گزارش آسیب پذیری فرم افزار

قوانین

  • تنها آسیب‌پذیری‌هایی که قابلیت اکسپلویت (Exploit) داشته باشند، بررسی خواهند شد.
  • از هرگونه اختلال در عملکرد و فرآیند سامانه‌ها اجتناب کنید.
  • هر گزارش باید شامل یک آسیب‌پذیری باشد.
  • شرح آسیب‌پذیری باید به‌صورت کامل، همراه با شدت و خطرات احتمالی ارائه شود.
  • از آدرس IP مشخصی برای بررسی و ارزیابی استفاده کنید و آن را در گزارش ذکر نمایید.
  • تمامی فعالیت‌ها و دسترسی‌ها باید در گزارش قید شوند.
  • مراحل بازتولید آسیب‌پذیری به‌طور کامل شرح داده شود.
  • مستندات لازم (تصاویر، ویدیو، کدها، PoC و ...) جهت دسترسی به آسیب‌پذیری به همراه ابزارهای موردنیاز بارگذاری شود.
  • از ارسال مستندات آسیب‌پذیری‌ها در سایت‌های اشتراکی یا شبکه‌های اجتماعی اجتناب کنید.
  • به حریم شخصی کاربران و افراد احترام بگذارید و تنها از حساب کاربری متعلق به خودتان برای آزمایش آسیب‌پذیری‌ها استفاده کنید.
  • اطلاعات محرمانه نباید افشا شوند و پس از تایید گزارش باید حذف گردند.
  • بدون هماهنگی، اطلاعات آسیب‌پذیری‌ها را عمومی نکنید.
  • از سوءاستفاده از مشکلات امنیتی کشف‌شده اکیداً خودداری کنید.
  • هیچ‌یک از قوانین کشور نباید نقض شود.
  • آسیب‌پذیری‌های گزارش‌شده باید تأثیر مشخصی بر کاربران، سامانه‌ها یا داده‌ها داشته باشند.
  • معیار محاسبه شدت آسیب‌پذیری‌ها، استاندارد CVSS v3 است.
  • دریافت پاداش به معنای مجوز افشای گزارش نیست و انتشار گزارش‌ها تنها با هماهنگی امکان‌پذیر است.
  • استفاده از اسکنرهای خودکار یا ابزارهایی که باعث ارسال درخواست‌های زیاد شوند، ممنوع است.
  • تست‌های امنیتی نباید موجب اختلال در فرآیندهای کسب‌وکار شوند.
  • گزارش‌ها باید قابل اثبات و تکرارپذیر باشند و با جزئیات قدم‌به‌قدم توضیح داده شوند.
  • در گزارش‌های ارسالی درج پیلود (کد، اسکریپت و ...) الزامی است.
  • از گزارش اطلاعات نشت‌شده بدون هماهنگی و تأیید اجتناب شود.
  • پاداش نقدی تنها به اولین متقاضی که دارای گزارش صحیحی باشد تعلق می‌گیرد.

آسیب‌پذیری‌ها

آسیب‌پذیری‌های مورد قبول

    حیاتی (Vital):
  • RCE روی سرورهای حیاتی (Remote Code Execution)
  • آسیب‌پذیری‌هایی که باعث تخریب کامل کسب‌وکار شوند (Business Destruction Vulnerability)
    • بحرانی (Critical):
  • تزریق SQL/NoSQL/Command (SQL/NoSQL/Command Injection)
  • اجرای دستورات از راه دور (Remote Command Execution)
  • تصاحب گسترده حساب کاربری (Mass Account Takeover without User Interaction)
  • تزریق XML External Entity (XML External Entity Injection - XXE)
  • افشای اطلاعات حساس (Sensitive Data Exposure)
    • بالا (High):
  • دسترسی غیرمجاز به خواندن و نوشتن اطلاعات حساس یک کاربر (Unauthorized Access to Read and Write Sensitive Data of a User)
  • افشای کامل کد منبع یکی از محصولات خصوصی (Complete Source Code Disclosure)
  • Local File Inclusion (شامل کردن فایل محلی)
  • SSRF با تأثیر بالا (Server-Side Request Forgery - SSRF High Impact)
  • بای‌پس احراز هویت (Authentication Bypass)
  • افشای اطلاعات حساس همه کاربران (Sensitive Data Exposure - All Users)
    • متوسط (Medium):
  • SSRF با تأثیر متوسط (Server-Side Request Forgery - SSRF Medium Impact)
  • تزریق CRLF (CRLF Injection)
  • افزایش دسترسی به حساب مدیر (Privilege Escalation to Admin Account)
  • دسترسی غیرمجاز به سرویس‌ها (Unauthorized Access to Services - API/Endpoints)
  • افشای اطلاعات حساس برخی کاربران (Sensitive Data Exposure - Some Users)
  • سرقت حساب با تعامل کاربر (Account Takeover by User Interaction)
  • Response Manipulation (دستکاری پاسخ‌ها)
  • Misconfiguration OAuth (با قابلیت بهره‌برداری)
    • پایین (Low):
  • Reflected XSS (Cross-site Scripting انعکاسی)
  • دسترسی غیرمجاز به بخشی از داده‌های حساس یک کاربر (Unauthorized Access to Partial Sensitive Data)
  • ارسال رمز عبور در متن ساده (Clear-Text Password Submission in HTTP)
  • افشای اطلاعات از طریق خطاها (Information Disclosure through Errors)
  • Clickjacking بدون حساسیت (Non-Sensitive Clickjacking)

