زمان این مسابقه به پایان رسیده است یا مسابقه غیرفعال میباشد. اگر می خواهید گزارشی ثبت کنید با مدیر سایت در میان بگذارید.

ارزیابی امنیتی درگاه ملی خدمات دولت همراه

ثبت نام و گزارش حفره امنیتی

بسمه تعالی

 

در این مسابقه به متخصصینی که موفق به کشف باگ در سامانه «درگاه ملی خدمات دولت همراه» شوند، جایزه داده خواهد شد. قابل توجه است که هر گزارش اعلامی تا 14 روز کاری کارشناسی و نتایج آن اعلام می‌شود.

شرایط ثبت گزارش

جهت پرداخت جایزه، شواهد و مدارک قابل استناد که آسیب‌پذیری را تائید کند، (مانند فیلم، عکس، تصویر از صفحه و اسکریپت) مورد نیاز است.

برای بررسی فنی آسیب‌پذیری گزارش‌شده، مراحل تولید مجدد آن لازم است. خواهشمند است که شواهد کافی نظیر مقادیر ورودی و عملیات انجام‌شده مورد نیاز برای بهره‌برداری از آسیب‌پذیری را در گزارش قرار دهید. اگر تیم امنیتی نتواند آسیب‌پذیری را مجدداً ایجاد و تایید کند، به گزارش ارسال‌شده جایزه‌ای تعلق نمی‌گیرد.

در یک گزارش خوب انتظار می‌رود که موارد زیر مشخص شده باشد:

  • نوع آسیب‌پذیری (SQL Injection، XSS و ....)
  • نوع و نسخه سیستم عامل، مرورگر و سایر برنامه‌‌های مورد استفاده
  • هرگونه تنظیم خاصی که مورد نیاز است تا حمله بازسازی شود.
  • دستورالعمل مرحله به مرحله برای بازسازی حمله

دامنه‌ و محدوده آدرس IP  مورد نظر

       دامنه‌ به شرح:

http://mob.gov.ir

توجه!

متخصصین تنها مجاز به ارزیابی امنیتی زیردامنه‌های مشخص‌شده در لیست مسابقه هستند و دیگر سامانه‌ها و سرویس‌ها در حیطه مسابقه نیست و هیچ گونه جوایزی به آن‌ها تعلق نمی‌گیرد.

آسيب‌پذيری‌های قابل قبول و جوايز

میزان تشویقی

نوع آسیب‌پذیری

4 میلیون تومان

Remote Code Execution

2 میلیون تومان

Local Files Access and Manipulation

2 میلیون تومان

Injections

500 هزار تومان

Cross-Site Scripting (XSS)

تا 200 هزار تومان

Cross-Site Requests Forgery (CSRF/XSRF)

تا 250 هزار تومان

Other Low Risk*

250 هزار تا 1 میلیون تومان

Other Medium Risk*

1 تا 3 میلیون تومان

Other High Risk*

* Based on CVSSv2 Vulnerability Scoring System

توجه:

  • برای تشویقی‌هایی که یک بازه تعیین شده است، داوران سامانه كلاه سفيد بر اساس پارامترهای Exploitability  و Impact تصمیم‌گیری خواهند کرد و صرفاً نظر این کارشناسان معیار خواهد بود.
  • آسیب‌پذیری‌های مشابه که به طور مثال مربوط به یک پارامتر خاص است و ممکن است در صفحات مختلفی دیده شود، یک‌بار محسوب می‌شود.
  • کارشناسان شرکت‌کننده در مسابقه حق هیچ گونه افشای باگ مگر با مجوز مرکز ماهر را نخواهند داشت.

آسيب‌پذيری‌ها‌ی غير قابل قبول

آسيب‌پذير‌ی‌های زير پذيرفته نمی‌شوند:

  • حملات از كار اندازی سرويس(DoS , DDOS).
  • حملات مهندسی اجتماعی و Phishing.
  • آسيب‌پذيری در دامنه‌ها و آدرس‌های IP غير از آدرس هدف.
  • Best Practiceها، شامل حداقل طول كلمات عبور و نظایر آن.
  • آسیب‌پذیری‌ها و Best Practiceهای مربوط به SSL.
  • حمله Brute Force به نحوی که از لایه نرم افزار استفاده نشود.
  • آسیب‌پذیری‌هایی که به تعامل با کاربر نیاز است.
  • آسیب‌پذیری‌های مربوط به مرورگرهای قدیمی.
  • نامه‌نگاری الکترونیکی جعلی (E-mail spoofing).
  • حمله  Self XSS.
  • هر موردی که مربوط به بدست‌آوردن نام‌های کاربری (Account/e-mail enumeration) باشد.
  • آسیب‌پذیری‌هایی که قبلاً توسط سایر متخصصین گزارش شده است.
  • آسیب‌پذیری‌های گزارش‌شده توسط پویش‌گرها و سایر ابزارهای خودکار.
  • گزارش پایین‌بودن نسخه کتابخانه‌ها و نرم‌افزارهای به‌کاررفته در صورت عدم بهره‌برداری.
  • آسیب‌پذیری‌های مربوط به نشت اطلاعات سرور و پیکربندی نادرست آن مثل نسخه و نوع وب سرور.
  • آسیب‌پذیری‌های غیر مرتبط با دامنه محدوده در مسابقه.
نامارزیابی امنیتی درگاه ملی خدمات دولت همراه
نام سازمانسازمان فناوری اطلاعات ایران
وضعیت مسابقهغیرفعال
نوع مسابقهعمومی
تاریخ شروع1398/7/2
تاریخ پایان1398/7/25
زمان ساختسه شنبه ۲ مهر ۱۳۹۸ ۰۷:۳۲:۲۷
زمان به روز رسانیجمعه ۲۶ مهر ۱۳۹۸ ۰۰:۰۰:۰۱
مبلغ کل جوایز100,000,000 (ریال)
حداقل جایزه برای هر باگ
حداکثر جایزه برای هر باگ
ارزش جوایز پرداخت‌شده9,250,000 (ریال)
حفره‌های گزارش‌شده15
حفره‌های تایید‌شده9
حفره‌های تایید‌نشده3
حفره‌های تکراری3
حفره‌های در حال بررسی0

نظرهای این مسابقه

نتیجه‌ای یافت نشد.