مسابقه ارزیابی امنیتی اپلیکیشن موبایل دولت همراه
باسمه تعالی
هدف از این مسابقه، آزمون امنیتی اپلیکیشن موبایل دولت همراه توسط متخصصان امنیتی است تا در صورت کشف آسیبپذیری، گزارش مربوطه جهت بهبود و توسعه در اختیار تیم فنی سازمان قرار داده شود. شایان توجه است به منظور تشویق متخصصان و قدردانی از زحمات ایشان، برای کشف آسیبپذیریها جوایزی در نظر گرفته شده است. گزارشهای ارسالی شما طی 14 روز بررسی خواهد شد. کارشناسان مربوطه، مشتاقانه منتظر گزارشهای امنیتی و باگهای کشف شده توسط شما هستند تا وبسایت را بهبود داده و بهترین خدمات را در اختیار عموم قرار دهند.
نکات مهم
- آسیبپذیریهای با سطح ریسک پایین قابل قبول نمیباشند.
- متخصصین گرامی حتماً به لیست آسیبپذیریهای قابل قبول و غیرقابل قبول دقت نمایند.
- متخصصین تنها مجاز به ارزیابی امنیتی دامنه مشخص شده در مسابقه هستند و دیگر سامانهها، سرویسها و زیردامنه ها در حیطه مسابقه نیست لذا هیچگونه جوایزی به آنها تعلق نمیگیرد.
- متخصصین در صورت کشف باگ، حق علنی کردن باگ (در شبکههای اجتماعی و غیره) پیش از هماهنگی با کلاه سفید و سازمان را ندارند و مسئولیت حقوقی چنین اقدامی متوجه متخصص است.
- متخصصین در صورت کشف باگ، حق صدمه زدن به سامانه یا سوءاستفاده از باگ را نداشته و صرفا مجاز به ارائه شواهد وجود باگ هستند.
ثبت گزارش
جهت پرداخت جایزه، مدارک قابل استناد که آسیبپذیری را تائید کند (مانند فیلم، عکس از صفحه مانیتور و اسکریپت) مورد نیاز است.
برای بررسی فنی آسیبپذیری گزارش شده، مراحل تولید مجدد آن لازم است. خواهشمند است مقادیر ورودی و عملیات انجام شده برای بهرهبرداری از آسیبپذیری را در گزارش قرار دهید.اگر تیم امنیتی نتواند آسیبپذیری را مجدداً ایجاد و تایید کند، جایزه تعلق نخواهد گرفت.
در یک گزارش خوب انتظار میرود که موارد زیر مشخص شده باشد:
- نوع آسیبپذیری ( SQL Injection، Cross-Site Scripting و ... )
- نوع و نسخه سیستم عامل، مرورگر وسایر برنامههای مورد استفاده
- هرگونه تنظیم خاصی که مورد نیاز است تا حمله را بازسازی کند.
- دستورالعمل مرحله به مرحله برای بازسازی حمله
- آسیبپذیری شرح داده شود و بیان کنید که این آسیب چگونه می تواند مورد سوء استفاده قرار گیرد.
لینک دانلود نرم افزار هدف:
http://kolahsefid.org/files/MGOV-RN-Release-14000402-02.apk
متخصصین تنها مجاز هستند اپلیکیشن فوق را تست کنند و مجاز به تست نسخه های موجود در سامانه دولت همراه نیستند.
آسيبپذيریهای قابل قبول و جوايز
كليه آسيبپذيریها در سطوح برنامه كاربردي، سرويس دهنده وب، سيستم عامل، پايگاه داده و كليه اجزای نرم افزاری وابسته به سايت فوق که قابل بهرهبرداری هستند، مدنظر است. جوايز بر اساس توافق فیمابین کلاه سفید و سازمان و همچنین بر اساس نظر كارشناسان سايت كلاه سفيد و بر اساس ضریبی از جدول زیر به متخصصين پرداخت خواهد شد.
