دبیرخانه قانون حمایت از حقوق پدیدآورندگان نرم افزارهای رایانهای (iranspo.ir)
بسمه تعالي
در این مسابقه به متخصصین و هکرهای کلاه سفیدی که موفق به کشف حفره امنیتی در وبسایت دبیرخانه قانون حمایت از حقوق پدیدآورندگان نرم افزارهای رایانهای (https://iranspo.ir) شوند، جایزه داده خواهد شد. گزارش های ارسالی شما طی 14 روز بررسی خواهد شد. کارشناسان سامانه مذکور مشتاقانه منتظر گزارشهای امنیتی و باگهای کشف شده توسط شما هستند تا سامانه خود را بهبود داده و بهترین خدمات را در اختیار عموم قرار دهند.
نکات مهم
- متخصصین لطفاً به لیست باگهای قابل قبول و غیرقابل قبول توجه نمایند.
- متخصصین تنها مجاز به ارزیابی امنیتی زیردامنه مشخصشده در لیست مسابقه هستند و دیگر سامانهها و سرویسها در حیطه مسابقه نیست و هیچ گونه جوایزی به آنها تعلق نمیگیرد.
- متخصصین در صورت کشف باگ، حق علنی کردن باگ (در شبکه های اجتماعی و غیره) پیش از هماهنگی با کلاه سفید و بانک را ندارند و مسوولیت حقوقی چنین اقدامی متوجه متخصص است.
- متخصصین در صورت کشف باگ، حق صدمه زدن به سامانه یا سو استفاده از باگ را نداشته و صرفا مجاز به ارائه شواهد وجود باگ هستند.
- متخصصین لطفاً توجه داشته باشید مبلغ جوایز با توجه به کیفیت گزارش ارسالی (مشخص بودن سناریو حمله و جزییات آن، کامل بودن شواهد) تعیین میگردد.
ثبت گزارش
جهت پرداخت جایزه، مدارک قابل استناد که آسیب پذیری را تائید کند (مانند فیلم، عکس از صفحه مانیتور و اسکریپت) مورد نیاز است.
برای بررسی فنی آسیب پذیری گزارش شده، مراحل تولید مجدد آن لازم است. خواهشمند است که مقادیر ورودی و عملیات انجام شده مورد نیاز برای بهره برداری از آسیب پذیری را در گزارش قرار دهید.اگر تیم امنیتی نتواند آسیب پذیری را مجدداً ایجاد و تایید کند، جایزه تعلق نخواهد گرفت.
در یک گزارش خوب انتظار می رود که موارد زیر مشخص شده باشد:
- نوع آسیب پذیری ( SQL Injection، Cross-Site Scripting و ... )
- نوع و نسخه سیستم عامل، مرورگر وسایر برنامه های مورد استفاده
- هرگونه تنظیم خاصی که مورد نیاز است تا حمله را بازسازی کند.
- دستورالعمل مرحله به مرحله برای بازسازی حمله
- آسیب پذیری شرح داده شود. چگونه این آسیب می تواند مورد سوء استفاده قرار گیرد.
دامنه مورد نظر
دقت کنید که هیچ زیردامنه یا سایت دیگری در محدوده مسابقه قرار ندارد و متخصصین گرامی تنها مجاز به ارزیابی دامنه فوق هستند.
آسيبپذيريهاي قابل قبول و جوايز
كليه آسيب پذيري ها در سطوح برنامه كاربردي، سرويس دهنده وب، سيستم عامل، پايگاه داده و كليه اجزاي نرم افزاري وابسته به سايت فوق که قابل بهره برداری هستند، مد نظر است. جوايز بر اساس توافق فیمابین کلاه سفید و پستبانک و همچنین بر اساس نظر كارشناسان سايت كلاه سفيد و بر اساس ضریبی از جدول زیر به متخصصين پرداخت خواهد شد.
لازم به ذکر است که به آسیبپذیریهایی جایزه داده خواهد شد که سناریوی حمله و نحوه بهرهبرداری از آسیبپذیری به صورت کامل شرح داده شده باشد و همچنین شواهد نفوذ به سیستم و یا دسترسی به دادههای حساس به طور کامل گزارش شده باشند.
میزان تشویقی |
نوع آسیبپذیری |
2 میلیون تومان |
Remote code execution |
1 میلیون تومان |
دسترسی مدیریتی به CMS و امکان حذف، ویرایش یا افزودن مطالب |
حداکثر 400 هزار تومان |
Injections |
حداکثر 400 هزار تومان |
Local files access and manipulation |
حداکثر 200 هزار تومان |
Cross-Site Scripting (XSS) |
حداکثر تا 200 هزار تومان |
Other Low Risk* |
حداکثر تا 1 میلیون تومان |
Other Medium Risk* |
حداکثر تا 2 میلیون تومان |
Other High Risk* |
Based on CVSSv3 Vulnerability Scoring System*
- برای تشویقی هایی که محدوده تعیین شده، داوران سامانه كلاه سفيد بر اساس پارامترهای Exploitability و Impact تصمیم گیری خواهد کرد و صرفاً نظر این کارشناسان معیار خواهد بود.
