گزارش فصلینگاهی گذرا به گزارش‌های آسیب‌پذیری در پلتفرم باگ‌بانتی راورو ۱۴۰۳مشاهده گزارش
شرایط استفاده از سامانه راورو

نسخه ۱.۱.۲

۲۴ شهریور ماه، ۱۴۰۱

تعاریف

شکارچی

عبارت شکارچی، به هر شخص حقیقی که یکبار در سامانه راورو ثبت نام کرده است اطلاق می‌گردد. شکارچی می‌تواند در ارایه گزارش آسیب‌پذیری از هدف‌‌های تعریف شده شرکت کند.

میدان

عبارت میدان، به هر شخصیت حقیقی یا حقوقی مالک یا مسئول سامانه‌ی نرم افزاری اطلاق می‌گردد. میدان می‌تواند اقدام به استفاده از خدمات راورو جهت دریافت آسیب‌پذیری‌ها کند.

شکار

عبارت گزارش شکار، به گزارش‌های‌ آسیب‌پذیری که توسط شکارچی از هدف‌های میدان ثبت شده است، اطلاق می‌گردد.

هدف

عبارت هدف، به چهارچوب و قوانین کشف آسیب‌‌پذیری که توسط میدان در راورو تعریف شده است اطلاق می‌گردد. هر میدان باید محدوده‌، قوانین و هزینه‌ی قابل پرداخت هر گروه آسیب‌پذیری‌ را جهت فعالیت در سامانه راورو مشخص کند. یک میدان می‌تواند چند هدف، تعریف کند.

بخش ۱: قوانین عمومی

  • رعایت این قوانین در تمامی میدان‌ها و هدف‌ها توسط تمامی شکارچی‌ها الزامی است.

  • این قرارداد به عنوان یک همکاری تک‌نفره بر مبنای عقد جعاله بین شرکت راورو و شکارچی تنظیم می‌گردد. در این قرارداد، ثبت‌نام شکارچی در سامانه شرکت راورو به هیچ‌وجه به معنای ایجاد رابطه استخدامی نیست و صرفاً به شکارچی امکان می‌دهد که از میدان‌های موجود و اهداف تعیین‌شده اطلاع پیدا کند. همچنین، ثبت‌نام شکارچی در سامانه به معنای تعهد به انجام کار یا کشف آسیب‌پذیری نیست.

  • این قرارداد بر اساس اصول جعاله و تعهد به نتیجه تنظیم شده است. شکارچی تنها در صورت دستیابی به نتیجه نهایی (یعنی کشف آسیب‌پذیری) مستحق دریافت پاداش خواهد بود. ثبت‌نام شکارچی هیچ‌گونه تعهدی برای انجام کارهای روزمره یا فعالیت مستمر در میدان‌ها و راورو ایجاد نمی‌کند و هیچ الزام استخدامی در پی ندارد.

  • ثبت‌نام شکارچی در سامانه شرکت راورو به وی اجازه می‌دهد تا از اهداف و میدان‌های تعیین‌شده مطلع شود و در صورت تمایل، اقدام به کشف آسیب‌پذیری کند. این فرآیند به هیچ وجه به معنای تعهد به انجام کار نیست.

  • شکارچی در صورتی که آسیب‌پذیری کشف کرد، گزارش و مستندات مربوطه را به تیم داوری شرکت راورو ارسال می‌کند تا بررسی و ارزیابی شود، پس از تایید نهایی گزارش، پاداش برای نتیجه نهایی پرداخت می‌گردد. این پرداخت صرفاً به عنوان پاداش برای نتیجه است و هیچ تعهد استخدامی یا بیمه‌ای به همراه ندارد.

  • در صورت پیدا کردن آسیب‌پذیری‌های که به دسترسی به اطلاعات حساس یا به حملات منع سرویس ختم می‌شود، شکارچی موظف است به محض مشاهده این موضوع، فرآیند کشف یا بهره کشی را خاتمه دهد و مستندات و گزارش را برای راورو ارسال کند و منتظر نتیجه بررسی آسیب‌پذیری باشد. تیم داوری راورو گزارش دریافت شده را ارزیابی و نتایج آن را به نماینده‌ی میدان‌ ارائه می‌دهند. برای نشان دادن شدت و تاثیر آسیب‌پذیری در این موارد، توضیح سناریو‌ی محتمل کفایت می‌کند مگر در مواردی که با هماهنگی نماینده‌ي میدان شرایط ادامه‌ی بهره‌کشی از آسیب‌پذیری توسط راورو به شکارچی اطلاع داده شود. پس از تایید نهایی گزارش شکار توسط راورو، پاداش و میزان امتیاز آن تعیین می‌شود.

