ژئوپورتال زیر ساخت ملی داده های مکانی (iransdi.ir)

باسمه تعالی

هدف از این مسابقه، آزمون امنیتی ژئوپورتال زیر ساخت ملی داده های مکانی (https://iransdi.ir) توسط متخصصان امنیتی است تا در صورت کشف آسیب‌پذیری، گزارش مربوطه جهت بهبود و توسعه در اختیار تیم فنی سازمان قرار داده شود. شایان توجه است به منظور تشویق متخصصان و قدردانی از زحمات ایشان، برای کشف آسیب‌پذیری‌ها جوایزی در نظر گرفته شده است. گزارش‌های ارسالی شما طی 14 روز بررسی خواهد شد. کارشناسان مربوطه، مشتاقانه منتظر گزارش‌های امنیتی و باگ‌های کشف شده توسط شما هستند تا وب­سایت را بهبود داده و بهترین خدمات را در اختیار عموم قرار دهند.

نکات مهم

• متخصصین گرامی حتماً به لیست آسیب‌پذیری‌های قابل قبول و غیرقابل قبول دقت نمایند.
• هر آسیب‌پذیری که به دلیل پیاده‌سازی نادرست کپچا باشد، قابل پذیرش نیست. 
• متخصصین تنها مجاز به ارزیابی امنیتی دامنه‌ مشخص‌ شده در مسابقه هستند و دیگر سامانه‌ها، سرویس‌ها  و زیردامنه ها در حیطه مسابقه نیست لذا هیچ‌گونه جوایزی به آن‌ها تعلق نمی‌گیرد.
• متخصصین در صورت کشف باگ‌، حق علنی کردن باگ (در شبکه‌­های اجتماعی و غیره) پیش از هماهنگی با کلاه سفید و سازمان را ندارند و مسئولیت حقوقی چنین اقدامی متوجه متخصص است.
• متخصصین در صورت کشف باگ، حق صدمه زدن به سامانه یا سوءاستفاده از باگ را نداشته و صرفا مجاز به ارائه شواهد وجود باگ هستند.

ثبت گزارش

جهت پرداخت جایزه، مدارک قابل استناد که آسیب­‌پذیری را تائید کند (مانند فیلم، عکس از صفحه مانیتور و اسکریپت) مورد نیاز است.

برای بررسی فنی آسیب­‌پذیری گزارش شده، مراحل تولید مجدد آن لازم است. خواهشمند است مقادیر ورودی و عملیات انجام شده برای بهره­‌برداری از آسیب­‌پذیری را در گزارش قرار دهید.اگر تیم امنیتی نتواند آسیب‌­پذیری را مجدداً ایجاد و تایید کند، جایزه تعلق نخواهد گرفت.

در یک گزارش خوب انتظار می­رود که موارد زیر مشخص شده باشد:

• نوع آسیب­‌پذیری ( SQL Injection، Cross-Site Scripting و ... )
• نوع و نسخه سیستم عامل، مرورگر وسایر برنامه­‌های مورد استفاده
• هرگونه تنظیم خاصی که مورد نیاز است تا حمله را بازسازی کند.
• دستورالعمل مرحله به مرحله برای بازسازی حمله
• آسیب‌­پذیری شرح داده شود و بیان کنید که این آسیب چگونه می تواند مورد سوء استفاده قرار گیرد.

دامنه‌ هدف:

https://iransdi.ir

دقت کنید که هیچ زیردامنه یا سایت دیگری در محدوده مسابقه قرار ندارد و متخصصین گرامی تنها مجاز به ارزیابی دامنه فوق هستند. 

آسيب‌پذيری‌های قابل قبول و جوايز

كليه آسيب‌­پذيری­‌ها در سطوح برنامه كاربردي، سرويس دهنده وب، سيستم عامل، پايگاه داده و كليه اجزای نرم افزاری وابسته به سايت فوق که قابل بهره­‌برداری هستند، مدنظر است. جوايز بر اساس توافق فی‌مابین کلاه سفید و سازمان و همچنین بر اساس نظر كارشناسان سايت كلاه سفيد و بر اساس ضریبی از جدول زیر به متخصصين پرداخت خواهد شد.

