زمان این مسابقه به پایان رسیده است یا مسابقه غیرفعال میباشد. اگر می خواهید گزارشی ثبت کنید با مدیر سایت در میان بگذارید.

ارزیابی امنیتی سامانه‌های نما و ایران نوآفرین

ثبت نام و گزارش حفره امنیتی

بسمه تعالی

 

مجموعه مرکز ماهر جهت افزایش سطح امنیت کاربران، و افزایش درصد ضریب امنیت سرویس‌های خود، مسابقات کشف باگ خود را به شرح ذیل برگزار می‌کند. قابل توجه است که هر گزارش اعلامی حداکثر، پس از 7 روز کاری کارشناسی و نتایج آن اعلام می‌شود.

شرایط ثبت گزارش

جهت پرداخت جایزه، شواهد و مدارک قابل استناد که آسیب‌پذیری را تائید کند، (مانند فیلم، عکس، تصویر از صفحه و اسکریپت) مورد نیاز است.

برای بررسی فنی آسیب‌پذیری گزارش‌شده، مراحل تولید مجدد آن لازم است. خواهشمند است که شواهد کافی نظیر مقادیر ورودی و عملیات انجام‌شده مورد نیاز برای بهره‌برداری از آسیب‌پذیری را در گزارش قرار دهید. اگر تیم امنیتی نتواند آسیب‌پذیری را مجدداً ایجاد و تایید کند، به گزارش ارسال‌شده جایزه‌ای تعلق نمی‌گیرد.

در یک گزارش خوب انتظار می‌رود که موارد زیر مشخص شده باشد:

  • نوع آسیب‌پذیری (SQL Injection، XSS و ....)
  • نوع و نسخه سیستم عامل، مرورگر و سایر برنامه‌‌های مورد استفاده
  • هرگونه تنظیم خاصی که مورد نیاز است تا حمله بازسازی شود.
  • دستورالعمل مرحله به مرحله برای بازسازی حمله

دامنه‌ها و محدوده آدرس IP  مورد نظر

       دامنه‌ها به شرح:

https://nama.ito.gov.ir/

https://irannoafarin.ir/

توجه!

متخصصین تنها مجاز به ارزیابی امنیتی زیردامنه‌های مشخص‌شده در لیست مسابقه هستند و دیگر سامانه‌ها و سرویس‌ها در حیطه مسابقه نیست و هیچ گونه جوایزی به آن‌ها تعلق نمی‌گیرد.

آسيب‌پذيری‌های قابل قبول و جوايز

میزان تشویقی

نوع آسیب‌پذیری

۴ میلیون تومان

Remote Code Execution

۲ میلیون تومان

Local Files Access and Manipulation

۲ میلیون تومان

Injections

۷۵۰ هزار تومان

Cross-Site Scripting (XSS)

۷۵۰ هزار تومان

Cross-Site Requests Forgery (CSRF/XSRF)

تا ۵۰۰ هزار تومان

Other Low Risk*

۵۰۰ هزار تا ۱.۵ میلیون تومان

Other Medium Risk*

۱.۵ تا ۴ میلیون تومان

Other High Risk*

* Based on CVSSv2 Vulnerability Scoring System

توجه:

  • برای تشویقی‌هایی که یک بازه تعیین شده است، داوران سامانه كلاه سفيد بر اساس پارامترهای Exploitability  و Impact تصمیم‌گیری خواهند کرد و صرفاً نظر این کارشناسان معیار خواهد بود.
  • آسیب‌پذیری‌های مشابه که به طور مثال مربوط به یک پارامتر خاص است و ممکن است در صفحات مختلفی دیده شود، یک‌بار محسوب می‌شود.
  • کارشناسان شرکت‌کننده در مسابقه حق هیچ گونه افشای باگ مگر با مجوز مرکز ماهر را نخواهند داشت.

آسيب‌پذيری‌ها‌ی غير قابل قبول

آسيب‌پذير‌ی‌های زير پذيرفته نمی‌شوند:

  • حملات از كار اندازی سرويس(DoS , DDOS).
  • حملات مهندسی اجتماعی و Phishing.
  • آسيب‌پذيری در دامنه‌ها و آدرس‌های IP غير از آدرس هدف.
  • Best Practiceها، شامل حداقل طول كلمات عبور و نظایر آن.
  • آسیب‌پذیری‌ها و Best Practiceهای مربوط به SSL.
  • حمله Brute Force به نحوی که از لایه نرم افزار استفاده نشود.
  • آسیب‌پذیری‌هایی که به تعامل با کاربر نیاز است.
  • آسیب‌پذیری‌های مربوط به مرورگرهای قدیمی.
  • نامه‌نگاری الکترونیکی جعلی (E-mail spoofing).
  • حمله  Self XSS.
  • هر موردی که مربوط به بدست‌آوردن نام‌های کاربری (Account/e-mail enumeration) باشد.
  • آسیب‌پذیری‌هایی که قبلاً توسط سایر متخصصین گزارش شده است.
  • آسیب‌پذیری‌های گزارش‌شده توسط پویش‌گرها و سایر ابزارهای خودکار.
  • گزارش پایین‌بودن نسخه کتابخانه‌ها و نرم‌افزارهای به‌کاررفته در صورت عدم بهره‌برداری.
  • آسیب‌پذیری‌های مربوط به نشت اطلاعات سرور و پیکربندی نادرست آن مثل نسخه و نوع وب سرور.
  • آسیب‌پذیری‌های غیر مرتبط با دامنه محدوده در مسابقه.
نامارزیابی امنیتی سامانه‌های نما و ایران نوآفرین
نام سازمانسازمان فناوری اطلاعات ایران
وضعیت مسابقهغیرفعال
نوع مسابقهعمومی
تاریخ شروع1398/6/13
تاریخ پایان1398/6/22
زمان ساختسه شنبه ۱۲ شهریور ۱۳۹۸ ۱۴:۴۳:۵۸
زمان به روز رسانیچهارشنبه ۲۴ مهر ۱۳۹۸ ۱۴:۵۳:۳۸
مبلغ کل جوایز150,000,000 (ریال)
حداقل جایزه برای هر باگ
حداکثر جایزه برای هر باگ
ارزش جوایز پرداخت‌شده85,250,000 (ریال)
حفره‌های گزارش‌شده64
حفره‌های تایید‌شده30
حفره‌های تایید‌نشده24
حفره‌های تکراری10
حفره‌های در حال بررسی0

نظرهای این مسابقه

نتیجه‌ای یافت نشد.