | 111,600,000 (ریال) |
| حفرههای گزارششده | 86 |
| حفرههای تاییدشده | 36 |
| حفرههای تاییدنشده | 44 |
| حفرههای تکراری | 6 |
| حفرههای در حال بررسی | 0 |
فعالیت های این مسابقه (فقط جوایز بالاتر از ۵۰۰۰۰۰ ریال)
| # | نام مسابقه | شناسه گزارش | متخصص | نوع فعالیت | نوع آسیبپذیری / باگ | مبلغ جایزه (ریال) | مشاهده | زمان |
|---|---|---|---|---|---|---|---|---|
| 61 | ارزیابی امنیتی سامانه کلاه سفید | 1472 | Ehsanice | ارسال گزارش | Access Control Bugs | - | - | پنجشنبه ۲۳ خرداد ۱۳۹۸ ۰۰:۳۵:۲۶ |
| 62 | ارزیابی امنیتی سامانه کلاه سفید | 1309 | Ehsanice | پذیرش گزارش | Access Control Bugs | در حال برآورد | - | چهارشنبه ۲۲ خرداد ۱۳۹۸ ۱۲:۱۹:۱۴ |
| 63 | ارزیابی امنیتی سامانه کلاه سفید | 1309 | Ehsanice | ارسال گزارش | Access Control Bugs | - | - | شنبه ۱۱ خرداد ۱۳۹۸ ۱۶:۵۴:۱۲ |
| 64 | ارزیابی امنیتی سامانه کلاه سفید | 1300 | Ehsanice | پذیرش گزارش | Cross Site Requests Forgery | در حال برآورد | - | شنبه ۱۱ خرداد ۱۳۹۸ ۱۶:۲۳:۴۱ |
| 65 | ارزیابی امنیتی سامانه کلاه سفید | 1300 | Ehsanice | ارسال گزارش | Cross Site Requests Forgery | - | - | چهارشنبه ۸ خرداد ۱۳۹۸ ۱۹:۲۰:۳۶ |