تست نفوذ سامانه سیگما
بسمه تعالي
در این مسابقه به متخصصین و هکرهای کلاه سفیدی که موفق به کشف حفره امنیتی در سامانه سیگما شوند، جایزه داده خواهد شد. گزارش های ارسالی شما طی 7 روز بررسی خواهد شد.
شرکت توسعه زیرساخت های فناوری اطلاعات سیگما، با 15 سال سابقه فعالیت و رتبه یک شورای عالی انفورماتیک، یکی از شرکت های معتبر صنعت فناوری اطلاعات و ارتباطات کشور، در حوزه پورتال های حرفه ای سازمانی و خدمات الکترونیکی امن به شمار می رود. خدمات و محصولات شرکت سیگما (پورتال سیگما) ، با توجه به کیفیت، قابلیت و امنیت آن، مورد استفاده بزرگ ترین شرکت ها و سازمان های کشور می باشد.
امنیت سامانه، مهمترین عامل برای مهندسین سیگماست و به جد برای تامین امنیت سامانه خود تلاش می کنند. لازم به ذکر است که پورتال سیگما یکی از پورتالهای امن بومی و بدون سابقه هک نرم افزار در طی مدت سابقه فعالیت خود میباشد. با این حال سیگما به کمک کلاه سفید سامانه خود را در معرض ارزیابی امنیتی عمومی قرار داده است و به باگ ها و آسیبپذیری های امنیتی کشف شده جایزه می دهد.
ثبت گزارش
جهت پرداخت جایزه، مدارک قابل استناد که آسیب پذیری را تائید کند (مانند فیلم، عکس از صفحه مانیتور و اسکریپت) مورد نیاز است.
برای بررسی فنی آسیب پذیری گزارش شده، مراحل تولید مجدد آن لازم است. خواهشمند است که مقادیر ورودی و عملیات انجام شده مورد نیاز برای بهره برداری از آسیب پذیری را در گزارش قرار دهید.اگر تیم امنیتی نتواند آسیب پذیری را مجدداً ایجاد و تایید کند، جایزه تعلق نخواهد گرفت.
در یک گزارش خوب انتظار می رود که موارد زیر مشخص شده باشد:
- نوع آسیب پذیری ( SQL Injection، Cross-Site Scripting و ... )
- نوع و نسخه سیستم عامل، مرورگر وسایر برنامه های مورد استفاده
- هرگونه تنظیم خاصی که مورد نیاز است تا حمله را بازسازی کند.
- دستورالعمل مرحله به مرحله برای بازسازی حمله
- آسیب پذیری شرح داده شود. چگونه این آسیب می تواند مورد سوء استفاده قرار گیرد.
دامنه های مورد نظر
آسيب پذيري هاي قابل قبول و جوايز
در این مسابقه مشخصاً آسیب پذیریهای نرم افزار پورتال سازمانی سیگما مد نظر است. تنها آسيب پذيري ها در سطح برنامه كاربردي (Application-Level Bugs) که قابل بهرهبرداری (Exploitation) باشند، قابل قبول هستند و آسیب پذیریهای سرويس دهنده وب، سيستم عامل، تجهیزات شبکه و غیره مد نظر نیست. جوايز بر اساس جدول زير و بر اساس نظركارشناسان سايت كلاه سفيد به متخصصين پرداخت خواهد شد.
| نوع آسیب پذیری | میزان تشویقی |
| Remote code execution | 2 میلیون تومان |
| Local files access and manipulation | 1 میلیون تومان |
| Injections | 1 میلیون تومان |
| Cross-Site Scripting (XSS) | 500 هزار تومان |
| Cross-Site Requests Forgery (CSRF/XSRF) | 200 تا 400 هزار تومان |
| Other Low Risk* | حداکثر 400 هزار تومان |
| Other Medium Risk* | 400 تا 999 هزار تومان |
| Other High Risk* | 1 تا 2 میلیون تومان |
* Based on CVSSv2 Vulnerability Scoring System
- برای تشویقی هایی که محدوده تعیین شده، داوران سامانه كلاه سفيد بر اساس پارامترهای Exploitability و Impact تصمیم گیری خواهد کرد و صرفاً نظر این کارشناسان معیار خواهد بود.
- آسیب پذیری های مشابه که مثلاً مربوط به یک پارامتر خاص است و ممکن است در صفحات مختلفی دیده شود، یک بار محسوب می شود.