لازم به تاکید است به گزارشهایی جایزه داده خواهد شد که سناریوی حمله و نحوه بهرهبرداری از آسیبپذیری به صورت کامل شرح داده شده باشد و همچنین شواهد نفوذ به سیستم و یا دسترسی به دادههای حساس به طور کامل گزارش شده باشند.
میزان تشویقی |
نوع آسیبپذیری |
3 میلیون تومان |
Remote code execution |
حداکثر تا 2 میلیون تومان |
Injections |
حداکثر تا 1.5 میلیون تومان | Authentication Bypass |
حداکثر تا 1 میلیون تومان | Access Control bugs |
حداکثر تا 1 میلیون تومان | Information Disclosure |
حداکثر تا 500 هزار تومان |
Other Medium Risk* |
حداکثر تا 3 میلیون تومان |
Other High Risk* |
Based on CVSSv3 Vulnerability Scoring System*
- برای تشویقیهایی که محدوده تعیین شده، داوران سامانه كلاه سفيد بر اساس پارامترهای Exploitability و Impact تصمیمگیری خواهد کرد و صرفاً نظر این کارشناسان معیار خواهد بود.
- آسیبپذیریهای مشابه که مثلاً مربوط به یک پارامتر خاص است و ممکن است در صفحات مختلفی دیده شود، یکبار محسوب می شود.
- آسیبپذیری مشابه در پارامترهای مختلف یک صفحه و همچنین آسیبپذیری یک پارامتر در صفحات مختلف، یک بار محسوب میشود.
- آسیبپذیری مشابه در پارامترها(ورودیها) مختلف یک صفحه و همچنین آسیبپذیری یک پارامتر (ورودی) در صفحات مختلف، یک بار محسوب میشود.
- در صورتی واجد شرایط جایزه هستید که اولین نفری باشید که یک آسیبپذیری ناشناخته را گزارش کنید.
- افشای آسیبپذیریها فقط بر اساس قوانین سایت کلاه سفید و توسط این سایت انجام میشود. هر گونه افشای اطلاعات توسط متخصص، مغایر با قوانین سایت است و مسئولیت حقوقی چنین اقدامی متوجه فرد افشاکننده است.
- در صورتی که گزارش ارسالی مشابه با گزارش های ارسال شده در مسابقه درگاه ملی خدمات دولت همراه باشد قا بل پذیرش نخواهد بود.
آسیبپذیریهای غير قابل قبول
آسیبپذیریهای زير پذيرفته نمیشوند:
- آسیبپذیریهای با سطح ریسک پایین
- Client Code Quality
- no root or simulator detection
- وجود کد مخرب در فایل نرمافزار
- حملاتی که نیاز فیزیکی به گوشی قربانی داشته باشد
- پیدا کردن API Keyهای ذخیره و یا استفاده شده
- فعال بودن flagها مانند: backup، debug و ...
- عدم مبهمسازی کد
- Local DoS attacks
- داشتن مجوزهای نامناسب
- فعال بودن clipboard
- عدم حذف اطلاعات حساس در زمان رفتن به پس زمینه
- استخراج فایل و یا دادههای محلی
- مشکلات مربوط به گواهینامه
- (Cross-Site Requests Forgery (CSRF/XSRF
- SSL/TLS Misconfigurations
- Host Header Injection
- Tabnabbing
- OWASP Secure Headers
- Content Injection
- انواع حملات منع سرويس
- انواع حملات مهندسی اجتماعی و Phishing
- آسيب پذيري در دامنه ها و آدرس هاي IP غير از آدرس هدف
- Best Practice ها، شامل حداقل طول كلمات عبور، توابع مورد استفاده و غيره.
