سامانه اینترنت ‌بانک پست ‌بانک

ثبت نام و گزارش حفره امنیتی

بسمه تعالي

 

در این مسابقه به متخصصین و هکرهای کلاه سفیدی که موفق به کشف حفره امنیتی در سامانه اینترنت‌بانک پست‌بانک شوند، جایزه داده خواهد شد. گزارش های ارسالی شما طی 14 روز بررسی خواهد شد. کارشناسان سامانه  مذکور مشتاقانه منتظر گزارش‌های امنیتی و باگ‌های کشف شده توسط شما هستند تا سامانه خود را بهبود داده و بهترین خدمات را در اختیار عموم قرار دهند.

 

نکات مهم

  •  متخصصین جهت تست سامانه میتوانند بعنوان یک مشتری عادی به شعب بانک مراجعه کرده و اقدام به بازکردن حساب و دریافت شناسه اینترنت‌بانک نمایند.
  •  متخصصین گرامی حتماً به لیست آسیب‌پذیری‌های قابل قبول و غیرقابل قبول دقت نمایند.
  • آسیب‌پذیری‌های با سطح ریسک پایین و متوسط قابل پذیرش نیستند. 
  • متخصصین تنها مجاز به ارزیابی امنیتی زیردامنه‌ مشخص‌شده در لیست مسابقه هستند و دیگر سامانه‌ها و سرویس‌ها در حیطه مسابقه نیست و هیچ گونه جوایزی به آن‌ها تعلق نمی‌گیرد.
  • متخصصین در صورت کشف باگ‌، حق علنی کردن باگ (در شبکه های اجتماعی و غیره) پیش از هماهنگی با کلاه سفید و بانک را ندارند و مسوولیت حقوقی چنین اقدامی متوجه متخصص است.
  • متخصصین در صورت کشف باگ، حق صدمه زدن به سامانه یا سو استفاده از باگ را نداشته و صرفا مجاز به ارائه شواهد وجود باگ هستند.

ثبت گزارش

جهت پرداخت جایزه، مدارک قابل استناد که آسیب پذیری را تائید کند (مانند فیلم، عکس از صفحه مانیتور و اسکریپت) مورد نیاز است.

برای بررسی فنی آسیب پذیری گزارش شده، مراحل تولید مجدد آن لازم است. خواهشمند است که مقادیر ورودی و عملیات انجام شده مورد نیاز برای بهره برداری از آسیب پذیری را در گزارش قرار دهید.اگر تیم امنیتی نتواند آسیب پذیری را مجدداً ایجاد و تایید کند، جایزه تعلق نخواهد گرفت.

در یک گزارش خوب انتظار می رود که موارد زیر مشخص شده باشد:

  • نوع آسیب پذیری ( SQL Injection، Cross-Site Scripting و ... )
  • نوع و نسخه سیستم عامل، مرورگر وسایر برنامه های مورد استفاده
  • هرگونه تنظیم خاصی که مورد نیاز است تا حمله را بازسازی کند.
  • دستورالعمل مرحله به مرحله برای بازسازی حمله
  • آسیب پذیری شرح داده شود. چگونه این آسیب می تواند مورد سوء استفاده قرار گیرد.

دامنه های مورد نظر

https://ib.postbank.ir

دقت کنید که هیچ زیردامنه یا سایت دیگری در محدوده مسابقه قرار ندارد و متخصصین گرامی تنها مجاز به ارزیابی دامنه فوق هستند. 

آسيب‌پذيري‌هاي قابل قبول و جوايز

كليه آسيب پذيري ها در سطوح برنامه كاربردي، سرويس دهنده وب، سيستم عامل، پايگاه داده و كليه اجزاي نرم افزاري وابسته به سايت فوق که قابل بهره برداری هستند، مد نظر است. جوايز بر اساس توافق فی‌مابین کلاه سفید و پست‌بانک و همچنین بر اساس نظر كارشناسان سايت كلاه سفيد و بر اساس ضریبی از جدول زیر به متخصصين پرداخت خواهد شد.

 لازم به ذکر است که به آسیب‌پذیری‌هایی جایزه داده خواهد شد که سناریوی حمله و نحوه بهره‌برداری از آسیب‌پذیری به صورت کامل شرح داده شده باشد و همچنین شواهد نفوذ به سیستم و یا دسترسی به داده‌های حساس به طور کامل گزارش شده باشند.