 لازم به تاکید است به گزارش‌هایی جایزه داده خواهد شد که سناریوی حمله و نحوه بهره‌برداری از آسیب‌پذیری به صورت کامل شرح داده شده باشد و همچنین شواهد نفوذ به سیستم و یا دسترسی به داده‌های حساس به طور کامل گزارش شده باشند.

Based on CVSSv3 Vulnerability Scoring System*

• برای تشویقی­‌هایی که محدوده تعیین شده، داوران سامانه كلاه سفيد بر اساس پارامترهای Exploitability و Impact تصمیم‌گیری خواهد کرد و صرفاً نظر این کارشناسان معیار خواهد بود.
• آسیب‌پذیری­‌های مشابه که مثلاً مربوط به یک پارامتر خاص است و ممکن است در صفحات مختلفی دیده شود، یک‌بار محسوب می شود.
• آسیب‌پذیری مشابه در پارامترهای مختلف یک صفحه و همچنین آسیب‌پذیری یک پارامتر در صفحات مختلف، یک بار محسوب می‌شود. 
• سقف مبلغ پرداختی برای کل جوایز SQL-Injection مبلغ 30,000,000 ریال می‌باشد که بین متخصصین تقسیم می‌گردد همچنین در صورتی که بهره‌برداری از آسیب‌پذیری SQL-Injection انجام پذیرد مبلغ جایزه کامل خواهد بود.
• سقف مبلغ پرداختی برای کل جوایز XSS مبلغ 20,000,000 ریال می‌باشد که بین متخصصین تقسیم می‌گردد.
• آسیب‌پذیری مشابه در پارامترها(ورودی‌ها) مختلف یک صفحه و همچنین آسیب‌پذیری یک پارامتر (ورودی) در صفحات مختلف، یک بار محسوب می‌شود.  
• از مشکلات پیاده‌سازی کپچا مطلع هستیم و گزارشهایی که به این  موضوع اشاره داشته باشند، قابل قبول نیستند. 
• در صورتی واجد شرایط جایزه هستید که اولین نفری باشید که یک آسیب‌پذیری ناشناخته را گزارش کنید.
• افشای آسیب­‌پذیری­‌ها فقط بر اساس قوانین سایت کلاه سفید و توسط این سایت انجام می­شود. هر گونه افشای اطلاعات توسط متخصص، مغایر با قوانین سایت است و مسئولیت حقوقی چنین اقدامی متوجه فرد افشاکننده است.

آسیب‌­پذیری‌های غير قابل قبول

آسیب­‌پذیری‌­های زير پذيرفته نمی‌شوند:

• (Cross-Site Requests Forgery (CSRF/XSRF
• (Click Jacking (X-Frame-Options
• SSL/TLS Misconfigurations
• Host Header Injection
• Tabnabbing
• OWASP Secure Headers
• پیاده‌سازی نادرست کپچا
• انواع حملات منع سرويس
• انواع حملات مهندسی اجتماعی و Phishing
• آسيب پذيري در دامنه ها و آدرس هاي IP غير از آدرس هدف
• Best Practice ها، شامل حداقل طول كلمات عبور و غيره.
• آسیب پذیری ها و Best Practice های مربوط به SSL
• حمله Brute force
• آسیب پذیری های مربوط به مرورگر های قدیمی
• نامه نگاری الکترونیکی جعلی (E-mail spoofing)
• حمله Self XSS
• هر موردی مربوط به بدست آوردن نام های کاربری یا آدرس‌های ایمیل
  (Account/e-mail enumeration)
• آسیب پذیری هایی که قبلاً توسط سایر متخصصین گزارش شده
• آسیب پذیری های گزارش شده توسط اسکنر ها و سایر ابزار های اتوماتیک که قابل بهره‌برداری نیستند.
• گزارش پایین بودن ورژن کتابخانه ها و نرم افزار های به کار برده شده در صورت عدم بهره برداری
• آسیب‌پذیری‌های مربوط به نشت اطلاعات نوع و نسخه وب‌سرور یا اطلاعات نوع و نسخه زبان برنامه‌نویسی یا فعال بودن متودهای اضافی مثل OPTIONS
• تنظیم نبودن فلگ‌های امنیتی کوکی ها (مثل Secure یا HttpOnly)