- در صورتی واجد شرایط جایزه هستید که اولین نفری باشید که یک آسیب پذیری ناشناخته را گزارش کنید.
- زمان قابل قبولی برای تیم امنیتی در نظر گرفته میشود تا آسیب پذیری گزارش شده را ترمیم کنند و قبل از آن نباید اطلاعات گزارش علنی شود.
- افشا آسیب پذیری ها فقط بر اساس قوانین سایت کلاه سفید و توسط این سایت انجام می شود. هر گونه افشا اطلاعات توسط متخصص قبل از آن مغایر با قوانین سایت است.
آسيبپذيري هاي غير قابل قبول
آسيب پذيري هاي زير پذيرفته نمي شوند:
- حملات از كار اندازي سرويس (DoS)
- آسیب پذیری های مربوط به Web Server و پیکربندی آن
- آسیب پذیری های مربوط به سیستم عامل
- آسیب پذیری های مربوط به تجهیزات شبکه
- حملات مهندسي اجتماعي و Phishing
- آسيب پذيري در دامنه ها و آدرس هاي IP غير از آدرس هدف
- Best Practice ها، شامل حداقل طول كلمات عبور و غيره.
- آسیب پذیری ها و Best Practice های مربوط به SSL
- حمله Brute force
- آسیب پذیری های مربوط به مرورگر های قدیمی
- نامه نگاری الکترونیکی جعلی (E-mail spoofing)
- حمله Self XSS
- هر موردی مربوط به بدست آوردن نام های کاربری (Account/e-mail enumeration)
- آسیب پذیری هایی که قبلاً توسط سایر متخصصین گزارش شده
- آسیب پذیری های گزارش شده توسط اسکنر ها و سایر ابزار های اتوماتیک
- گزارش پایین بودن ورژن کتابخانه ها و نرم افزار های به کار برده شده در صورت عدم بهره برداری
| نام | تست نفوذ سامانه سیگما |
|---|---|
| نام سازمان | توسعه زیرساخت های فناوری اطلاعات سیگما |
| وضعیت مسابقه | غیرفعال |
| نوع مسابقه | عمومی |
| تاریخ شروع | 1397/3/7 |
| تاریخ پایان | 1397/6/7 |
| زمان ساخت | دوشنبه ۷ خرداد ۱۳۹۷ ۱۳:۱۶:۱۵ |
| زمان به روز رسانی | چهارشنبه ۱۱ دی ۱۳۹۸ ۱۴:۱۱:۲۹ |
| مبلغ کل جوایز | 60,000,000 (ریال) |
| حداقل جایزه برای هر باگ | |
| حداکثر جایزه برای هر باگ | |
| ارزش جوایز پرداختشده | 2,000,000 (ریال) |
| حفرههای گزارششده | 10 |
| حفرههای تاییدشده | 2 |
| حفرههای تاییدنشده | 8 |
| حفرههای تکراری | 0 |
| حفرههای در حال بررسی | 0 |
فعالیت های این مسابقه (فقط جوایز بالاتر از ۵۰۰۰۰۰ ریال)
| # | نام مسابقه | شناسه گزارش | متخصص | نوع فعالیت | نوع آسیبپذیری / باگ | مبلغ جایزه (ریال) | مشاهده | زمان |
|---|---|---|---|---|---|---|---|---|
| 1 | تست نفوذ سامانه سیگما | 108 | m_sedghi2003 | دریافت جایزه | Access Control Bugs | 1,000,000 | - | سه شنبه ۱۷ دی ۱۳۹۸ ۱۱:۴۶:۱۴ |
| 2 | تست نفوذ سامانه سیگما | 91 | m_sedghi2003 | دریافت جایزه | Misconfiguration/Open Redirect | 1,000,000 | - | دوشنبه ۱۶ دی ۱۳۹۸ ۱۳:۴۹:۲۹ |
| 3 | تست نفوذ سامانه سیگما | 108 | m_sedghi2003 | پذیرش گزارش | Access Control Bugs | در حال برآورد | - | سه شنبه ۱۲ تیر ۱۳۹۷ ۱۶:۰۶:۵۹ |
| 4 | تست نفوذ سامانه سیگما | 108 | m_sedghi2003 | پذیرش گزارش | Access Control Bugs | در حال برآورد | - | دوشنبه ۱۴ خرداد ۱۳۹۷ ۱۳:۴۷:۰۸ |