- آسیب پذیری ها و Best Practice های مربوط به SSL
- حمله Brute force
- آسیب پذیری های مربوط به مرورگر های قدیمی
- نامه نگاری الکترونیکی جعلی (E-mail spoofing)
- حمله Self XSS
- هر موردی مربوط به بدست آوردن نام های کاربری یا آدرسهای ایمیل
(Account/e-mail enumeration) - آسیب پذیری هایی که قبلاً توسط سایر متخصصین گزارش شده
- آسیب پذیری های گزارش شده توسط اسکنر ها و سایر ابزار های اتوماتیک که قابل بهرهبرداری نیستند.
- گزارش پایین بودن ورژن کتابخانه ها و نرم افزار های به کار برده شده در صورت عدم بهره برداری
- گزارش پایین بودن ورژن کتابخانه ها و نرم افزار های به کار برده شده
- گزارش باز بودن پورت ها
- آسیبپذیریهای مربوط به نشت اطلاعات نوع و نسخه وبسرور یا اطلاعات نوع و نسخه زبان برنامهنویسی یا فعال بودن متودهای اضافی مثل OPTIONS
- تنظیم نبودن فلگهای امنیتی کوکی ها (مثل Secure یا HttpOnly)
نام | مسابقه ارزیابی امنیتی اپلیکیشن موبایل دولت همراه |
---|---|
نام سازمان | سازمان فناوری اطلاعات ایران |
وضعیت مسابقه | غیرفعال |
نوع مسابقه | عمومی |
تاریخ شروع | 1400/4/12 |
تاریخ پایان | 1400/4/19 |
زمان ساخت | شنبه ۵ تیر ۱۴۰۰ ۱۶:۴۱:۲۲ |
زمان به روز رسانی | یکشنبه ۲۰ تیر ۱۴۰۰ ۰۰:۰۰:۰۲ |
مبلغ کل جوایز | 120,000,000 (ریال) |
حداقل جایزه برای هر باگ | |
حداکثر جایزه برای هر باگ | |
ارزش جوایز پرداختشده | 14,200,000 (ریال) |
حفرههای گزارششده | 17 |
حفرههای تاییدشده | 4 |
حفرههای تاییدنشده | 3 |
حفرههای تکراری | 10 |
حفرههای در حال بررسی | 0 |
فعالیت های این مسابقه (فقط جوایز بالاتر از ۵۰۰۰۰۰ ریال)
# | نام مسابقه | شناسه گزارش | متخصص | نوع فعالیت | نوع آسیبپذیری / باگ | مبلغ جایزه (ریال) | مشاهده | زمان |
---|---|---|---|---|---|---|---|---|
1 | مسابقه ارزیابی امنیتی اپلیکیشن موبایل دولت همراه | 7726 | Morteza_am | دریافت جایزه | Other | 4,050,000 | - | یکشنبه ۱۴ شهریور ۱۴۰۰ ۱۶:۵۹:۳۳ |
2 | مسابقه ارزیابی امنیتی اپلیکیشن موبایل دولت همراه | 7692 | Morteza_am | دریافت جایزه | Other | 4,050,000 | - | یکشنبه ۱۴ شهریور ۱۴۰۰ ۱۶:۵۸:۲۵ |
3 | مسابقه ارزیابی امنیتی اپلیکیشن موبایل دولت همراه | 7689 | Morteza_am | دریافت جایزه | Other | 3,600,000 | - | یکشنبه ۱۴ شهریور ۱۴۰۰ ۱۶:۵۵:۵۵ |
4 | مسابقه ارزیابی امنیتی اپلیکیشن موبایل دولت همراه | 7689 | Morteza_am | پذیرش گزارش | Other | در حال برآورد | - | یکشنبه ۱۴ شهریور ۱۴۰۰ ۱۴:۳۷:۴۵ |
5 | مسابقه ارزیابی امنیتی اپلیکیشن موبایل دولت همراه | 7692 | Morteza_am | پذیرش گزارش | Other | در حال برآورد | - | یکشنبه ۱۴ شهریور ۱۴۰۰ ۱۴:۳۷:۱۲ |