تعاریف

شکارچی

عبارت شکارچی به هر شخص حقیقی که یکبار در سامانه راورو ثبت نام کرده است اطلاق می‌گردد. شکارچی می‌تواند در پروژهای ارایه گزارش آسیب‌پذیری از هدف‌‌های تعریف شده شرکت کند.

میدان

این عبارت به شخصیت حقیقی یا حقوقی که اقدام به عقد تفاهم نامه جهت استفاده از خدمات راورو می‌کند اطلاق می‌گردد.

شکار

به گزارش‌ آسیب‌پذیری تایید شده، که توسط شکارچی از هدف‌های میدان ارایه شده است، اطلاق می‌گردد.

هدف

برنامه‌های کشف آسیب‌پذیری قابل ارایه توسط میدان در راورو را به اختصار هدف‌ می‌نامیم. هر میدان باید محدوده‌، قوانین و هزینه‌ی قابل پرداخت هر گروه آسیب‌پذیری به ازای هر محدوده، جهت فعالیت در سامانه راورو مشخص کند.

قوانین عمومی

رعایت این قوانین در تمامی میدان‌ها و هدف ها توسط تمامی شکارچیان الزامی می‌باشد. درصورت پیدا کردن آسیب پذیری های که به دسترسی به اطلاعات حساس یا به حملات منع سرویس ختم می شود، شکارچی موظف است به محض مشاهده این موضوع مستندات و گزارش را برای راورو ارسال کند و منتظر نتیجه بررسی آسیب پذیری باشد. تیم داوری راورو گزارش دریافت شده را ارزیابی و صحت سنجی کرده و نتایج آن را به مدیران فنی میدان‌ها ارائه می‌دهند. پس از تایید نهایی گزارش شکار توسط راورو، هزینه پاداش و میزان امتیاز آن تعیین می شود.

ساختار گزارش شکار

۱. با توجه به شرایط آسیب‌پذیری، گزارش شکار را آماده و تنظیم کنید.

۲. هر گزارش باید شامل جزییات فنی، شواهد و مراحل تست باشد.

۳. برای بررسی فنی گزارش دریافت شده، امکان تولید مجدد آن لازم و ضروری می‌باشد.

۴. شواهد کافی نظیر مقادیر ورودی و عملیات انجام‌ شده مورد نیاز برای بهره‌برداری از آسیب‌پذیری را در گزارش قرار دهید.

۵. در یک گزارش انتظار می‌رود که موارد زیر مشخص شده باشد:

۵.۱ دسته‌بندی آسیب‌پذیری (SQL Injection, Cross-Site Scripting و ... )

۵.۲ هرگونه تنظیم خاصی مورد نیاز جهت بازسازی فرآیند.

۵.۳ دستورالعمل مرحله به مرحله برای بازسازی فرآیند.

۵.۴ توضیح در خصوص میزان تاثیر آسیب‌پذیری بنا به بررسی شکارچی

۵.۵ شرح کامل گزارش و توضیح در خصوص نحوه‌ سواستفاده از آسیب‌پذیری

۵.۶ شواهد و مدارک قابل استناد که وجود آسیب‌پذیری را تایید کند که می‌تواند شامل: فیلم، عکس، اسکرین‌شات از صفحه، اسکریپت و کد مورد استفاده و … باشد.

قوانین شکارچی

۱. ثبت نام کاربر در راورو به معنی پذیرشِ کاملِ «قوانین» می‌باشد.

۲. شکارچی باید متعهد به تمام قوانین کشور و قوانین مربوطه به حوزه قانون جرایم رایانه‌ای کشور باشد.

۳. ارایه تمامی مستندات کافی و لازم جهت بررسی گزارش شکار الزامی می‌باشد.

۳.۱ تهیه و ارسال مستندات درخواستی از طرف راورو در طول فرآیند بررسی گزارش در مدت زمان تعیین شده الزامی می‌باشد.

۳.۲ در صورت عدم ارسال مستندات درخواستی در مدت زمان مشخص شده، وضعیت بررسی گزارش خاتمه می‌یابد و امکان ادامه‌ بررسی وجود نخواهد داشت.

۴. گزارش شکار صرفا مربوط به همان میدان و هدف باشد و از طریق برنامه دیگری ایجاد نشده باشد.

۵. مسئولیت محتوی و رعایت حق نشر مستندات ارسال شده با شخص ارسال کننده می‌باشد.

۶. مسئولیت فعالیت‌ شکارچی بعهده‌ی خودشان می‌باشد.