بخش ۲: ساختار گزارش شکار

  • گزارش‌ باید شامل تمامی جزییات فنی(دسته‌بندی آسیب‌پذیری، تشریح فنی و نحوه بهره‌برداری)، شواهد و مراحل تست باشند تا امکان ارزیابی آسیب‌پذیری فراهم شود.

  • گزارش باید شامل ارائه شواهد کافی مانند فیلم، عکس، سند، اسکریپت و … باشد تا تیم داوری بتواند بر اساس آن گزارش را مجدد تولید و بهره برداری کند. همچنین لازم است تا شواهد کافی نظیر مقادیر ورودی و عملیات انجام‌ شده مورد نیاز برای بهره ‌برداری از آسیب‌پذیری را در توضیحات گزارش قرار دهید.

  • در یک گزارش انتظار می‌رود که موارد زیر مشخص شده باشد:

  • دسته‌بندی آسیب‌پذیری (SQL Injection, Cross-Site Scripting) و…

    • هرگونه تنظیم خاص مورد نیاز جهت بازسازی فرآیند.

    • دستورالعمل مرحله به مرحله برای بازسازی فرآیند.

    • توضیح در خصوص میزان تاثیر آسیب‌پذیری بر روی کسب‌وکار

    • شرح کامل گزارش و توضیح در خصوص نحوه‌ سواستفاده از آسیب‌پذیری

    • شواهد و مدارک قابل استناد که وجود آسیب‌پذیری را تایید کند که باید شامل: فیلم، عکس، اسکریپت و کد مورد استفاده و … باشد.

    بخش ۳: قوانین شکارچی

  • ثبت‌نام کاربر در راورو به معنی پذیرشِ کاملِ «قوانین» می‌باشد.

  • ثبت‌نام در سامانه شرکت راورو به هیچ‌وجه به معنای ایجاد رابطه استخدامی بین شکارچی و شرکت راورو نیست. شکارچی تنها اجازه دارد از میدان‌های موجود مطلع شود و به کشف آسیب‌پذیری‌ها بپردازد، بدون هیچ تعهدی به انجام کار یا ایجاد رابطه کارفرما-کارگری.

  • شکارچی موظف است تمامی قوانین کشور و مقررات مربوط به جرایم رایانه‌ای را رعایت کند و مسئولیت تمامی فعالیت‌های خود را به عهده دارد.

  • ثبت‌نام شکارچی در سامانه تعهدی به انجام کار ایجاد نمی‌کند و شکارچی آزاد است که در هر زمان فعالیت در میدان‌ها را آغاز یا متوقف کند.

  • شکارچی متعهد می‌شود هیچ‌گونه اطلاعات یا جزئیاتی مربوط به آسیب‌پذیری‌ را بدون تایید رسمی شرکت راورو منتشر نکند.

  • شکارچی متعهد است که مستندات کافی و لازم جهت بررسی گزارش شکار را به راورو تحویل دهد.

  • شکارچی متعهد است  که گزارش‌های ثبت شده صرفا مربوط به همان میدان و هدف باشد و از طریق برنامه دیگری ایجاد نشده باشد.

  • شکارچی متعهد می‌شود هیچ گونه اقدامی که باعث حملات منع سرویس و اختلال برروی سرویس‌دهی محصولات شود را انجام ندهد. در صورت مشاهده اینگونه آسیب‌پذیری‌ها، صرفا اطلاع رسانی کفایت می‌کند.

  • شکارچی متعهد می‌شود که هیچ تلاش برای دسترسی یا تخریب و یا انتشار اطلاعات نکند.

  • شکارچی یا بستگان درجه یک آن نمی‌بایست با میدان مربوط به گزارش در حداقل زمان ۶ ماه گذشته همکاری داشته باشند.

  • شکارچی نمی‌تواند از اعضای تیم داوری تعیین شده، انتخاب شود.

  • جهت تکمیل فرآیند دریافت پاداش، شکارچی موظف است اطلاعات هویتی و بانکی معتبر خود را به سامانه ارسال کند.

  • شکارچیان زیر ۱۸ سال، باید از طریق ولی و قیم قانونی برای دریافت پاداش اقدام کنند.

  • ممنوعیت فعالیت در حوزه‌های خارج از تعریف میدان

  • هر شکار فقط یکبار و فقط برای اولین کشف کننده مشمول پاداش می‌شود. ملاک تشخیص اولین، براساس زمان ثبت گزارش محاسبه می‌گردد.

  • در صورت نقض هر یک از قوانین بالا، حتی پس از اتمام فرآیند نیز امکان پیگرد قانونی برای صاحبان حق مجاز می‌باشد و هیچ پاداشی به شکارچی تعلق نخواهد گرفت.