- آسیب پذیری های مشابه که مثلاً مربوط به یک پارامتر خاص است و ممکن است در صفحات مختلفی دیده شود، یک بار محسوب می شود.
- در صورتی واجد شرایط جایزه هستید که اولین نفری باشید که یک آسیب پذیری ناشناخته را گزارش کنید.
- زمان قابل قبولی برای تیم امنیتی در نظر گرفته میشود تا آسیب پذیری گزارش شده را ترمیم کنند و قبل از آن نباید اطلاعات گزارش علنی شود.
- افشا آسیب پذیری ها فقط بر اساس قوانین سایت کلاه سفید و توسط این سایت انجام می شود. هر گونه افشا اطلاعات توسط متخصص قبل از آن مغایر با قوانین سایت است.
آسيبپذيريهاي غير قابل قبول
آسیبپذیریهای زير پذيرفته نمیشوند:
- (Cross-Site Requests Forgery (CSRF/XSRF
- (Click Jacking (X-Frame-Options
- frame injection
- SSL/TLS Misconfigurations
- Host Header Injection
- Tabnabbing
- OWASP Secure Headers
- Error-based Web Server Directory Enumeration
- cross-domain policy vulnerabilities
- فعال بودن Debug Mode
- انواع حملات منع سرويس
- انواع حملات مهندسی اجتماعی و Phishing
- آسيب پذيري در دامنه ها و آدرس هاي IP غير از آدرس هدف
- Best Practice ها، شامل حداقل طول كلمات عبور و غيره.
- آسیب پذیری ها و Best Practice های مربوط به SSL
- حمله Brute force
- آسیب پذیری های مربوط به مرورگر های قدیمی
- نامه نگاری الکترونیکی جعلی (E-mail spoofing)
- حمله Self XSS
- هر موردی مربوط به بدست آوردن نام های کاربری یا آدرسهای ایمیل
(Account/e-mail enumeration) - آسیب پذیری هایی که قبلاً توسط سایر متخصصین گزارش شده
- آسیب پذیری های گزارش شده توسط اسکنر ها و سایر ابزار های اتوماتیک که قابل بهرهبرداری نیستند.
- نصب نبودن وصلههای امنیتی که قابل بهرهبرداری نیستند.
- گزارش پایین بودن ورژن زبان برنامهنویسی، کتابخانه ها و نرم افزار های به کار برده شده در صورت عدم بهره برداری
- شناسایی نرمافزارهای مورد استفاده در سامانه
- آسیبپذیریهای مربوط به نشت اطلاعات نوع و نسخه وبسرور یا اطلاعات نوع و نسخه زبان برنامهنویسی یا فعال بودن متودهای اضافی مثل OPTIONS و Trace
- تنظیم نبودن فلگهای امنیتی کوکی ها (مثل Secure یا HttpOnly)
- عدم استفاده از Subresource Integrity
نام | دبیرخانه قانون حمایت از حقوق پدیدآورندگان نرم افزارهای رایانهای (iranspo.ir) |
---|---|
نام سازمان | سازمان فناوری اطلاعات ایران |
وضعیت مسابقه | غیرفعال |
نوع مسابقه | عمومی |
تاریخ شروع | 1398/10/25 |
تاریخ پایان | 1398/10/30 |
زمان ساخت | سه شنبه ۲۴ دی ۱۳۹۸ ۱۵:۰۷:۱۲ |
زمان به روز رسانی | سه شنبه ۱ بهمن ۱۳۹۸ ۰۰:۰۰:۰۱ |
مبلغ کل جوایز | 50,000,000 (ریال) |
حداقل جایزه برای هر باگ | |
حداکثر جایزه برای هر باگ | |
ارزش جوایز پرداختشده | 2,000,000 (ریال) |
حفرههای گزارششده | 9 |
حفرههای تاییدشده | 5 |
حفرههای تاییدنشده | 3 |
حفرههای تکراری | 1 |
حفرههای در حال بررسی | 0 |
فعالیت های این مسابقه (فقط جوایز بالاتر از ۵۰۰۰۰۰ ریال)
# | نام مسابقه | شناسه گزارش | متخصص | نوع فعالیت | نوع آسیبپذیری / باگ | مبلغ جایزه (ریال) | مشاهده | زمان |
---|---|---|---|---|---|---|---|---|
1 | دبیرخانه قانون حمایت از حقوق پدیدآورندگان نرم افزارهای رایانهای (iranspo.ir) | 4120 | Hojjat | دریافت جایزه | Access Control Bugs | 540,000 | - | چهارشنبه ۷ اسفند ۱۳۹۸ ۱۳:۱۰:۴۵ |
2 | دبیرخانه قانون حمایت از حقوق پدیدآورندگان نرم افزارهای رایانهای (iranspo.ir) | 4120 | Hojjat | پذیرش گزارش | Access Control Bugs | در حال برآورد | - | دوشنبه ۵ اسفند ۱۳۹۸ ۱۵:۱۹:۲۱ |
3 | دبیرخانه قانون حمایت از حقوق پدیدآورندگان نرم افزارهای رایانهای (iranspo.ir) | 4120 | Hojjat | ارسال گزارش | Access Control Bugs | - | - | چهارشنبه ۲۵ دی ۱۳۹۸ ۱۶:۳۲:۰۷ |