۷. صحت مدارک ارسالی بعهده‌ی شکارچی می‌باشد.

۸. شکارچی متعهد می‌شود تا هیچ گونه اقدام مخرب شامل نقض حریم خصوصی، تخریب داده‌ها، انتشار اطلاعات، وقفه یا تخریب در خدمات، سرویس دهی و ... را از آغاز فرآیند کشف تا تکمیل فرآیند بررسی ‌گزارش و پس از آن انجام ندهد/نداده باشد.

۹. شکارچی متعهد می‌شود هیچ گونه اقدامی که باعث حملات منع سرویس و اختلال برروی سرویس‌دهی محصولات شود را انجام ندهد. در صورت مشاهده اینگونه آسیب‌پذیری‌ها، صرفا اطلاع رسانی کفایت می‌کند.

۱۰. عدم تلاش برای دسترسی یا تخریب و یا انتشار اطلاعات

۱۱. عدم انتشار و افشای هرگونه گزارش و خبر در خصوص آسیب‌پذیری در سطح شبکه‌های اجتماعی و اینترنت و…

۱۲. عدم انتشار و افشای کد یا روش استفاده از آسیب‌پذیری در سطح شبکه‌های اجتماعی و اینترنت و …

۱۳. افشای گزارش و اطلاعات و جزيیات آسیب‌پذیری‌ فقط براساس قوانین راورو و با موافقت میدان و توسط راورو انجام می‌شود. هرگونه افشای اطلاعات توسط شکارچی بدون تایید راورو مغایر با قوانین است و می‌تواند منجر به پیگرد قانونی گردد.

۱۴. شکارچی یا بستگان درجه یک آن نمی‌بایست با میدان مربوط به گزارش در حداقل زمان ۶ ماه گذشته همکاری داشته باشند.

۱۵. شکارچی نمی‌تواند از اعضای تیم داوری تعیین شده به ازای گزارش شکار باشد.

۱۶. جهت تکمیل فرآیند دریافت پاداش، شکارچی موظف است اطلاعات هویتی و بانکی معتبر خود را به سامانه ارسال کند.

۱۷. شکارچیان زیر ۱۸ سال، باید از طریق ولی و قیم قانونی برای دریافت پاداش اقدام کنند.

۱۸. ممنوعیت فعالیت در حوزه‌های خارج از تعریف میدان

۱۹. هر شکار فقط یکبار و فقط برای اولین کشف کننده مشمول پاداش می‌شود. ملاک تشخیص اولین، براساس زمان ثبت گزارش محاسبه می‌گردد.

۲۰. در صورت نقض هر یک از قوانین بالا، حتی پس از اتمام فرآیند نیز امکان پیگرد قانونی برای صاحبان حق مجاز می‌باشد و هیچ پاداشی به شکارچی تعلق نخواهد گرفت.

۲۱. اطلاعات کلیه‌ی شکارچیان (متخصصان امنیت، کلاه سفید) در پلتفرم راورو محرمانه تلقی گردیده و صرفا در صورت بروز جرم با حکم قضایی قابل ارایه به مراجع ذیصلاح قانونی می‌باشد.

قوانین میدان

۱. تایید و امضای قرارداد همکاری با سامانه راورو و تعهد به رعایت مفاد قرارداد.

۲. فعالیت میدان در راورو به‌ معنی پذیرشِ کاملِ «قوانین» می‌باشد.

۳. در صورت رعایت قوانین توسط شکارچی، میدان حق هیچگونه پیگیری حقوقی نسبت به گزارش شکار، شکارچی و سامانه راورو را ندارد.

۴. میدان موظف است ظرف مدت زمان تعیین شده در سامانه، نتیجه بررسی‌ها، مدارک و شواهد لازم گزارش را اعلام کند. در غیر اینصورت راورو می تواند، علاوه بر دریافت هزینه‌ی برآورد شده از میدان، بصورت روزانه حداقل ۲درصد از هزینه‌ی برآورد شده را از میزان اعتبار میدان تا زمان پرداخت هزینه بصورت کامل بعنوان جریمه کسر کند و میدان حق هیچگونه پیگیری قانونی نخواهد داشت.

۵. اعلام دقیق حوزه‌های مجاز جهت فعالیت شکارچیان

۶. اعلام و مشخص کردن لیست انواع آسیب‌پذیری‌های ممنوعه

۷. انعقاد قرارداد به منزله‌ی تایید ضریب ارزش مجموعه می‌باشد.

