Version NaN
2022 سپتامبر 15
عبارت شکارچی، به هر شخص حقیقی که یکبار در سامانه راورو ثبت نام کرده است اطلاق میگردد. شکارچی میتواند در ارایه گزارش آسیبپذیری از هدفهای تعریف شده شرکت کند.
عبارت میدان، به هر شخصیت حقیقی یا حقوقی مالک یا مسئول سامانهی نرم افزاری اطلاق میگردد. میدان میتواند اقدام به استفاده از خدمات راورو جهت دریافت آسیبپذیریها کند.
عبارت گزارش شکار، به گزارشهای آسیبپذیری که توسط شکارچی از هدفهای میدان ثبت شده است، اطلاق میگردد.
عبارت هدف، به چهارچوب و قوانین کشف آسیبپذیری که توسط میدان در راورو تعریف شده است اطلاق میگردد. هر میدان باید محدوده، قوانین و هزینهی قابل پرداخت هر گروه آسیبپذیری را جهت فعالیت در سامانه راورو مشخص کند. یک میدان میتواند چند هدف، تعریف کند.
رعایت این قوانین در تمامی میدانها و هدفها توسط تمامی شکارچیها الزامی است.
این قرارداد به عنوان یک همکاری تکنفره بر مبنای عقد جعاله بین شرکت راورو و شکارچی تنظیم میگردد. در این قرارداد، ثبتنام شکارچی در سامانه شرکت راورو به هیچوجه به معنای ایجاد رابطه استخدامی نیست و صرفاً به شکارچی امکان میدهد که از میدانهای موجود و اهداف تعیینشده اطلاع پیدا کند. همچنین، ثبتنام شکارچی در سامانه به معنای تعهد به انجام کار یا کشف آسیبپذیری نیست.
این قرارداد بر اساس اصول جعاله و تعهد به نتیجه تنظیم شده است. شکارچی تنها در صورت دستیابی به نتیجه نهایی (یعنی کشف آسیبپذیری) مستحق دریافت پاداش خواهد بود. ثبتنام شکارچی هیچگونه تعهدی برای انجام کارهای روزمره یا فعالیت مستمر در میدانها و راورو ایجاد نمیکند و هیچ الزام استخدامی در پی ندارد.
ثبتنام شکارچی در سامانه شرکت راورو به وی اجازه میدهد تا از اهداف و میدانهای تعیینشده مطلع شود و در صورت تمایل، اقدام به کشف آسیبپذیری کند. این فرآیند به هیچ وجه به معنای تعهد به انجام کار نیست.
شکارچی در صورتی که آسیبپذیری کشف کرد، گزارش و مستندات مربوطه را به تیم داوری شرکت راورو ارسال میکند تا بررسی و ارزیابی شود، پس از تایید نهایی گزارش، پاداش برای نتیجه نهایی پرداخت میگردد. این پرداخت صرفاً به عنوان پاداش برای نتیجه است و هیچ تعهد استخدامی یا بیمهای به همراه ندارد.
در صورت پیدا کردن آسیبپذیریهای که به دسترسی به اطلاعات حساس یا به حملات منع سرویس ختم میشود، شکارچی موظف است به محض مشاهده این موضوع، فرآیند کشف یا بهره کشی را خاتمه دهد و مستندات و گزارش را برای راورو ارسال کند و منتظر نتیجه بررسی آسیبپذیری باشد. تیم داوری راورو گزارش دریافت شده را ارزیابی و نتایج آن را به نمایندهی میدان ارائه میدهند. برای نشان دادن شدت و تاثیر آسیبپذیری در این موارد، توضیح سناریوی محتمل کفایت میکند مگر در مواردی که با هماهنگی نمایندهي میدان شرایط ادامهی بهرهکشی از آسیبپذیری توسط راورو به شکارچی اطلاع داده شود. پس از تایید نهایی گزارش شکار توسط راورو، پاداش و میزان امتیاز آن تعیین میشود.
گزارش باید شامل تمامی جزییات فنی(دستهبندی آسیبپذیری، تشریح فنی و نحوه بهرهبرداری)، شواهد و مراحل تست باشند تا امکان ارزیابی آسیبپذیری فراهم شود.