  • اطلاعات کلیه‌ی شکارچیان (متخصصان امنیت، کلاه سفید) در پلتفرم راورو محرمانه تلقی گردیده و صرفا در صورت بروز جرم با حکم قضایی قابل ارایه به مراجع ذیصلاح قانونی می‌باشد.

    بخش ۴: قوانین میدان

  • فعالیت میدان در راورو به‌ معنی پذیرشِ کاملِ «قوانین» است.

  • میدان‌ها موظف‌اند تمامی گزارش‌های ارسال‌شده از سوی شکارچیان را در بازه زمانی تعیین‌شده بررسی کنند و نتیجه را اعلام نمایند.

  • میدان‌ها حق هیچ‌گونه پیگیری حقوقی نسبت به شکارچی، گزارش شکار و یا شرکت راورو ندارند، مادامی که قوانین به‌طور کامل رعایت شده باشد.

  • میدان‌ها موظف‌اند حوزه‌های مجاز برای فعالیت شکارچیان و انواع آسیب‌پذیری‌های ممنوعه را به‌طور شفاف در قالب هدف تعیین کنند.

  • میدان موظف است ظرف مدت زمان تعیین شده در سامانه، نتیجه بررسی‌ها، مدارک و شواهد لازم گزارش را اعلام کند. در غیر اینصورت راورو می‌تواند، علاوه بر دریافت هزینه‌ی برآورد شده از میدان، بصورت روزانه حداقل۲درصد از هزینه‌ی برآورد شده را از میزان اعتبار میدان تا زمان پرداخت هزینه بصورت کامل بعنوان جریمه کسر کند و میدان حق هیچگونه پیگیری قانونی نخواهد داشت.

بخش ۵: قوانین ثبت گزارش شکار

  • تنها گزارش‌هایی که در محدوده میدان‌های طرف قرارداد و اهداف تعیین‌شده توسط سامانه راورو ارسال شوند، مورد بررسی قرار خواهند گرفت.

  • تمامی گزارش‌ها باید قوانین کلی و قوانین تعریف شده در هر هدف را رعایت کنند.

  • شکارچی متعهد است که قوانین و مقررات هر میدان را پیش از ارسال گزارش مطالعه کرده و رعایت کند.

  • در صورت وجود تغییرات روی اهداف و قوانین میدان، ارزیابی گزارش‌ها با توجه به زمان ثبت گزارش و زمان بارگذاری تغییرات انجام می‌گیرد. واضح است که گزارش‌های ثبت شده قبل از اعمال تغییرات توسط میدان، با توجه به همان نسخه قوانین زمان ثبت گزارش بررسی می‌شود.

  • استفاده از کلمات و جملات توهین آمیز و یا مباحث سیاسی و غیر فنی مورد پذیرش نمی‌باشد.

بخش ۶: قوانین پرداخت پاداش

  • پاداش تنها پس از تایید نهایی گزارش آسیب‌پذیری و براساس نتیجه نهایی کشف‌شده پرداخت می‌شود.

  • این پرداخت به عنوان پاداش برای نتیجه است و شامل هیچ تعهد استخدامی، بیمه‌ای یا مزایای اجتماعی نمی‌شود.

  • شکارچی موظف است اطلاعات هویتی و بانکی معتبر خود را به سامانه ارائه دهد تا فرآیند پرداخت پاداش انجام شود.

  • تمامی مسئولیت‌های مربوط به مالیات و کسورات قانونی بر عهده شکارچی است و شرکت راورو هیچ تعهدی در این خصوص ندارد.

  • پرداخت پاداش به معنای مجوز برای افشای اطلاعات گزارش نیست و افشای هرگونه اطلاعات تنها با تایید رسمی شرکت راورو مجاز است.

بخش ۷: محرمانگی و افشای اطلاعات

  • شکارچی موظف است تمامی اطلاعات مربوط به آسیب‌پذیری‌های کشف‌شده را به صورت محرمانه نگه داشته و بدون تایید رسمی شرکت راورو آنها را منتشر نکند.

  • افشای اطلاعات فقط با موافقت رسمی شرکت راورو و بر اساس قوانین مشخص‌شده در سامانه مجاز خواهد بود.

  • شکارچی متعهد می‌شود که در زمان اعتبار این قرارداد و نیز پس از خاتمه آن تا ۵ سال، هر گونه اطلاعاتی را که به موجب این قرارداد و انجام امور محوله و یا به مناسبت کشف گزارش بدان دست یافته یا از آن مطلع شده است، محرمانه تلقی نموده و بدون اخذ تایید قبلی و کتبی راورو، به طور مستقیم یا غیر مستقیم در اختیار دیگران قرار ندهد و حداکثر تلاش خود را جهت جلوگیری از افشای آنها به کار بندد و از آن اطلاعات نسخه دیگری تهیه ننماید.

