ارزیابی امنیتی سامانههای نما و ایران نوآفرین
بسمه تعالی
مجموعه مرکز ماهر جهت افزایش سطح امنیت کاربران، و افزایش درصد ضریب امنیت سرویسهای خود، مسابقات کشف باگ خود را به شرح ذیل برگزار میکند. قابل توجه است که هر گزارش اعلامی حداکثر، پس از 7 روز کاری کارشناسی و نتایج آن اعلام میشود.
شرایط ثبت گزارش
جهت پرداخت جایزه، شواهد و مدارک قابل استناد که آسیبپذیری را تائید کند، (مانند فیلم، عکس، تصویر از صفحه و اسکریپت) مورد نیاز است.
برای بررسی فنی آسیبپذیری گزارششده، مراحل تولید مجدد آن لازم است. خواهشمند است که شواهد کافی نظیر مقادیر ورودی و عملیات انجامشده مورد نیاز برای بهرهبرداری از آسیبپذیری را در گزارش قرار دهید. اگر تیم امنیتی نتواند آسیبپذیری را مجدداً ایجاد و تایید کند، به گزارش ارسالشده جایزهای تعلق نمیگیرد.
در یک گزارش خوب انتظار میرود که موارد زیر مشخص شده باشد:
- نوع آسیبپذیری (SQL Injection، XSS و ....)
- نوع و نسخه سیستم عامل، مرورگر و سایر برنامههای مورد استفاده
- هرگونه تنظیم خاصی که مورد نیاز است تا حمله بازسازی شود.
- دستورالعمل مرحله به مرحله برای بازسازی حمله
دامنهها و محدوده آدرس IP مورد نظر
دامنهها به شرح:
توجه!
متخصصین تنها مجاز به ارزیابی امنیتی زیردامنههای مشخصشده در لیست مسابقه هستند و دیگر سامانهها و سرویسها در حیطه مسابقه نیست و هیچ گونه جوایزی به آنها تعلق نمیگیرد.
آسيبپذيریهای قابل قبول و جوايز
میزان تشویقی |
نوع آسیبپذیری |
۴ میلیون تومان |
Remote Code Execution |
۲ میلیون تومان |
Local Files Access and Manipulation |
۲ میلیون تومان |
Injections |
۷۵۰ هزار تومان |
Cross-Site Scripting (XSS) |
۷۵۰ هزار تومان |
Cross-Site Requests Forgery (CSRF/XSRF) |
تا ۵۰۰ هزار تومان |
Other Low Risk* |
۵۰۰ هزار تا ۱.۵ میلیون تومان |
Other Medium Risk* |
۱.۵ تا ۴ میلیون تومان |
Other High Risk* |
* Based on CVSSv2 Vulnerability Scoring System
توجه:
- برای تشویقیهایی که یک بازه تعیین شده است، داوران سامانه كلاه سفيد بر اساس پارامترهای Exploitability و Impact تصمیمگیری خواهند کرد و صرفاً نظر این کارشناسان معیار خواهد بود.
- آسیبپذیریهای مشابه که به طور مثال مربوط به یک پارامتر خاص است و ممکن است در صفحات مختلفی دیده شود، یکبار محسوب میشود.
- کارشناسان شرکتکننده در مسابقه حق هیچ گونه افشای باگ مگر با مجوز مرکز ماهر را نخواهند داشت.
آسيبپذيریهای غير قابل قبول
آسيبپذيریهای زير پذيرفته نمیشوند:
- حملات از كار اندازی سرويس(DoS , DDOS).
- حملات مهندسی اجتماعی و Phishing.
- آسيبپذيری در دامنهها و آدرسهای IP غير از آدرس هدف.
- Best Practiceها، شامل حداقل طول كلمات عبور و نظایر آن.
- آسیبپذیریها و Best Practiceهای مربوط به SSL.
- حمله Brute Force به نحوی که از لایه نرم افزار استفاده نشود.
- آسیبپذیریهایی که به تعامل با کاربر نیاز است.
- آسیبپذیریهای مربوط به مرورگرهای قدیمی.
- نامهنگاری الکترونیکی جعلی (E-mail spoofing).
- حمله Self XSS.
- هر موردی که مربوط به بدستآوردن نامهای کاربری (Account/e-mail enumeration) باشد.
- آسیبپذیریهایی که قبلاً توسط سایر متخصصین گزارش شده است.
- آسیبپذیریهای گزارششده توسط پویشگرها و سایر ابزارهای خودکار.
- گزارش پایینبودن نسخه کتابخانهها و نرمافزارهای بهکاررفته در صورت عدم بهرهبرداری.
- آسیبپذیریهای مربوط به نشت اطلاعات سرور و پیکربندی نادرست آن مثل نسخه و نوع وب سرور.
- آسیبپذیریهای غیر مرتبط با دامنه محدوده در مسابقه.
نام | ارزیابی امنیتی سامانههای نما و ایران نوآفرین |
---|---|
نام سازمان | سازمان فناوری اطلاعات ایران |
وضعیت مسابقه | غیرفعال |
نوع مسابقه | عمومی |
تاریخ شروع | 1398/6/13 |
تاریخ پایان | 1398/6/22 |
زمان ساخت | سه شنبه ۱۲ شهریور ۱۳۹۸ ۱۴:۴۳:۵۸ |
زمان به روز رسانی | چهارشنبه ۲۴ مهر ۱۳۹۸ ۱۴:۵۳:۳۸ |
مبلغ کل جوایز | 150,000,000 (ریال) |
حداقل جایزه برای هر باگ | |
حداکثر جایزه برای هر باگ | |
ارزش جوایز پرداختشده | 85,250,000 (ریال) |
حفرههای گزارششده | 64 |
حفرههای تاییدشده | 30 |
حفرههای تاییدنشده | 24 |
حفرههای تکراری | 10 |
حفرههای در حال بررسی | 0 |
فعالیت های این مسابقه (فقط جوایز بالاتر از ۵۰۰۰۰۰ ریال)
# | نام مسابقه | شناسه گزارش | متخصص | نوع فعالیت | نوع آسیبپذیری / باگ | مبلغ جایزه (ریال) | مشاهده | زمان |
---|---|---|---|---|---|---|---|---|
31 | ارزیابی امنیتی سامانههای نما و ایران نوآفرین | 1908 | aliakbar_sadeghi | ارسال گزارش | Access Control Bugs | - | - | چهارشنبه ۱۳ شهریور ۱۳۹۸ ۲۳:۲۷:۴۱ |
32 | ارزیابی امنیتی سامانههای نما و ایران نوآفرین | 1899 | aliakbar_sadeghi | ارسال گزارش | Access Control Bugs | - | - | چهارشنبه ۱۳ شهریور ۱۳۹۸ ۲۱:۵۷:۰۴ |
33 | ارزیابی امنیتی سامانههای نما و ایران نوآفرین | 1887 | smhboc | ارسال گزارش | Access Control Bugs | - | - | چهارشنبه ۱۳ شهریور ۱۳۹۸ ۱۷:۵۶:۵۰ |
34 | ارزیابی امنیتی سامانههای نما و ایران نوآفرین | 1876 | fadavvi | ارسال گزارش | Access Control Bugs | - | - | چهارشنبه ۱۳ شهریور ۱۳۹۸ ۱۶:۵۲:۵۲ |
35 | ارزیابی امنیتی سامانههای نما و ایران نوآفرین | 1873 | hoseinroot | ارسال گزارش | Access Control Bugs | - | - | چهارشنبه ۱۳ شهریور ۱۳۹۸ ۱۶:۳۵:۰۰ |