 

نوع آسیب پذیری

میزان تشویقی

جابجایی پول از حساب مشتری دلخواه به حساب مهاجم
(بدون تعامل کاربر)

15 میلیون تومان

دسترسی به ریزتراکنش حساب مشتری دلخواه
(بدون نیاز به تعامل کاربر)

10میلیون تومان

دسترسی به موجودی حساب مشتری دلخواه

5 میلیون تومان

Remote code execution

15 میلیون تومان

Local files access and manipulation

 5 میلیون تومان

Injections

3 میلیون تومان

Cross-Site Scripting (XSS)

حداکثر 1 میلیون تومان

Other High Risk*

حداکثر تا 15 میلیون تومان

* Based on CVSSv3 Vulnerability Scoring System

  • برای تشویقی هایی که محدوده تعیین شده، داوران سامانه كلاه سفيد بر اساس پارامترهای Exploitability و Impact تصمیم گیری خواهد کرد و صرفاً نظر این کارشناسان معیار خواهد بود.
  • آسیب پذیری های مشابه که مثلاً مربوط به یک پارامتر خاص است و ممکن است در صفحات مختلفی دیده شود، یک بار محسوب می شود.
  • آسیب‌پذیری مشابه در پارامترها(ورودی‌ها) مختلف یک صفحه و همچنین آسیب‌پذیری یک پارامتر (ورودی) در صفحات مختلف، یک بار محسوب می‌شود.  
  • در صورتی واجد شرایط جایزه هستید که اولین نفری باشید که یک آسیب پذیری ناشناخته را گزارش کنید.
  • زمان قابل قبولی برای تیم امنیتی در نظر گرفته میشود تا آسیب پذیری گزارش شده را ترمیم کنند و قبل از آن نباید اطلاعات گزارش علنی شود.
  • افشا آسیب پذیری ها فقط بر اساس قوانین سایت کلاه سفید و توسط این سایت انجام می شود. هر گونه افشا اطلاعات توسط متخصص قبل از آن مغایر با قوانین سایت است.

آسيب‌پذيري‌هاي غير قابل قبول

آسيب پذيري هاي زير پذيرفته نمي‌شوند:

  • آسیب‌پذیری‌های با سطح ریسک پایین و متوسط
  • (Cross-Site Requests Forgery (CSRF/XSRF
  • (Click Jacking (X-Frame-Options
  • SSL/TLS Misconfigurations
  • Host Header Injection
  • Tabnabbing
  • OWASP Secure Headers
  • Content Injection
  • انواع حملات منع سرويس
  • انواع حملات مهندسی اجتماعی و Phishing
  • آسيب پذيري در دامنه ها و آدرس هاي IP غير از آدرس هدف
  • Best Practice ها، شامل حداقل طول كلمات عبور و غيره.
  • آسیب پذیری ها و Best Practice های مربوط به SSL
  • حمله Brute force
  • آسیب پذیری های مربوط به مرورگر های قدیمی
  • نامه نگاری الکترونیکی جعلی (E-mail spoofing)
  • حمله Self XSS
  • هر موردی مربوط به بدست آوردن نام های کاربری یا آدرس‌های ایمیل
    (Account/e-mail enumeration)
  • آسیب پذیری هایی که قبلاً توسط سایر متخصصین گزارش شده
  • آسیب پذیری های گزارش شده توسط اسکنر ها و سایر ابزار های اتوماتیک که قابل بهره‌برداری نیستند.
  • گزارش پایین بودن ورژن کتابخانه ها و نرم افزار های به کار برده شده در صورت عدم بهره برداری
  • گزارش پایین بودن ورژن کتابخانه ها و نرم افزار های به کار برده شده
  • آسیب‌پذیری‌های مربوط به نشت اطلاعات نوع و نسخه وب‌سرور یا اطلاعات نوع و نسخه زبان برنامه‌نویسی یا فعال بودن متودهای اضافی مثل OPTIONS
  • تنظیم نبودن فلگ‌های امنیتی کوکی ها (مثل Secure یا HttpOnly)
نامسامانه اینترنت ‌بانک پست ‌بانک
نام سازمانسازمان فناوری اطلاعات ایران
وضعیت مسابقهفعال
نوع مسابقهعمومی
تاریخ شروع1399/12/5
تاریخ پایان1399/12/12
زمان ساختسه شنبه ۵ اسفند ۱۳۹۹ ۱۲:۲۶:۵۴
زمان به روز رسانیسه شنبه ۵ اسفند ۱۳۹۹ ۱۳:۱۲:۲۶
مبلغ کل جوایز300,000,000 (ریال)
حداقل جایزه برای هر باگ
حداکثر جایزه برای هر باگ
ارزش جوایز پرداخت‌شده
حفره‌های گزارش‌شده3
حفره‌های تایید‌شده0
حفره‌های تایید‌نشده0
حفره‌های تکراری0
حفره‌های در حال بررسی3

نظرهای این مسابقه

نتیجه‌ای یافت نشد.