ارزیابی امنیتی سامانه کلاه سفید

ثبت نام و گزارش حفره امنیتی

بسمه تعالي

 

امنیت سامانه کلاه سفید به عنوان مرجع برگزاری مسابقات ارزیابی امنیتی سازمان‌ها و شرکت‌های دولتی و خصوصی اهمیت بسیار زیادی دارد. علی‌رغم تمامی تلاش‌های متخصصان تیم فنی و پشتیبانی، این سامانه نیازمند بررسی و آزمون امنیتی توسط متخصصان دیگر و کاربران آن است. از این رو، مسابقه‌ای ترتیب داده شده است تا در صورت کشف آسیب‌پذیری در سایت کلاه سفید، گزارش آن در اختیار تیم فنی جهت بهبود و توسعه قرار داده شود. برای تشویق و قدردانی از زحمات متخصصان، جوایزی برای کشف آسیب‌پذیری‌ها در نظر گرفته می‌شود. گزارش‌های ارسالی شما طی 14 روز بررسی خواهد شد.

 

ثبت گزارش

جهت پرداخت جایزه، شواهد و مدارک قابل استناد که آسیب‌پذیری را تائید کند (مانند فیلم، عکس، اسکرین‌شات از صفحه و اسکریپت) مورد نیاز است.

برای بررسی فنی آسیب‌پذیری گزارش‌شده، مراحل تولید مجدد آن لازم است. خواهشمند است که شواهد کافی نظیر مقادیر ورودی و عملیات انجام‌شده مورد نیاز برای بهره‌برداری از آسیب‌پذیری را در گزارش قرار دهید. اگر تیم امنیتی نتواند آسیب‌پذیری را مجدداً ایجاد و تایید کند، به گزارش ارسال‌شده جایزه‌ای تعلق نمی‌گیرد.

در یک گزارش خوب انتظار می‌رود که موارد زیر مشخص شده باشد:

  • نوع آسیب‌پذیری (SQL Injection، Cross-Site Scripting و ... )
  • نوع و نسخه سیستم عامل، مرورگر و سایر برنامه‌‌های مورد استفاده
  • هرگونه تنظیم خاصی که مورد نیاز است تا حمله بازسازی شود.
  • دستورالعمل مرحله به مرحله برای بازسازی حمله
  • آسیب‌پذیری به طور کامل شرح داده شود و این‌که چگونه این آسیب می‌تواند مورد سوء استفاده قرار گیرد.

دامنه‌های مورد نظر

https://www.kolahsefid.org

آسيب‌پذيری‌های قابل قبول و جوايز

كليه آسيب‌پذيري‌ها در سطوح برنامه كاربردي، سرويس‌دهنده وب، سيستم عامل، پايگاه داده و كليه اجزاي نرم‌افزاري وابسته به سايت فوق که قابل بهره‌برداری هستند، مد نظر است. جوايز بر اساس جدول زير و بر اساس نظر كارشناسان و داوران سايت كلاه سفيد به متخصصين پرداخت خواهد شد. لازم به ذکر است که به آسیب‌پذیری‌هایی جایزه داده خواهد شد که سناریوی حمله و نحوه بهره‌برداری از آسیب‌پذیری به صورت کامل شرح داده شده باشد و همچنین شواهد نفوذ به سیستم و یا دسترسی به داده‌های حساس به طور کامل گزارش شده باشند.

نوع آسیب‌پذیری میزان تشویقی
Remote code execution 12 میلیون تومان
Local files access and manipulation 6 میلیون تومان
Injections 6 میلیون تومان
Cross-Site Scripting (XSS) 1 میلیون و 200 هزار تومان
Cross-Site Requests Forgery (CSRF/XSRF) حداکثر 1 میلیون تومان
Other Medium Risk* حداکثر 2 میلیون و500 هزار تومان
Other High Risk* حداکثر 10 میلیون تومان

* Based on CVSSv3 Vulnerability Scoring System

 

