زمان این مسابقه به پایان رسیده است. اگر می خواهید گزارشی ثبت کنید با مدیر سایت در میان بگذارید.

تست نفوذ پایگاه مجلات تخصصی نور

ثبت نام و گزارش حفره امنیتی

 

بسمه تعالي

 

در این مسابقه به متخصصین و هکرهای کلاه سفیدی که موفق به کشف حفره امنیتی در سامانه پایگاه مجلات تخصصی نور(noormags) شوند، جایزه داده خواهد شد. گزارش های ارسالی شما طی 7 روز بررسی خواهد شد.

پایگاه مجلات تخصصی نور از مجموعه پایگاه های مركز تحقیقات كامپیوتری علوم اسلامی است که وظیفه شناسایی و عرضه مجلات تخصصی علوم انسانی و اسلامی را بر عهده دارد. بر كسی پوشیده نیست كه امروزه مجلات - به ویژه در حوزه موضوعات تخصصی - به یکی از مهمترین ابزارهای تولید، عرضه، نقد و استفاده از علوم تبدیل شد­ه­ اند. با ورود اینترنت به عرصه اطلاع رسانی علمی، این كاركرد ابعاد گسترده ­تری یافته و این امكان فراهم شده است تا بسیاری از مجلات نیز با به کار گیری ابزار جدید به شکلی نو و کارآمدتر در اختیار محققان قرار گیرند. در همین راستا شبکه جهانی نور وابسته به مرکز تحقیقات کامپیوتری علوم اسلامی از سال 1377 اقدام به عرضه مجلات مربوط به علوم اسلامی و علوم انسانی بر روی پایگاه حوزه نمود. استقبال کاربران از یك سو و قابلیتهای روز افزون مورد نیاز متخصصان مراجعه کننده از سوی دیگر، این شبكه را بر آن داشت تا با راه اندازی «پایگاه مجلات تخصصی نور» پاسخگوی این نیاز باشد.

آنچه در این پایگاه عرضه شده است حاصل تلاش بی وقفه متخصصین در مرکز تحقیقات کامپیوتری علوم اسلامی نور از مهرماه سال 1384 تا کنون می­‌باشد. متخصصین نور مشتاقانه منتظر گزارش‌های امنیتی و باگ‌های کشف شده توسط شما هستند تا سامانه خود را بهبود داده و بهترین خدمات را در اختیار عموم قرار دهند.

ثبت گزارش

جهت پرداخت جایزه، مدارک قابل استناد که آسیب پذیری را تائید کند (مانند فیلم، عکس از صفحه مانیتور و اسکریپت) مورد نیاز است.

برای بررسی فنی آسیب پذیری گزارش شده، مراحل تولید مجدد آن لازم است. خواهشمند است که مقادیر ورودی و عملیات انجام شده مورد نیاز برای بهره برداری از آسیب پذیری را در گزارش قرار دهید.اگر تیم امنیتی نتواند آسیب پذیری را مجدداً ایجاد و تایید کند، جایزه تعلق نخواهد گرفت.

در یک گزارش خوب انتظار می رود که موارد زیر مشخص شده باشد:

  • نوع آسیب پذیری ( SQL Injection، Cross-Site Scripting و ... )
  • نوع و نسخه سیستم عامل، مرورگر وسایر برنامه های مورد استفاده
  • هرگونه تنظیم خاصی که مورد نیاز است تا حمله را بازسازی کند.
  • دستورالعمل مرحله به مرحله برای بازسازی حمله
  • آسیب پذیری شرح داده شود. چگونه این آسیب می تواند مورد سوء استفاده قرار گیرد.

دامنه های مورد نظر

www.noormags.ir

آسيب پذيري هاي قابل قبول و جوايز

كليه آسيب پذيري ها در سطوح برنامه كاربردي، سرويس دهنده وب، سيستم عامل، پايگاه داده و كليه اجزاي نرم افزاري وابسته به سايت فوق که قابل بهره برداری هستند، مد نظر است. جوايز بر اساس جدول زير و بر اساس نظركارشناسان سايت كلاه سفيد به متخصصين پرداخت خواهد شد.