۸. درصـورت وجود فرآیند بررسـی گزارش آسـیب پذیری ناتمام در پایان زمان قرارداد، پس از مشـخص شـدن وضـعیت فرآیندها، در صـورت نیاز به پرداخت هزینه مازاد بر اعتبار موجود، شـرکت موظف اسـت، هزینه‌ی برآورد شـده گزارش آسـیب‌پذیری‌های تایید شـده به همراه کارمزد محاسـبه شـده(بر اساس کارمزد پرداخت نقد به ازای هر گزارش) را بصورت کامل پرداخت نماید.

۹. تهیه و ارسال تقدیرنامه کتبی به راورو برای شکارچی در صورت درخواست شکارچی

۱۰. تعیین مدت زمان برای رفع مشکل شکار گزارش شده

۱۱. بررسی شکارچی (متخصص امنیت کلاه سفید) برای عدم فعالیت و ارتباط با شرکت – در صورت اطلاع یافتن از نقض این بند شرکت جریمه شده و باید همان هزینه را به راورو پرداخت کند.

قوانین ثبت گزارش شکار

۱. تنها گزارش‌هایی که مربوط به میدان‌های طرف قرارداد و هدف‌های تعریف شده موجود در سامانه راورو باشد مورد بررسی قرار می‌گیرند.

۲. تمامی گزارش‌ها باید قوانین کلی و قوانین تعریف شده در هر هدف را رعایت کند.

۳. تنها گزارش‌هایی که در آن ساختار گزارش رعایت شده باشد، مورد بررسی قرار می‌گیرند.

۴. در صورت وجود تغییرات روی اهداف و قوانین میدان، ارزیابی گزارش‌ها با توجه به زمان ثبت گزارش و زمان بارگذاری تغییرات انجام می‌گیرد. واضح است که گزارش‌های ثبت شده قبل از اعمال تغییرات توسط میدان، با توجه به همان نسخه قوانین زمان ثبت گزارش بررسی می‌شود.

۵. حتما قبل از ارسال گزارش، قوانین میدان مطالعه شود و دوباره آسیب‌پذیری بررسی شود تا از وجود و بدون مشکل بودن گزارش اطمینان برقرار کنید.

۶. استفاده از کلمات و جملات توهین آمیز و یا مباحث سیاسی و غیر فنی مورد پذیرش نمی‌باشد.

قوانین پرداخت پاداش

۱. پس از تایید نهایی آسیب‌پذیری، هزینه پاداش و میزان امتیاز آن تعیین می‌شود.

۲. زمان پرداخت پاداش حداکثر ۳ روز کاری پس از تایید نهایی گزارش و واریز آن از سمت میدان مربوطه می‌باشد.

۳. پرداخت به معنای مجوز برای انتشار هرگونه اطلاعات از گزارش نمی‌باشد.

۴. برای دریافت پاداش توسط شکارچی، طبق قوانین مالی کشور، باید مشخصات هویتی و بانکی شکارچی تایید شود. ضمنا پرداخت مالیات و کسورات قانونی به عهده‌ی شکارچی می‌باشد. بنابراین برای پوشش بیشتر شکارچی‌ها و در نظر گرفتن و اهمیت به نظرات آن‌ها ۴ راه حل زیر در نظر گرفته شده است:

۴.۱ پرداخت به حساب بانکی: در این حالت باید تصویر کارت ملی، تصویر کارت بانکی، تصویر امضا شده رعایت قوانین راورو در سامانه بارگذاری شود تا امکان پرداخت وجود داشته باشد.

۴.۲ معرفی نفر واسط: از آنجایی که برخی از شکارچی‌ها علاقه‌ای به مشخص شدن هویت خود ندارند، می‌توانند در این حالت با معرفی نفر سوم و تایید هویت و قبول ضمانت شکار انجام شده، پاداش را دریافت کنند. واضح است که مبلغ پاداش به حساب نفر سوم واریز می‌شود و راورو ضمانتی در برگشت پاداش به حساب شکارچی اصلی ندارد. همچنین در صورت پیش آمد مشکل در رابطه با گزارش شکار انجام شده، تمام مسئولیت و پیگیری‌های آن با نفر معرفی شده می‌باشد.

۴.۳ کمک به سامانه راورو: در این حالت شکارچی اعلام رضایت می‌کند که هزینه پاداش توسط تیم راورو جهت پیشبرد اهداف سامانه و ارایه سرویس بهتر هزینه شود.

۴.۴ پرداخت به خیریه: در این حالت شکارچی اعلام رضایت می‌کند که هزینه پاداش توسط تیم راورو به یکی از نهادهای خیریه پرداخت شود.

