ارزیابی امنیتی سامانه ارزیابی خدمات دولت الکترونیک (پایش)
بسمه تعالی
در این مسابقه به متخصصینی که در سامانه «ارزیابی امنیتی سامانه ارزیابی خدمات دولت الکترونیک (پایش)» موفق به کشف باگ و حفره های امنیتی شوند جایزه داده میشود. مجموعه مرکز ماهر جهت افزایش سطح امنیت کاربران، و افزایش درصد ضریب امنیت سرویسهای خود، مسابقات کشف باگ خود را به شرح ذیل برگزار میکند. قابل توجه است که هر گزارش اعلامی حداکثر، پس از 7 روز کاری کارشناسی و نتایج آن اعلام میشود.
شرایط ثبت گزارش
جهت پرداخت جایزه، شواهد و مدارک قابل استناد که آسیبپذیری را تائید کند، (مانند فیلم، عکس، تصویر از صفحه و اسکریپت) مورد نیاز است.
برای بررسی فنی آسیبپذیری گزارششده، مراحل تولید مجدد آن لازم است. خواهشمند است که شواهد کافی نظیر مقادیر ورودی و عملیات انجامشده مورد نیاز برای بهرهبرداری از آسیبپذیری را در گزارش قرار دهید. اگر تیم امنیتی نتواند آسیبپذیری را مجدداً ایجاد و تایید کند، به گزارش ارسالشده جایزهای تعلق نمیگیرد.
در یک گزارش خوب انتظار میرود که موارد زیر مشخص شده باشد:
- نوع آسیبپذیری (SQL Injection، XSS و ....)
- نوع و نسخه سیستم عامل، مرورگر و سایر برنامههای مورد استفاده
- هرگونه تنظیم خاصی که مورد نیاز است تا حمله بازسازی شود.
- دستورالعمل مرحله به مرحله برای بازسازی حمله
دامنه و محدوده آدرس IP مورد نظر
دامنه به شرح:
توجه!
متخصصین تنها مجاز به ارزیابی امنیتی زیردامنههای مشخصشده در لیست مسابقه هستند و دیگر سامانهها و سرویسها در حیطه مسابقه نیست و هیچ گونه جوایزی به آنها تعلق نمیگیرد.
آسيبپذيریهای قابل قبول و جوايز
میزان تشویقی |
نوع آسیبپذیری |
4 میلیون تومان |
Remote Code Execution |
2 میلیون تومان |
Local Files Access and Manipulation |
1 میلیون تومان |
Injections |
تا 500 هزار تومان |
Cross-Site Scripting (XSS) |
تا 200 هزار تومان |
Cross-Site Requests Forgery (CSRF/XSRF) |
تا 200 هزار تومان |
Other Low Risk* |
200 هزار تا 700 هزار تومان |
Other Medium Risk* |
500 هزار تا 4 میلیون تومان |
Other High Risk* |
* Based on CVSSv2 Vulnerability Scoring System
توجه:
- برای تشویقیهایی که یک بازه تعیین شده است، داوران سامانه كلاه سفيد بر اساس پارامترهای Exploitability و Impact تصمیمگیری خواهند کرد و صرفاً نظر این کارشناسان معیار خواهد بود.
- آسیبپذیریهای مشابه که به طور مثال مربوط به یک پارامتر خاص است و ممکن است در صفحات مختلفی دیده شود، یکبار محسوب میشود.
- کارشناسان شرکتکننده در مسابقه حق هیچ گونه افشای باگ مگر با مجوز مرکز ماهر را نخواهند داشت.
آسيبپذيریهای غير قابل قبول
آسيبپذيریهای زير پذيرفته نمیشوند:
- حملات از كار اندازی سرويس(DoS , DDOS).
- حملات مهندسی اجتماعی و Phishing.
- آسيبپذيری در دامنهها و آدرسهای IP غير از آدرس هدف.
- Best Practiceها، شامل حداقل طول كلمات عبور و نظایر آن.
- آسیبپذیریها و Best Practiceهای مربوط به SSL.