آسیب‌پذیری‌های خارج از محدوده

  • Clickjacking: کلیک مخفیانه بدون تأثیر امنیتی حساس.
  • Brute-force: حملات بی‌رحمانه برای یافتن رمز عبور یا دسترسی.
  • Self XSS: حمله XSS توسط کاربر خود، بدون تأثیر امنیتی.
  • Missing best practices in SSL/TLS configuration: عدم رعایت اصول اولیه در تنظیمات SSL/TLS.
  • DOS and DDOS (Application and Network): حملات از کاراندازی سرویس (توزیع‌شده یا معمولی).
  • Social Engineering: حملات مهندسی اجتماعی شامل تعامل با کاربران.
  • Lack of SPF/DKIM/DMARC implementation: عدم پیکربندی مناسب رکوردها (SPF/DKIM/DMARC).
  • Missing secure flag in Cookie: کوکی‌ها بدون علامت امنیتی.
  • Missing secure HTTP headers: نبود هدرهای HTTP امنیتی.
  • Disclosure of server or software version numbers: افشای نسخه‌های سرور یا نرم‌افزار.
  • Reports extracted from vulnerability scans: گزارش‌های استخراج‌شده از ابزارهای اسکن.
  • Password complexity: ضعف در پیچیدگی رمز عبور.
  • Username enumeration: بدست‌آوردن نام کاربری .
  • Disclosure of JavaScript API keys (e.g., API key for map service): افشای کلید API جاوااسکریپت.
  • CSRF and CORS misconfiguration with no security impact: تنظیمات اشتباه CSRF یا CORS بدون تأثیر امنیتی.
  • Physical attacks: حملات فیزیکی یا دسترسی به تجهیزات.
  • Publicly disclosed vulnerabilities: آسیب‌پذیری‌های افشا شده به صورت عمومی.
  • Outdated browsers/clients: مشکلات مرتبط با مرورگرها یا کلاینت‌های قدیمی.
  • Captcha brute force: حملات بی‌رحمانه روی مکانیزم کپچا.
  • Open Redirect (POST-Based): هدایت باز (بازنشانی) با استفاده از روش POST.
  • Public Admin Login Page: صفحات مدیریت عمومی.
  • Issues with deprecated libraries: مشکلات مرتبط با کتابخانه‌های قدیمی.
  • Automated tool or scanner outputs: خروجی‌های ابزارها یا اسکنرهای خودکار.
  • TLS cipher suite offerings: پیشنهادات مربوط به مجموعه رمزنگاری TLS.
  • Directory Listing Enabled (Non-Sensitive Data Exposure): فعال بودن فهرست‌گذاری دایرکتوری بدون افشای داده حساس.
  • Missing DNSSEC: نبود تنظیمات امنیتی DNS.
  • Concurrent Logins: نشست‌های همزمان.
  • Unsafe File Upload: آپلود فایل ناامن بدون توانایی فراخوانی آن.
  • HTTP Smuggling: تزریق مخفی درخواست‌های HTTP بدون اثر امنیتی.
  • Reflected File Download: دانلود فایل‌های منعکس‌شده.
  • Token Leakage via Referrer: افشای توکن‌ها از طریق رفرنس.
  • Cookie flag issues: مشکلات مرتبط با کوکی‌ها.
  • Low impact rate limit: محدودیت نرخ با تأثیر کم.
  • Disclosure of non-sensitive public information: افشای اطلاعات عمومی بدون حساسیت.

پاداش

پس از تایید آسیب‌پذیری، پاداش نقدی بر اساس سطح آسیب‌پذیری و استاندارد CVSS پرداخت خواهد شد.

قالب گزارش

  • گزارش ارسال شده باید با جزییات کامل آسیب‌پذیری را توضیح دهد و نحوه بهره‌برداری از باگ به صورت مرحله به مرحله همراه با شواهد کافی توضیح داده شود
  • توضیحات باید به گونه ای بیان شده باشد که امکان بهره‌برداری دوباره از آسیب‌پذیری وجود داشته باشد.
  • ارسال ویدئو به تنهایی مورد قبول نیست و ارسال گزارش مکتوب الزامی است.
  • هرگونه تنظیم خاص مورد نیاز برای بازسازی حمله، باید ارایه بشه.
  • هر آسیب پذیری را در یک گزارش مجزا ارسال کنید.