زمان این مسابقه به پایان رسیده است. اگر می خواهید گزارشی ثبت کنید با مدیر سایت در میان بگذارید.

ارزیابی امنیتی پورتال آپا - مسابقه پاییزه

ثبت نام و گزارش حفره امنیتی

 

بسمه تعالي

 

در این مسابقه به متخصصین و هکرهای کلاه سفیدی که موفق به کشف حفره امنیتی در سامانه مرکز پژوهشی آپا شوند، جایزه داده خواهد شد. گزارش‌های ارسالی شما طی ۷ روز بررسی خواهد شد.

 

ثبت گزارش

جهت پرداخت جایزه، شواهد و مدارک قابل استناد که آسیب‌پذیری را تائید کند (مانند فیلم، عکس، اسکرین‌شات از صفحه و اسکریپت) مورد نیاز است.

برای بررسی فنی آسیب‌پذیری گزارش‌شده، مراحل تولید مجدد آن لازم است. خواهشمند است که شواهد کافی نظیر مقادیر ورودی و عملیات انجام‌شده مورد نیاز برای بهره‌برداری از آسیب‌پذیری را در گزارش قرار دهید. اگر تیم امنیتی نتواند آسیب‌پذیری را مجدداً ایجاد و تایید کند، به گزارش ارسال‌شده جایزه‌ای تعلق نمی‌گیرد.

در یک گزارش خوب انتظار می‌رود که موارد زیر مشخص شده باشد:

  • نوع آسیب‌پذیری (SQL Injection، Cross-Site Scripting و ... )
  • نوع و نسخه سیستم عامل، مرورگر و سایر برنامه‌‌های مورد استفاده
  • هرگونه تنظیم خاصی که مورد نیاز است تا حمله بازسازی شود.
  • دستورالعمل مرحله به مرحله برای بازسازی حمله
  • آسیب‌پذیری به طور کامل شرح داده شود و این‌که چگونه این آسیب می‌تواند مورد سوء استفاده قرار گیرد.

دامنه‌های مورد نظر

 

https://apa.aut.ac.ir

توجه! متخصصین تنها مجاز به ارزیابی امنیتی زیردامنه این مرکز (apa.aut.ac.ir) هستند و هیچکدام از سامانه‌ها یا زیردامنه‌های دیگر دانشگاه در حال حاضر در مسابقه شرکت ندارد.

 

آسيب‌پذيری‌های قابل قبول و جوايز

كليه آسيب‌پذيري‌ها در سطوح برنامه كاربردي، سرويس‌دهنده وب، سيستم عامل، پايگاه داده و كليه اجزاي نرم‌افزاري وابسته به سايت فوق که قابل بهره‌برداری هستند، مد نظر است. جوايز بر اساس جدول زير و بر اساس نظر كارشناسان و داوران سايت كلاه سفيد به متخصصين پرداخت خواهد شد. لازم به ذکر است که به آسیب‌پذیری‌هایی جایزه داده خواهد شد که سناریوی حمله و نحوه بهره‌برداری از آسیب‌پذیری به صورت کامل شرح داده شده باشد و همچنین شواهد نفوذ به سیستم و یا دسترسی به داده‌های حساس به طور کامل گزارش شده باشند.

نوع آسیب پذیری میزان تشویقی
Remote code execution 2 میلیون تومان
Local files access and manipulation 1 میلیون تومان
Injections 1 میلیون تومان
Cross-Site Scripting (XSS) 500 هزار تومان
Cross-Site Requests Forgery (CSRF/XSRF) 200 تا 400 هزار تومان
Other Low Risk* حداکثر 400 هزار تومان
Other Medium Risk* 400 تا 999 هزار تومان
Other High Risk* 1 تا 2 میلیون تومان

* Based on CVSSv2 Vulnerability Scoring System

  • برای تشویقی‌هایی که یک بازه تعیین شده است، داوران سامانه كلاه سفيد بر اساس پارامترهای Exploitability و Impact تصمیم‌گیری خواهند کرد و صرفاً نظر این کارشناسان معیار خواهد بود.
  • آسیب‌پذیری‌های مشابه که به طور مثال مربوط به یک پارامتر خاص است و ممکن است در صفحات مختلفی دیده شود، یک‌بار محسوب می‌شود.
  • در صورتی واجد شرایط دریافت جایزه هستید که اولین نفری باشید که آسیب‌پذیری ناشناخته را گزارش کنید.
  • زمان قابل قبولی برای تیم امنیتی در نظر گرفته می‌شود تا آسیب‌پذیری گزارش‌شده را ترمیم کنند و قبل از آن نباید اطلاعات گزارش علنی شود.
  • افشای آسیب‌پذیری‌ها فقط بر اساس قوانین سایت کلاه سفید و توسط این سایت انجام می‌شود. هر گونه افشای اطلاعات توسط متخصص قبل از آن مغایر با قوانین سایت است.

آسيب‌پذيری‌ها‌ی غير قابل قبول

آسيب‌پذير‌ی‌های زير پذيرفته نمی‌شوند:

  • حملات از كار اندازی سرويس (DoS)
  • حملات مهندسی اجتماعی و Phishing
  • آسيب‌پذيری در دامنه‌ها و آدرس‌های IP غير از آدرس هدف
  • Best Practiceها، شامل حداقل طول كلمات عبور و نظایر آن
  • آسیب‌پذیری‌ها و Best Practiceهای مربوط به SSL
  • حمله Brute Force
  • آسیب‌پذیری‌هایی که به تعامل با کاربر نیاز است
  • آسیب‌پذیری‌های مربوط به مرورگرهای قدیمی
  • نامه‌نگاری الکترونیکی جعلی (E-mail spoofing)
  • حمله Self XSS
  • هر موردی که مربوط به بدست آوردن نام‌های کاربری (Account/e-mail enumeration) باشد
  • آسیب‌پذیری‌هایی که قبلاً توسط سایر متخصصین گزارش شده است
  • آسیب‌پذیری‌های گزارش‌شده توسط اسکنرها و سایر ابزارهای اتوماتیک
  • گزارش پایین‌بودن ورژن کتابخانه‌ها و نرم‌افزارهای به کار رفته در صورت عدم بهره‌برداری
  • آسیب‌پذیری‌های مربوط به نشت اطلاعات سرور و پیکربندی نادرست آن مثل نسخه و نوع وب سرور
نامارزیابی امنیتی پورتال آپا - مسابقه پاییزه
نام سازمانمرکز پژوهشی آپا - دانشگاه صنعتی امیرکبیر
وضعیت مسابقهفعال
نوع مسابقهعمومی
تاریخ شروع1397/7/17
تاریخ پایان1397/8/17
زمان ساختیکشنبه ۱۶ اردیبهشت ۱۳۹۷ ۱۵:۳۷:۲۳
زمان به روز رسانیدوشنبه ۱ بهمن ۱۳۹۷ ۱۶:۳۳:۳۹
مبلغ کل جوایز(ریال)60,000,000
حداقل جایزه برای هر باگ(ریال)
حداکثر جایزه برای هر باگ(ریال)10,000,000
ارزش جوایز پرداخت‌شده(ریال)2,000,000
حفره‌های گزارش‌شده37
حفره‌های تایید‌شده3
حفره‌های تایید‌نشده34

نظرهای این مسابقه

نتیجه‌ای یافت نشد.