وبسایت ستاد برگزاري مراسم ازدواج دانشجويي (ezdevaj.nahad.ir)
باسمه تعالی
هدف از این مسابقه، آزمون امنیتی وبسایت ستاد برگزاري مراسم ازدواج دانشجويي (https://ezdevaj.nahad.ir) توسط متخصصان امنیتی است تا در صورت کشف آسیبپذیری، گزارش مربوطه جهت بهبود و توسعه در اختیار تیم فنی سازمان قرار داده شود. شایان توجه است به منظور تشویق متخصصان و قدردانی از زحمات ایشان، برای کشف آسیبپذیریها جوایزی در نظر گرفته شده است. گزارشهای ارسالی شما طی 14 روز بررسی خواهد شد. کارشناسان مربوطه، مشتاقانه منتظر گزارشهای امنیتی و باگهای کشف شده توسط شما هستند تا وبسایت را بهبود داده و بهترین خدمات را در اختیار عموم قرار دهند.
نکات مهم
- متخصصین گرامی حتماً به لیست آسیبپذیریهای قابل قبول و غیرقابل قبول دقت نمایند.
- متخصصین تنها مجاز به ارزیابی امنیتی دامنه مشخص شده در فهرست مسابقه هستند و دیگر سامانهها، سرویسها و زیردامنه ها در حیطه مسابقه نیست لذا هیچگونه جوایزی به آنها تعلق نمیگیرد.
- متخصصین در صورت کشف باگ، حق علنی کردن باگ (در شبکههای اجتماعی و غیره) پیش از هماهنگی با کلاه سفید و سازمان را ندارند و مسئولیت حقوقی چنین اقدامی متوجه متخصص است.
- متخصصین در صورت کشف باگ، حق صدمه زدن به سامانه یا سوءاستفاده از باگ را نداشته و صرفا مجاز به ارائه شواهد وجود باگ هستند.
ثبت گزارش
جهت پرداخت جایزه، مدارک قابل استناد که آسیبپذیری را تائید کند (مانند فیلم، عکس از صفحه مانیتور و اسکریپت) مورد نیاز است.
برای بررسی فنی آسیبپذیری گزارش شده، مراحل تولید مجدد آن لازم است. خواهشمند است مقادیر ورودی و عملیات انجام شده برای بهرهبرداری از آسیبپذیری را در گزارش قرار دهید.اگر تیم امنیتی نتواند آسیبپذیری را مجدداً ایجاد و تایید کند، جایزه تعلق نخواهد گرفت.
در یک گزارش خوب انتظار میرود که موارد زیر مشخص شده باشد:
- نوع آسیبپذیری ( SQL Injection، Cross-Site Scripting و ... )
- نوع و نسخه سیستم عامل، مرورگر وسایر برنامههای مورد استفاده
- هرگونه تنظیم خاصی که مورد نیاز است تا حمله را بازسازی کند.
- دستورالعمل مرحله به مرحله برای بازسازی حمله
- آسیبپذیری شرح داده شود و بیان کنید که این آسیب چگونه می تواند مورد سوء استفاده قرار گیرد.
دامنه هدف:
دقت کنید که هیچ زیردامنه یا سایت دیگری در محدوده مسابقه قرار ندارد و متخصصین گرامی تنها مجاز به ارزیابی دامنه فوق هستند.
آسيبپذيریهای قابل قبول و جوايز
كليه آسيبپذيریها در سطوح برنامه كاربردي، سرويس دهنده وب، سيستم عامل، پايگاه داده و كليه اجزای نرم افزاری وابسته به سايت فوق که قابل بهرهبرداری هستند، مدنظر است. جوايز بر اساس توافق فیمابین کلاه سفید و سازمان و همچنین بر اساس نظر كارشناسان سايت كلاه سفيد و بر اساس ضریبی از جدول زیر به متخصصين پرداخت خواهد شد.
لازم به تاکید است به گزارشهایی جایزه داده خواهد شد که سناریوی حمله و نحوه بهرهبرداری از آسیبپذیری به صورت کامل شرح داده شده باشد و همچنین شواهد نفوذ به سیستم و یا دسترسی به دادههای حساس به طور کامل گزارش شده باشند.
میزان تشویقی |
نوع آسیبپذیری |
10 میلیون تومان |
Remote code execution |
8 میلیون تومان |
دسترسی مدیریتی به CMS و امکان حذف، ویرایش یا افزودن مطالب |
4 میلیون تومان |
Injections |
2 میلیون تومان |
Local files access and manipulation |
حداکثر 500 هزار تومان |
Cross-Site Scripting (XSS) |
حداکثر تا 500 هزار تومان |
Other Low Risk* |
حداکثر تا 3 میلیون تومان |
Other Medium Risk* |
حداکثر تا 10 میلیون تومان |
Other High Risk* |
Based on CVSSv3 Vulnerability Scoring System*
- برای تشویقیهایی که محدوده تعیین شده، داوران سامانه كلاه سفيد بر اساس پارامترهای Exploitability و Impact تصمیمگیری خواهد کرد و صرفاً نظر این کارشناسان معیار خواهد بود.
- آسیبپذیریهای مشابه که مثلاً مربوط به یک پارامتر خاص است و ممکن است در صفحات مختلفی دیده شود، یکبار محسوب می شود.
