مسابقه ارزیابی امنیتی اپلیکیشن موبایل دولت همراه

باسمه تعالی

هدف از این مسابقه، آزمون امنیتی اپلیکیشن موبایل دولت همراه توسط متخصصان امنیتی است تا در صورت کشف آسیب‌پذیری، گزارش مربوطه جهت بهبود و توسعه در اختیار تیم فنی سازمان قرار داده شود. شایان توجه است به منظور تشویق متخصصان و قدردانی از زحمات ایشان، برای کشف آسیب‌پذیری‌ها جوایزی در نظر گرفته شده است. گزارش‌های ارسالی شما طی 14 روز بررسی خواهد شد. کارشناسان مربوطه، مشتاقانه منتظر گزارش‌های امنیتی و باگ‌های کشف شده توسط شما هستند تا وب­سایت را بهبود داده و بهترین خدمات را در اختیار عموم قرار دهند.

نکات مهم

• آسیب‌پذیری‌های با سطح ریسک پایین قابل قبول نمی‌باشند. 
• متخصصین گرامی حتماً به لیست آسیب‌پذیری‌های قابل قبول و غیرقابل قبول دقت نمایند.
• متخصصین تنها مجاز به ارزیابی امنیتی دامنه‌ مشخص‌ شده در مسابقه هستند و دیگر سامانه‌ها، سرویس‌ها  و زیردامنه ها در حیطه مسابقه نیست لذا هیچ‌گونه جوایزی به آن‌ها تعلق نمی‌گیرد.
• متخصصین در صورت کشف باگ‌، حق علنی کردن باگ (در شبکه‌­های اجتماعی و غیره) پیش از هماهنگی با کلاه سفید و سازمان را ندارند و مسئولیت حقوقی چنین اقدامی متوجه متخصص است.
• متخصصین در صورت کشف باگ، حق صدمه زدن به سامانه یا سوءاستفاده از باگ را نداشته و صرفا مجاز به ارائه شواهد وجود باگ هستند.

ثبت گزارش

جهت پرداخت جایزه، مدارک قابل استناد که آسیب­‌پذیری را تائید کند (مانند فیلم، عکس از صفحه مانیتور و اسکریپت) مورد نیاز است.

برای بررسی فنی آسیب­‌پذیری گزارش شده، مراحل تولید مجدد آن لازم است. خواهشمند است مقادیر ورودی و عملیات انجام شده برای بهره­‌برداری از آسیب­‌پذیری را در گزارش قرار دهید.اگر تیم امنیتی نتواند آسیب‌­پذیری را مجدداً ایجاد و تایید کند، جایزه تعلق نخواهد گرفت.

در یک گزارش خوب انتظار می­رود که موارد زیر مشخص شده باشد:

• نوع آسیب­‌پذیری ( SQL Injection، Cross-Site Scripting و ... )
• نوع و نسخه سیستم عامل، مرورگر وسایر برنامه­‌های مورد استفاده
• هرگونه تنظیم خاصی که مورد نیاز است تا حمله را بازسازی کند.
• دستورالعمل مرحله به مرحله برای بازسازی حمله
• آسیب‌­پذیری شرح داده شود و بیان کنید که این آسیب چگونه می تواند مورد سوء استفاده قرار گیرد.

لینک دانلود نرم افزار هدف:

http://kolahsefid.org/files/MGOV-RN-Release-14000402-02.apk

متخصصین تنها مجاز هستند اپلیکیشن فوق را تست کنند و مجاز به تست نسخه های موجود در سامانه دولت همراه نیستند. 

آسيب‌پذيری‌های قابل قبول و جوايز

كليه آسيب‌­پذيری­‌ها در سطوح برنامه كاربردي، سرويس دهنده وب، سيستم عامل، پايگاه داده و كليه اجزای نرم افزاری وابسته به سايت فوق که قابل بهره­‌برداری هستند، مدنظر است. جوايز بر اساس توافق فی‌مابین کلاه سفید و سازمان و همچنین بر اساس نظر كارشناسان سايت كلاه سفيد و بر اساس ضریبی از جدول زیر به متخصصين پرداخت خواهد شد.

 لازم به تاکید است به گزارش‌هایی جایزه داده خواهد شد که سناریوی حمله و نحوه بهره‌برداری از آسیب‌پذیری به صورت کامل شرح داده شده باشد و همچنین شواهد نفوذ به سیستم و یا دسترسی به داده‌های حساس به طور کامل گزارش شده باشند.

