دبیرخانه قانون حمایت از حقوق پدیدآورندگان نرم افزارهای رایانه‌ای (iranspo.ir)

بسمه تعالي

در این مسابقه به متخصصین و هکرهای کلاه سفیدی که موفق به کشف حفره امنیتی در وب‌سایت دبیرخانه قانون حمایت از حقوق پدیدآورندگان نرم افزارهای رایانه‌ای (https://iranspo.ir) شوند، جایزه داده خواهد شد. گزارش های ارسالی شما طی 14 روز بررسی خواهد شد. کارشناسان سامانه  مذکور مشتاقانه منتظر گزارش‌های امنیتی و باگ‌های کشف شده توسط شما هستند تا سامانه خود را بهبود داده و بهترین خدمات را در اختیار عموم قرار دهند.

نکات مهم

• متخصصین لطفاً به لیست باگ‌های قابل قبول و غیرقابل قبول توجه نمایند.
• متخصصین تنها مجاز به ارزیابی امنیتی زیردامنه‌ مشخص‌شده در لیست مسابقه هستند و دیگر سامانه‌ها و سرویس‌ها در حیطه مسابقه نیست و هیچ گونه جوایزی به آن‌ها تعلق نمی‌گیرد.
• متخصصین در صورت کشف باگ‌، حق علنی کردن باگ (در شبکه های اجتماعی و غیره) پیش از هماهنگی با کلاه سفید و بانک را ندارند و مسوولیت حقوقی چنین اقدامی متوجه متخصص است.
• متخصصین در صورت کشف باگ، حق صدمه زدن به سامانه یا سو استفاده از باگ را نداشته و صرفا مجاز به ارائه شواهد وجود باگ هستند.
• متخصصین لطفاً توجه داشته باشید مبلغ جوایز با توجه به کیفیت گزارش ارسالی (مشخص بودن سناریو حمله و جزییات آن، کامل بودن شواهد) تعیین می‌گردد. 

ثبت گزارش

جهت پرداخت جایزه، مدارک قابل استناد که آسیب پذیری را تائید کند (مانند فیلم، عکس از صفحه مانیتور و اسکریپت) مورد نیاز است.

برای بررسی فنی آسیب پذیری گزارش شده، مراحل تولید مجدد آن لازم است. خواهشمند است که مقادیر ورودی و عملیات انجام شده مورد نیاز برای بهره برداری از آسیب پذیری را در گزارش قرار دهید.اگر تیم امنیتی نتواند آسیب پذیری را مجدداً ایجاد و تایید کند، جایزه تعلق نخواهد گرفت.

در یک گزارش خوب انتظار می رود که موارد زیر مشخص شده باشد:

• نوع آسیب پذیری ( SQL Injection، Cross-Site Scripting و ... )
• نوع و نسخه سیستم عامل، مرورگر وسایر برنامه های مورد استفاده
• هرگونه تنظیم خاصی که مورد نیاز است تا حمله را بازسازی کند.
• دستورالعمل مرحله به مرحله برای بازسازی حمله
• آسیب پذیری شرح داده شود. چگونه این آسیب می تواند مورد سوء استفاده قرار گیرد.

دامنه مورد نظر

https://iranspo.ir

دقت کنید که هیچ زیردامنه یا سایت دیگری در محدوده مسابقه قرار ندارد و متخصصین گرامی تنها مجاز به ارزیابی دامنه فوق هستند. 

آسيب‌پذيري‌هاي قابل قبول و جوايز

كليه آسيب پذيري ها در سطوح برنامه كاربردي، سرويس دهنده وب، سيستم عامل، پايگاه داده و كليه اجزاي نرم افزاري وابسته به سايت فوق که قابل بهره برداری هستند، مد نظر است. جوايز بر اساس توافق فی‌مابین کلاه سفید و پست‌بانک و همچنین بر اساس نظر كارشناسان سايت كلاه سفيد و بر اساس ضریبی از جدول زیر به متخصصين پرداخت خواهد شد.

 لازم به ذکر است که به آسیب‌پذیری‌هایی جایزه داده خواهد شد که سناریوی حمله و نحوه بهره‌برداری از آسیب‌پذیری به صورت کامل شرح داده شده باشد و همچنین شواهد نفوذ به سیستم و یا دسترسی به داده‌های حساس به طور کامل گزارش شده باشند.

Based on CVSSv3 Vulnerability Scoring System*

• برای تشویقی هایی که محدوده تعیین شده، داوران سامانه كلاه سفيد بر اساس پارامترهای Exploitability و Impact تصمیم گیری خواهد کرد و صرفاً نظر این کارشناسان معیار خواهد بود.
• آسیب پذیری های مشابه که مثلاً مربوط به یک پارامتر خاص است و ممکن است در صفحات مختلفی دیده شود، یک بار محسوب می شود.
• در صورتی واجد شرایط جایزه هستید که اولین نفری باشید که یک آسیب پذیری ناشناخته را گزارش کنید.
• زمان قابل قبولی برای تیم امنیتی در نظر گرفته میشود تا آسیب پذیری گزارش شده را ترمیم کنند و قبل از آن نباید اطلاعات گزارش علنی شود.
• افشا آسیب پذیری ها فقط بر اساس قوانین سایت کلاه سفید و توسط این سایت انجام می شود. هر گونه افشا اطلاعات توسط متخصص قبل از آن مغایر با قوانین سایت است.

آسيب‌پذيري‌هاي غير قابل قبول

آسیب­‌پذیری‌­های زير پذيرفته نمی‌شوند:

• (Cross-Site Requests Forgery (CSRF/XSRF
• (Click Jacking (X-Frame-Options
• frame injection
• SSL/TLS Misconfigurations
• Host Header Injection
• Tabnabbing
• OWASP Secure Headers
• Error-based Web Server Directory Enumeration
• cross-domain policy vulnerabilities
• فعال بودن Debug Mode
• انواع حملات منع سرويس
• انواع حملات مهندسی اجتماعی و Phishing
• آسيب پذيري در دامنه ها و آدرس هاي IP غير از آدرس هدف
• Best Practice ها، شامل حداقل طول كلمات عبور و غيره.
• آسیب پذیری ها و Best Practice های مربوط به SSL
• حمله Brute force
• آسیب پذیری های مربوط به مرورگر های قدیمی
• نامه نگاری الکترونیکی جعلی (E-mail spoofing)
• حمله Self XSS
• هر موردی مربوط به بدست آوردن نام های کاربری یا آدرس‌های ایمیل
  (Account/e-mail enumeration)
• آسیب پذیری هایی که قبلاً توسط سایر متخصصین گزارش شده
• آسیب پذیری های گزارش شده توسط اسکنر ها و سایر ابزار های اتوماتیک که قابل بهره‌برداری نیستند.
• نصب نبودن وصله‌های امنیتی که قابل بهره‌برداری نیستند.
• گزارش پایین بودن ورژن زبان برنامه‌نویسی، کتابخانه ها و نرم افزار های به کار برده شده در صورت عدم بهره برداری
• شناسایی نرم‌افزارهای مورد استفاده در سامانه
• آسیب‌پذیری‌های مربوط به نشت اطلاعات نوع و نسخه وب‌سرور یا اطلاعات نوع و نسخه زبان برنامه‌نویسی یا فعال بودن متودهای اضافی مثل OPTIONS و Trace 
• تنظیم نبودن فلگ‌های امنیتی کوکی ها (مثل Secure یا HttpOnly)
• عدم استفاده از Subresource Integrity