- حمله Brute Force به نحوی که از لایه نرم افزار استفاده نشود.
- آسیبپذیریهایی که به تعامل با کاربر نیاز است.
- آسیبپذیریهای مربوط به مرورگرهای قدیمی.
- نامهنگاری الکترونیکی جعلی (E-mail spoofing).
- حمله Self XSS.
- هر موردی که مربوط به بدستآوردن نامهای کاربری (Account/e-mail enumeration) باشد.
- آسیبپذیریهایی که قبلاً توسط سایر متخصصین گزارش شده است.
- آسیبپذیریهای گزارششده توسط پویشگرها و سایر ابزارهای خودکار.
- گزارش پایینبودن نسخه کتابخانهها و نرمافزارهای بهکاررفته در صورت عدم بهرهبرداری.
- آسیبپذیریهای مربوط به نشت اطلاعات سرور و پیکربندی نادرست آن مثل نسخه و نوع وب سرور.
- آسیبپذیریهای غیر مرتبط با دامنه محدوده در مسابقه.
نام | ارزیابی امنیتی سامانه ارزیابی خدمات دولت الکترونیک (پایش) |
---|---|
نام سازمان | سازمان فناوری اطلاعات ایران |
وضعیت مسابقه | غیرفعال |
نوع مسابقه | عمومی |
تاریخ شروع | 1398/7/2 |
تاریخ پایان | 1398/7/25 |
زمان ساخت | دوشنبه ۱ مهر ۱۳۹۸ ۱۱:۳۲:۱۱ |
زمان به روز رسانی | جمعه ۲۶ مهر ۱۳۹۸ ۰۰:۰۰:۰۱ |
مبلغ کل جوایز | 100,000,000 (ریال) |
حداقل جایزه برای هر باگ | |
حداکثر جایزه برای هر باگ | |
ارزش جوایز پرداختشده | 6,750,000 (ریال) |
حفرههای گزارششده | 15 |
حفرههای تاییدشده | 8 |
حفرههای تاییدنشده | 6 |
حفرههای تکراری | 1 |
حفرههای در حال بررسی | 0 |
فعالیت های این مسابقه (فقط جوایز بالاتر از ۵۰۰۰۰۰ ریال)
# | نام مسابقه | شناسه گزارش | متخصص | نوع فعالیت | نوع آسیبپذیری / باگ | مبلغ جایزه (ریال) | مشاهده | زمان |
---|---|---|---|---|---|---|---|---|
1 | ارزیابی امنیتی سامانه ارزیابی خدمات دولت الکترونیک (پایش) | 2136 | Und3rgr0und | دریافت جایزه | Misconfiguration/Open Redirect | 675,000 | - | چهارشنبه ۱۵ آبان ۱۳۹۸ ۰۹:۴۶:۰۴ |
2 | ارزیابی امنیتی سامانه ارزیابی خدمات دولت الکترونیک (پایش) | 2072 | Und3rgr0und | دریافت جایزه | Misconfiguration/Open Redirect | 2,250,000 | - | چهارشنبه ۱۵ آبان ۱۳۹۸ ۰۹:۲۱:۵۰ |
3 | ارزیابی امنیتی سامانه ارزیابی خدمات دولت الکترونیک (پایش) | 2136 | Und3rgr0und | پذیرش گزارش | Misconfiguration/Open Redirect | در حال برآورد | - | جمعه ۳ آبان ۱۳۹۸ ۰۶:۵۲:۴۲ |
4 | ارزیابی امنیتی سامانه ارزیابی خدمات دولت الکترونیک (پایش) | 2072 | Und3rgr0und | پذیرش گزارش | Misconfiguration/Open Redirect | در حال برآورد | - | پنجشنبه ۲ آبان ۱۳۹۸ ۲۱:۰۷:۵۹ |
5 | ارزیابی امنیتی سامانه ارزیابی خدمات دولت الکترونیک (پایش) | 2136 | Und3rgr0und | ارسال گزارش | Misconfiguration/Open Redirect | - | - | دوشنبه ۲۲ مهر ۱۳۹۸ ۱۱:۲۰:۳۶ |