Based on CVSSv3 Vulnerability Scoring System*

• برای تشویقی­‌هایی که محدوده تعیین شده، داوران سامانه كلاه سفيد بر اساس پارامترهای Exploitability و Impact تصمیم‌گیری خواهد کرد و صرفاً نظر این کارشناسان معیار خواهد بود.
• آسیب‌پذیری­‌های مشابه که مثلاً مربوط به یک پارامتر خاص است و ممکن است در صفحات مختلفی دیده شود، یک‌بار محسوب می شود.
• آسیب‌پذیری مشابه در پارامترهای مختلف یک صفحه و همچنین آسیب‌پذیری یک پارامتر در صفحات مختلف، یک بار محسوب می‌شود. 
• آسیب‌پذیری مشابه در پارامترها(ورودی‌ها) مختلف یک صفحه و همچنین آسیب‌پذیری یک پارامتر (ورودی) در صفحات مختلف، یک بار محسوب می‌شود.  
• در صورتی واجد شرایط جایزه هستید که اولین نفری باشید که یک آسیب‌پذیری ناشناخته را گزارش کنید.
• افشای آسیب­‌پذیری­‌ها فقط بر اساس قوانین سایت کلاه سفید و توسط این سایت انجام می­شود. هر گونه افشای اطلاعات توسط متخصص، مغایر با قوانین سایت است و مسئولیت حقوقی چنین اقدامی متوجه فرد افشاکننده است.
• در صورتی که گزارش ارسالی مشابه با گزارش های ارسال شده در مسابقه درگاه ملی خدمات دولت همراه باشد  قا بل پذیرش نخواهد بود. 

آسیب‌­پذیری‌های غير قابل قبول

آسیب­‌پذیری‌­های زير پذيرفته نمی‌شوند:

• آسیب‌پذیری‌های با سطح ریسک پایین 
• Client Code Quality
• no root or simulator detection
• وجود کد مخرب در فایل نرم‌افزار
• حملاتی که نیاز فیزیکی به گوشی قربانی داشته باشد 
• پیدا کردن  API Keyهای ذخیره و یا استفاده شده
• فعال بودن flagها مانند:  backup، debug  و ...
• عدم مبهم‌سازی کد
• Local DoS attacks
• داشتن مجوزهای نامناسب
• فعال بودن clipboard  
• عدم حذف اطلاعات حساس در زمان رفتن به پس زمینه 
• استخراج فایل و یا داده‌های محلی
•  مشکلات مربوط به گواهینامه
• (Cross-Site Requests Forgery (CSRF/XSRF
• SSL/TLS Misconfigurations
• Host Header Injection
• Tabnabbing
• OWASP Secure Headers
• Content Injection
• انواع حملات منع سرويس
• انواع حملات مهندسی اجتماعی و Phishing
• آسيب پذيري در دامنه ها و آدرس هاي IP غير از آدرس هدف
• Best Practice ها، شامل حداقل طول كلمات عبور، توابع مورد استفاده و غيره.
• آسیب پذیری ها و Best Practice های مربوط به SSL
• حمله Brute force
• آسیب پذیری های مربوط به مرورگر های قدیمی
• نامه نگاری الکترونیکی جعلی (E-mail spoofing)
• حمله Self XSS
• هر موردی مربوط به بدست آوردن نام های کاربری یا آدرس‌های ایمیل
  (Account/e-mail enumeration)
• آسیب پذیری هایی که قبلاً توسط سایر متخصصین گزارش شده
• آسیب پذیری های گزارش شده توسط اسکنر ها و سایر ابزار های اتوماتیک که قابل بهره‌برداری نیستند.
• گزارش پایین بودن ورژن کتابخانه ها و نرم افزار های به کار برده شده در صورت عدم بهره برداری
• گزارش پایین بودن ورژن کتابخانه ها و نرم افزار های به کار برده شده
• گزارش باز بودن پورت ها
• آسیب‌پذیری‌های مربوط به نشت اطلاعات نوع و نسخه وب‌سرور یا اطلاعات نوع و نسخه زبان برنامه‌نویسی یا فعال بودن متودهای اضافی مثل OPTIONS
• تنظیم نبودن فلگ‌های امنیتی کوکی ها (مثل Secure یا HttpOnly)