نوع آسیب پذیری میزان تشویقی
Remote code execution 1 میلیون تومان
Local files access and manipulation 500 هزار تومان
Injections 500 هزار تومان
Cross-Site Scripting (XSS) 250 هزار تومان
Cross-Site Requests Forgery (CSRF/XSRF) 100 تا 200 هزار تومان
Other Low Risk* حداکثر 200 هزار تومان
Other Medium Risk* 200 تا 499 هزار تومان
Other High Risk* 500 هزار تا 1 میلیون تومان

* Based on CVSSv2 Vulnerability Scoring System

  • برای تشویقی هایی که محدوده تعیین شده، داوران سامانه كلاه سفيد بر اساس پارامترهای Exploitability و Impact تصمیم گیری خواهد کرد و صرفاً نظر این کارشناسان معیار خواهد بود.
  • آسیب پذیری های مشابه که مثلاً مربوط به یک پارامتر خاص است و ممکن است در صفحات مختلفی دیده شود، یک بار محسوب می شود.
  • در صورتی واجد شرایط جایزه هستید که اولین نفری باشید که یک آسیب پذیری ناشناخته را گزارش کنید.
  • زمان قابل قبولی برای تیم امنیتی در نظر گرفته میشود تا آسیب پذیری گزارش شده را ترمیم کنند و قبل از آن نباید اطلاعات گزارش علنی شود.
  • افشا آسیب پذیری ها فقط بر اساس قوانین سایت کلاه سفید و توسط این سایت انجام می شود. هر گونه افشا اطلاعات توسط متخصص قبل از آن مغایر با قوانین سایت است.

آسيب‌پذيري هاي غير قابل قبول

آسيب پذيري هاي زير پذيرفته نمي شوند:

  • حملات از كار اندازي سرويس (DoS)
  • حملات مهندسي اجتماعي و Phishing
  • آسيب پذيري در دامنه ها و آدرس هاي IP غير از آدرس هدف
  • Best Practice ها، شامل حداقل طول كلمات عبور و غيره.
  • آسیب پذیری ها و Best Practice های مربوط به SSL
  • حمله Brute force
  • آسیب پذیری هایی که به تعامل با کاربر نیاز است.
  • آسیب پذیری های مربوط به مرورگر های قدیمی
  • نامه نگاری الکترونیکی جعلی (E-mail spoofing)
  • حمله Self XSS
  • هر موردی مربوط به بدست آوردن نام های کاربری (Account/e-mail enumeration)
  • آسیب پذیری هایی که قبلاً توسط سایر متخصصین گزارش شده
  • آسیب پذیری های گزارش شده توسط اسکنر ها و سایر ابزار های اتوماتیک
  • گزارش پایین بودن ورژن کتابخانه ها و نرم افزار های به کار برده شده در صورت عدم بهره برداری
نامتست نفوذ پایگاه مجلات تخصصی نور
نام سازمانپایگاه مجلات تخصصی نور
وضعیت مسابقهفعال
نوع مسابقهعمومی
تاریخ شروع1397/3/8
تاریخ پایان1397/4/19
زمان ساختسه شنبه ۸ خرداد ۱۳۹۷ ۱۵:۴۱:۳۷
زمان به روز رسانیچهارشنبه ۲۰ تیر ۱۳۹۷ ۱۱:۰۴:۵۰
مبلغ کل جوایز(ریال)20,000,000
حداقل جایزه برای هر باگ(ریال)
حداکثر جایزه برای هر باگ(ریال)
ارزش جوایز پرداخت‌شده(ریال)21,500,000
حفره‌های گزارش‌شده27
حفره‌های تایید‌شده11
حفره‌های تایید‌نشده15

نظرهای این مسابقه

نتیجه‌ای یافت نشد.