  • برای تشویقی­‌هایی که محدوده تعیین شده، داوران سامانه كلاه سفيد بر اساس پارامترهای Exploitability و Impact تصمیم‌گیری خواهد کرد و صرفاً نظر این کارشناسان معیار خواهد بود.
  • آسیب‌پذیری­‌های مشابه که مثلاً مربوط به یک پارامتر خاص است و ممکن است در صفحات مختلفی دیده شود، یک‌بار محسوب می شود.
  • آسیب‌پذیری مشابه در پارامترهای مختلف یک صفحه و همچنین آسیب‌پذیری یک پارامتر در صفحات مختلف، یک بار محسوب می‌شود. 
  • آسیب‌پذیری مشابه در پارامترها(ورودی‌ها) مختلف یک صفحه و همچنین آسیب‌پذیری یک پارامتر (ورودی) در صفحات مختلف، یک بار محسوب می‌شود
  • در صورتی واجد شرایط جایزه هستید که اولین نفری باشید که یک آسیب‌پذیری ناشناخته را گزارش کنید.
  • افشای آسیب­‌پذیری­‌ها فقط بر اساس قوانین سایت کلاه سفید و توسط این سایت انجام می­شود. هر گونه افشای اطلاعات توسط متخصص، مغایر با قوانین سایت است و مسئولیت حقوقی چنین اقدامی متوجه فرد افشاکننده است.

 

آسيب‌پذيری‌ها‌ی غير قابل قبول

آسيب‌پذير‌ی‌های زير پذيرفته نمی‌شوند:

  • آسیب‌پذیری‌های با سطح ریسک پایین 
  • (Click Jacking (X-Frame-Options
  • SSL/TLS Misconfigurations
  • Host Header Injection
  • Tabnabbing
  • OWASP Secure Headers
  • Content Injection
  • انواع حملات منع سرويس
  • انواع حملات مهندسی اجتماعی و Phishing
  • آسيب پذيري در دامنه ها و آدرس هاي IP غير از آدرس هدف
  • Best Practice ها، شامل حداقل طول كلمات عبور و غيره.
  • آسیب پذیری ها و Best Practice های مربوط به SSL
  • حمله Brute force
  • آسیب پذیری های مربوط به مرورگر های قدیمی
  • نامه نگاری الکترونیکی جعلی (E-mail spoofing)
  • حمله Self XSS
  • هر موردی مربوط به بدست آوردن نام های کاربری یا آدرس‌های ایمیل
    (Account/e-mail enumeration)
  • آسیب پذیری هایی که قبلاً توسط سایر متخصصین گزارش شده
  • آسیب پذیری های گزارش شده توسط اسکنر ها و سایر ابزار های اتوماتیک که قابل بهره‌برداری نیستند.
  • گزارش پایین بودن ورژن کتابخانه ها و نرم افزار های به کار برده شده در صورت عدم بهره برداری
  • گزارش پایین بودن ورژن کتابخانه ها و نرم افزار های به کار برده شده
  • گزارش باز بودن پورت ها
  • آسیب‌پذیری‌های مربوط به نشت اطلاعات نوع و نسخه وب‌سرور یا اطلاعات نوع و نسخه زبان برنامه‌نویسی یا فعال بودن متودهای اضافی مثل OPTIONS
  • تنظیم نبودن فلگ‌های امنیتی کوکی ها (مثل Secure یا HttpOnly)
نامارزیابی امنیتی سامانه کلاه سفید
نام سازمانکلاه سفید
وضعیت مسابقهفعال
نوع مسابقهعمومی
تاریخ شروع1398/2/4
تاریخ پایان1401/12/29
زمان ساختچهارشنبه ۴ اردیبهشت ۱۳۹۸ ۱۶:۵۹:۲۷
زمان به روز رسانیسه شنبه ۱۸ مرداد ۱۴۰۱ ۱۰:۲۱:۱۸
مبلغ کل جوایز20,000,000 (ریال)
حداقل جایزه برای هر باگ
حداکثر جایزه برای هر باگ
ارزش جوایز پرداخت‌شده101,600,000 (ریال)
حفره‌های گزارش‌شده82
حفره‌های تایید‌شده35
حفره‌های تایید‌نشده41
حفره‌های تکراری5
حفره‌های در حال بررسی1

نظرهای این مسابقه

نتیجه‌ای یافت نشد.