گزارش باید شامل ارائه شواهد کافی مانند فیلم، عکس، سند، اسکریپت و … باشد تا تیم داوری بتواند بر اساس آن گزارش را مجدد تولید و بهره برداری کند. همچنین لازم است تا شواهد کافی نظیر مقادیر ورودی و عملیات انجام شده مورد نیاز برای بهره برداری از آسیبپذیری را در توضیحات گزارش قرار دهید.
در یک گزارش انتظار میرود که موارد زیر مشخص شده باشد:
دستهبندی آسیبپذیری (SQL Injection, Cross-Site Scripting) و…
هرگونه تنظیم خاص مورد نیاز جهت بازسازی فرآیند.
دستورالعمل مرحله به مرحله برای بازسازی فرآیند.
توضیح در خصوص میزان تاثیر آسیبپذیری بر روی کسبوکار
شرح کامل گزارش و توضیح در خصوص نحوه سواستفاده از آسیبپذیری
شواهد و مدارک قابل استناد که وجود آسیبپذیری را تایید کند که باید شامل: فیلم، عکس، اسکریپت و کد مورد استفاده و … باشد.
ثبتنام کاربر در راورو به معنی پذیرشِ کاملِ «قوانین» میباشد.
ثبتنام در سامانه شرکت راورو به هیچوجه به معنای ایجاد رابطه استخدامی بین شکارچی و شرکت راورو نیست. شکارچی تنها اجازه دارد از میدانهای موجود مطلع شود و به کشف آسیبپذیریها بپردازد، بدون هیچ تعهدی به انجام کار یا ایجاد رابطه کارفرما-کارگری.
شکارچی موظف است تمامی قوانین کشور و مقررات مربوط به جرایم رایانهای را رعایت کند و مسئولیت تمامی فعالیتهای خود را به عهده دارد.
ثبتنام شکارچی در سامانه تعهدی به انجام کار ایجاد نمیکند و شکارچی آزاد است که در هر زمان فعالیت در میدانها را آغاز یا متوقف کند.
شکارچی متعهد میشود هیچگونه اطلاعات یا جزئیاتی مربوط به آسیبپذیری را بدون تایید رسمی شرکت راورو منتشر نکند.
شکارچی متعهد است که مستندات کافی و لازم جهت بررسی گزارش شکار را به راورو تحویل دهد.
شکارچی متعهد است که گزارشهای ثبت شده صرفا مربوط به همان میدان و هدف باشد و از طریق برنامه دیگری ایجاد نشده باشد.
شکارچی متعهد میشود هیچ گونه اقدامی که باعث حملات منع سرویس و اختلال برروی سرویسدهی محصولات شود را انجام ندهد. در صورت مشاهده اینگونه آسیبپذیریها، صرفا اطلاع رسانی کفایت میکند.
شکارچی متعهد میشود که هیچ تلاش برای دسترسی یا تخریب و یا انتشار اطلاعات نکند.
شکارچی یا بستگان درجه یک آن نمیبایست با میدان مربوط به گزارش در حداقل زمان ۶ ماه گذشته همکاری داشته باشند.
شکارچی نمیتواند از اعضای تیم داوری تعیین شده، انتخاب شود.
جهت تکمیل فرآیند دریافت پاداش، شکارچی موظف است اطلاعات هویتی و بانکی معتبر خود را به سامانه ارسال کند.
شکارچیان زیر ۱۸ سال، باید از طریق ولی و قیم قانونی برای دریافت پاداش اقدام کنند.
ممنوعیت فعالیت در حوزههای خارج از تعریف میدان
هر شکار فقط یکبار و فقط برای اولین کشف کننده مشمول پاداش میشود. ملاک تشخیص اولین، براساس زمان ثبت گزارش محاسبه میگردد.
در صورت نقض هر یک از قوانین بالا، حتی پس از اتمام فرآیند نیز امکان پیگرد قانونی برای صاحبان حق مجاز میباشد و هیچ پاداشی به شکارچی تعلق نخواهد گرفت.
اطلاعات کلیهی شکارچیان (متخصصان امنیت، کلاه سفید) در پلتفرم راورو محرمانه تلقی گردیده و صرفا در صورت بروز جرم با حکم قضایی قابل ارایه به مراجع ذیصلاح قانونی میباشد.