گزارش‌های غير قابل قبول

منظور از گزارش‌های غیر قابل قبول، گزارش‌هایی می باشد که شامل بررسی در راورو نمی باشند و شامل پیگیرد قانونی توسط میدان می‌باشد. این بخش می تواند با توجه به قوانین و شرایط تعریف شده توسط میدان و نوع هدف مربوطه متفاوت باشد.

۱. هر نوع گزارش بدون داشتن اکسپلویت و سناریو.

۲. آسیب‌پذیری‌های MITM.

۳. آسیب‌پذیری‌هایی که قبلاً توسط سایر متخصصین گزارش شده باشد.

۴. آسیب‌پذیری‌هایی که از نظر Root Cause با باگ‌های گزارش شده باگ‌بانتی قبلی یکسان باشند.

۵. آسیب‌پذیری‌هایی که به ۳ مرحله یا بیشتر نیاز به تعامل با کاربر داشته باشند.

۶. صفحات ادمین قابل دسترس بدون نفوذ.

۷. حملات مهندسی اجتماعی و Phishing.

۸. حملات از كار اندازی سرویس (DoS/DDoS).

۹. آسيب‌پذيری‌هایی که در دامنه‌ها و آدرس‌های IP غير از محدوده‌ مجاز هدف باشد.

۱۰. گزارش‌های ارائه شده توسط اسکنر‌ها و سایر ابزار‌های اتوماتیک، بدون ارایه اکسپلویت.

۱۱. آسیب‌پذیری‌های مربوط به نشت اطلاعات سرور و پیکربندی نادرست آن، مثل نسخه و نوع وب سرور.

۱۲. آسیب‌پذیری‌های مربوط به SSLو Best Practice های‌ مربوط به آن.

۱۳. آسیب‌پذیری‌های مربوط به مرورگرهای قدیمی.

۱۴. آسیب‌پذیری‌های مربوط به حملات فیزیکی.

۱۵. آسیب‌پذیری‌های Content Spoofing.

۱۶. آسیب‌پذیری‌ SSRF بدون اکسپلویت و یا با داشتن صرفا dns query.

۱۷. آسیب‌پذیری‌های Clickjacking در صورتی که در صفحات حساس نباشد.

۱۸. آسیب‌پذیری‌های self*.

۱۹. حملات Brute Force به غیر از موارد مربوط به Captcha.

۲۰. تمامی آسیب‌پذیری‌های مربوط به وردپرس.

۲۱. Best Practiceها، شامل حداقل طول كلمات عبور و غيره.

۲۲. موارد مربوط به رکوردهای DNS مرتبط با Email و نامه‌نگاری الکترونیکی جعلی (E-mail spoofing).

۲۳. گزارش پایین بودن ورژن کتابخانه‌ها و نرم‌افزار‌های به‌کار برده شده.

۲۴. بررسی هدرها و header injection.

۲۵. موارد Option Index اگر به داده حساس نرسد.

۲۶. هر مورد مربوط به بدست آوردن نام‌های کاربری با استفاده از (account/e-mail/phone enumeration).

۲۷. آسیب پذیری های CSRF مربوط به logout.

۲۸. تمامی آسیب‌پذیری‌های مربوط به Email validation not enforced.

۲۹. تمامی آسیب‌پذیری‌های مربوط به Cookie valid after password change/reset یا session fixation.

۳۰. تمامی آسیب‌پذیری‌های مربوط به Domain authentication.

۳۱. آسیب‌پذیری CORS misconfiguration بدون اکسپلویت.

۳۲. پیداکردن IPهای پشت CDN بدون داشتن سناریو و اکسپلویت برای حمله‌ای تاثیرگذار یا اینکه در بخش قابل قبول نیامده باشد.

۳۳. آسیب‌پذیری Information Disclousre بدون داشتن سناریویی برای بهره‌برداری و اکسپلویت.

۳۴. آسیب‌پذیری Crossdomain.xml.

۳۵. آسیب‌پذیری تزریق csv.

۳۶. آسیب‌پذیری‌هایی که تاثیر آن تنها بر سمت دستگاه کاربر (Client) باشد.(نرم‌افزار اندروید)

۳۷. آسیب‌پذیری‌هایی که مهندسی معکوس،دیکامپایل و موارد مشابه باشد.(نرم‌افزار اندروید)

۳۸. آسیب‌پذیری‌هایی که نیاز به دسترسی فیزیکی به دستگاه اندرویدی را دارد یا آسیب‌پذیری که خطری کاربران را تهدید نمی کند.(نرم‌افزار اندروید)