- در صورتی واجد شرایط جایزه هستید که اولین نفری باشید که یک آسیبپذیری ناشناخته را گزارش کنید.
- افشای آسیبپذیریها فقط بر اساس قوانین سایت کلاه سفید و توسط این سایت انجام میشود. هر گونه افشای اطلاعات توسط متخصص، مغایر با قوانین سایت است و مسئولیت حقوقی چنین اقدامی متوجه فرد افشاکننده است.
آسیبپذیریهای غير قابل قبول
آسیبپذیریهای زير پذيرفته نمیشوند:
- (Cross-Site Requests Forgery (CSRF/XSRF
- (Click Jacking (X-Frame-Options
- SSL/TLS Misconfigurations
- Host Header Injection
- Tabnabbing
- OWASP Secure Headers
- Remote host missed security patches
- انواع حملات منع سرويس
- انواع حملات مهندسی اجتماعی و Phishing
- آسيب پذيري در دامنه ها و آدرس هاي IP غير از آدرس هدف
- Best Practice ها، شامل حداقل طول كلمات عبور و غيره.
- آسیب پذیری ها و Best Practice های مربوط به SSL
- حمله Brute force
- آسیب پذیری های مربوط به مرورگر های قدیمی
- نامه نگاری الکترونیکی جعلی (E-mail spoofing)
- حمله Self XSS
- هر موردی مربوط به بدست آوردن نام های کاربری یا آدرسهای ایمیل
(Account/e-mail enumeration) - آسیب پذیری هایی که قبلاً توسط سایر متخصصین گزارش شده
- آسیب پذیری های گزارش شده توسط اسکنر ها و سایر ابزار های اتوماتیک که قابل بهرهبرداری نیستند.
- گزارش پایین بودن ورژن زبان برنامهنویسی، کتابخانه ها و نرم افزار های به کار برده شده در صورت عدم بهره برداری
- آسیبپذیریهای مربوط به نشت اطلاعات نوع و نسخه وبسرور یا اطلاعات نوع و نسخه زبان برنامهنویسی یا فعال بودن متودهای اضافی مثل OPTIONS
- تنظیم نبودن فلگهای امنیتی کوکی ها (مثل Secure یا HttpOnly)
- عدم استفاده از Subresource Integrity
نام | وبسایت ستاد برگزاري مراسم ازدواج دانشجويي (ezdevaj.nahad.ir) |
---|---|
نام سازمان | سازمان فناوری اطلاعات ایران |
وضعیت مسابقه | غیرفعال |
نوع مسابقه | عمومی |
تاریخ شروع | 1398/8/27 |
تاریخ پایان | 1398/8/30 |
زمان ساخت | دوشنبه ۲۷ آبان ۱۳۹۸ ۱۶:۱۵:۱۱ |
زمان به روز رسانی | جمعه ۱ آذر ۱۳۹۸ ۱۲:۵۶:۱۵ |
مبلغ کل جوایز | 150,000,000 (ریال) |
حداقل جایزه برای هر باگ | |
حداکثر جایزه برای هر باگ | |
ارزش جوایز پرداختشده | 126,100,000 (ریال) |
حفرههای گزارششده | 22 |
حفرههای تاییدشده | 19 |
حفرههای تاییدنشده | 1 |
حفرههای تکراری | 2 |
حفرههای در حال بررسی | 0 |
فعالیت های این مسابقه (فقط جوایز بالاتر از ۵۰۰۰۰۰ ریال)
# | نام مسابقه | شناسه گزارش | متخصص | نوع فعالیت | نوع آسیبپذیری / باگ | مبلغ جایزه (ریال) | مشاهده | زمان |
---|---|---|---|---|---|---|---|---|
1 | وبسایت ستاد برگزاري مراسم ازدواج دانشجويي (ezdevaj.nahad.ir) | 2805 | hoseinroot | دریافت جایزه | Access Control Bugs | 540,000 | - | دوشنبه ۲۵ آذر ۱۳۹۸ ۱۱:۱۲:۵۹ |
2 | وبسایت ستاد برگزاري مراسم ازدواج دانشجويي (ezdevaj.nahad.ir) | 2779 | hoseinroot | دریافت جایزه | Access Control Bugs | 9,000,000 | - | دوشنبه ۲۵ آذر ۱۳۹۸ ۱۱:۰۶:۵۲ |
3 | وبسایت ستاد برگزاري مراسم ازدواج دانشجويي (ezdevaj.nahad.ir) | 2776 | hoseinroot | دریافت جایزه | Access Control Bugs | 630,000 | - | دوشنبه ۲۵ آذر ۱۳۹۸ ۱۰:۵۹:۵۸ |
4 | وبسایت ستاد برگزاري مراسم ازدواج دانشجويي (ezdevaj.nahad.ir) | 2767 | Dmitriy_area51 | دریافت جایزه | Other | 1,080,000 | - | دوشنبه ۲۵ آذر ۱۳۹۸ ۱۰:۵۷:۰۱ |
5 | وبسایت ستاد برگزاري مراسم ازدواج دانشجويي (ezdevaj.nahad.ir) | 2728 | aliakbar_sadeghi | دریافت جایزه | Other | 1,800,000 | - | دوشنبه ۲۵ آذر ۱۳۹۸ ۱۰:۳۸:۴۰ |