فعالیت میدان در راورو به معنی پذیرشِ کاملِ «قوانین» است.
میدانها موظفاند تمامی گزارشهای ارسالشده از سوی شکارچیان را در بازه زمانی تعیینشده بررسی کنند و نتیجه را اعلام نمایند.
میدانها حق هیچگونه پیگیری حقوقی نسبت به شکارچی، گزارش شکار و یا شرکت راورو ندارند، مادامی که قوانین بهطور کامل رعایت شده باشد.
میدانها موظفاند حوزههای مجاز برای فعالیت شکارچیان و انواع آسیبپذیریهای ممنوعه را بهطور شفاف در قالب هدف تعیین کنند.
میدان موظف است ظرف مدت زمان تعیین شده در سامانه، نتیجه بررسیها، مدارک و شواهد لازم گزارش را اعلام کند. در غیر اینصورت راورو میتواند، علاوه بر دریافت هزینهی برآورد شده از میدان، بصورت روزانه حداقل۲درصد از هزینهی برآورد شده را از میزان اعتبار میدان تا زمان پرداخت هزینه بصورت کامل بعنوان جریمه کسر کند و میدان حق هیچگونه پیگیری قانونی نخواهد داشت.
تنها گزارشهایی که در محدوده میدانهای طرف قرارداد و اهداف تعیینشده توسط سامانه راورو ارسال شوند، مورد بررسی قرار خواهند گرفت.
تمامی گزارشها باید قوانین کلی و قوانین تعریف شده در هر هدف را رعایت کنند.
شکارچی متعهد است که قوانین و مقررات هر میدان را پیش از ارسال گزارش مطالعه کرده و رعایت کند.
در صورت وجود تغییرات روی اهداف و قوانین میدان، ارزیابی گزارشها با توجه به زمان ثبت گزارش و زمان بارگذاری تغییرات انجام میگیرد. واضح است که گزارشهای ثبت شده قبل از اعمال تغییرات توسط میدان، با توجه به همان نسخه قوانین زمان ثبت گزارش بررسی میشود.
استفاده از کلمات و جملات توهین آمیز و یا مباحث سیاسی و غیر فنی مورد پذیرش نمیباشد.
پاداش تنها پس از تایید نهایی گزارش آسیبپذیری و براساس نتیجه نهایی کشفشده پرداخت میشود.
این پرداخت به عنوان پاداش برای نتیجه است و شامل هیچ تعهد استخدامی، بیمهای یا مزایای اجتماعی نمیشود.
شکارچی موظف است اطلاعات هویتی و بانکی معتبر خود را به سامانه ارائه دهد تا فرآیند پرداخت پاداش انجام شود.
تمامی مسئولیتهای مربوط به مالیات و کسورات قانونی بر عهده شکارچی است و شرکت راورو هیچ تعهدی در این خصوص ندارد.
پرداخت پاداش به معنای مجوز برای افشای اطلاعات گزارش نیست و افشای هرگونه اطلاعات تنها با تایید رسمی شرکت راورو مجاز است.
شکارچی موظف است تمامی اطلاعات مربوط به آسیبپذیریهای کشفشده را به صورت محرمانه نگه داشته و بدون تایید رسمی شرکت راورو آنها را منتشر نکند.
افشای اطلاعات فقط با موافقت رسمی شرکت راورو و بر اساس قوانین مشخصشده در سامانه مجاز خواهد بود.
شکارچی متعهد میشود که در زمان اعتبار این قرارداد و نیز پس از خاتمه آن تا ۵ سال، هر گونه اطلاعاتی را که به موجب این قرارداد و انجام امور محوله و یا به مناسبت کشف گزارش بدان دست یافته یا از آن مطلع شده است، محرمانه تلقی نموده و بدون اخذ تایید قبلی و کتبی راورو، به طور مستقیم یا غیر مستقیم در اختیار دیگران قرار ندهد و حداکثر تلاش خود را جهت جلوگیری از افشای آنها به کار بندد و از آن اطلاعات نسخه دیگری تهیه ننماید.
گزارشهای غیر قابل قبول به گزارشهایی اطلاق میشود که شامل بررسی در راورو نیست و حتی در مواردی میتواند شامل پیگیرد قانونی توسط میدان باشد. این بخش میتواند با توجه به قوانین و شرایط تعریف شده توسط میدان و نوع هدف مربوطه متفاوت باشد.
۱. هر نوع گزارش بدون داشتن اکسپلویت و سناریو.
۲. آسیبپذیریهای MITM.
۳. آسیبپذیریهایی که قبلاً توسط سایر متخصصین گزارش شده باشد.
۴. آسیبپذیریهایی که از نظر Root Cause با باگهای گزارش شده باگبانتی قبلی یکسان باشند.
۵. آسیبپذیریهایی که به ۳ مرحله یا بیشتر تعامل با کاربر نیاز داشته باشند.
۶. صفحات ادمین قابل دسترس بدون نفوذ.
۷. حملات مهندسی اجتماعی و Phishing.
۸. حملات از كار اندازی سرویس (DoS/DDoS).
۹. آسيبپذيریهایی که در دامنهها و آدرسهای IP غير از محدوده مجاز هدف باشد.
۱۰. گزارشهای ارائه شده توسط اسکنرها و سایر ابزارهای اتوماتیک، بدون ارایه اکسپلویت.
۱۱. آسیبپذیریهای مربوط به نشت اطلاعات سرور و پیکربندی نادرست آن، مثل نسخه و نوع وب سرور.
۱۲. آسیبپذیریهای مربوط به SSLو Best Practice های مربوط به آن.
۱۳. آسیبپذیریهای مربوط به مرورگرهای قدیمی.
۱۴. آسیبپذیریهای مربوط به حملات فیزیکی.
۱۵. آسیبپذیریهای Content Spoofing.
۱۶. آسیبپذیری SSRF بدون اکسپلویت و یا با داشتن صرفا dns query.
۱۷. آسیبپذیریهای Clickjacking در صورتی که در صفحات حساس نباشد.
۱۸. آسیبپذیریهای self*.
۱۹. حملات Brute Force به غیر از موارد مربوط به Captcha.
۲۰. تمامی آسیبپذیریهای مربوط به وردپرس.
۲۱. Best Practiceها، شامل حداقل طول كلمات عبور و غيره.
۲۲. موارد مربوط به رکوردهای DNS مرتبط با Email و نامهنگاری الکترونیکی جعلی (E-mail spoofing).
۲۳. گزارش پایین بودن ورژن کتابخانهها و نرمافزارهای بهکار برده شده.
۲۴. بررسی هدرها و header injection.
۲۵. موارد Option Index اگر به داده حساس نرسد.
۲۶. هر مورد مربوط به بدست آوردن نامهای کاربری با استفاده از (account/e-mail/phone enumeration).
۲۷. آسیب پذیری های CSRF مربوط به logout.
۲۸. تمامی آسیبپذیریهای مربوط به Email validation not enforced.
۲۹. تمامی آسیبپذیریهای مربوط به Cookie valid after password change/reset یا session fixation.
۳۰. تمامی آسیبپذیریهای مربوط به Domain authentication.
۳۱. آسیبپذیری CORS misconfiguration بدون اکسپلویت.
۳۲. پیداکردن IPهای پشت CDN بدون داشتن سناریو و اکسپلویت برای حملهای تاثیرگذار یا اینکه در بخش قابل قبول نیامده باشد.
۳۳. آسیبپذیری Information Disclousre بدون داشتن سناریویی برای بهرهبرداری و اکسپلویت.
۳۴. آسیبپذیری Crossdomain.xml.
۳۵. آسیبپذیری تزریق csv.
۳۶. آسیبپذیریهایی که تاثیر آن تنها بر سمت دستگاه کاربر (Client) باشد.(نرمافزار اندروید)
۳۷. آسیبپذیریهایی که مهندسی معکوس،دیکامپایل و موارد مشابه باشد.(نرمافزار اندروید)
۳۸.آسیبپذیریهایی که نیاز به دسترسی فیزیکی به دستگاه اندرویدی را دارد یا آسیبپذیریهای که خطری کاربران را تهدید نمیکند. (نرمافزار اندروید)