بخش۸: گزارش‌های غيرقابل قبول

گزارش‌های غیر قابل قبول به گزارش‌هایی اطلاق می‌شود که شامل بررسی در راورو نیست و حتی در مواردی می‌تواند شامل پیگیرد قانونی توسط میدان باشد. این بخش می‌تواند با توجه به قوانین و شرایط تعریف شده توسط میدان و نوع هدف مربوطه متفاوت باشد.

۱. هر نوع گزارش بدون داشتن اکسپلویت و سناریو.

۲. آسیب‌پذیری‌های MITM.

۳. آسیب‌پذیری‌هایی که قبلاً توسط سایر متخصصین گزارش شده باشد.

۴. آسیب‌پذیری‌هایی که از نظر Root Cause با باگ‌های گزارش شده باگ‌بانتی قبلی یکسان باشند.

۵. آسیب‌پذیری‌هایی که به ۳ مرحله یا بیشتر تعامل با کاربر نیاز داشته باشند.

۶. صفحات ادمین قابل دسترس بدون نفوذ.

۷. حملات مهندسی اجتماعی و Phishing.

۸. حملات از كار اندازی سرویس (DoS/DDoS).

۹. آسيب‌پذيری‌هایی که در دامنه‌ها و آدرس‌های IP غير از محدوده‌ مجاز هدف باشد.

۱۰. گزارش‌های ارائه شده توسط اسکنر‌ها و سایر ابزار‌های اتوماتیک، بدون ارایه اکسپلویت.

۱۱. آسیب‌پذیری‌های مربوط به نشت اطلاعات سرور و پیکربندی نادرست آن، مثل نسخه و نوع وب سرور.

۱۲. آسیب‌پذیری‌های مربوط به SSLو Best Practice های‌ مربوط به آن.

۱۳. آسیب‌پذیری‌های مربوط به مرورگرهای قدیمی.

۱۴. آسیب‌پذیری‌های مربوط به حملات فیزیکی.

۱۵. آسیب‌پذیری‌های Content Spoofing.

۱۶. آسیب‌پذیری‌ SSRF بدون اکسپلویت و یا با داشتن صرفا dns query.

۱۷. آسیب‌پذیری‌های Clickjacking در صورتی که در صفحات حساس نباشد.

۱۸. آسیب‌پذیری‌های self*.

۱۹. حملات Brute Force به غیر از موارد مربوط به Captcha.

۲۰. تمامی آسیب‌پذیری‌های مربوط به وردپرس.

۲۱. Best Practiceها، شامل حداقل طول كلمات عبور و غيره.

۲۲. موارد مربوط به رکوردهای DNS مرتبط با Email و نامه‌نگاری الکترونیکی جعلی (E-mail spoofing).

۲۳. گزارش پایین بودن ورژن کتابخانه‌ها و نرم‌افزار‌های به‌کار برده شده.

۲۴. بررسی هدرها و header injection.

۲۵. موارد Option Index اگر به داده حساس نرسد.

۲۶. هر مورد مربوط به بدست آوردن نام‌های کاربری با استفاده از (account/e-mail/phone enumeration).

۲۷. آسیب پذیری های CSRF مربوط به logout.

۲۸. تمامی آسیب‌پذیری‌های مربوط به Email validation not enforced.

۲۹. تمامی آسیب‌پذیری‌های مربوط به Cookie valid after password change/reset یا session fixation.

۳۰. تمامی آسیب‌پذیری‌های مربوط به Domain authentication.

۳۱. آسیب‌پذیری CORS misconfiguration بدون اکسپلویت.

۳۲. پیداکردن IPهای پشت CDN بدون داشتن سناریو و اکسپلویت برای حمله‌ای تاثیرگذار یا اینکه در بخش قابل قبول نیامده باشد.

۳۳. آسیب‌پذیری Information Disclousre بدون داشتن سناریویی برای بهره‌برداری و اکسپلویت.

۳۴. آسیب‌پذیری Crossdomain.xml.

۳۵. آسیب‌پذیری تزریق csv.

۳۶. آسیب‌پذیری‌هایی که تاثیر آن تنها بر سمت دستگاه کاربر (Client) باشد.(نرم‌افزار اندروید)

۳۷. آسیب‌پذیری‌هایی که مهندسی معکوس،دیکامپایل و موارد مشابه باشد.(نرم‌افزار اندروید)

۳۸.آسیب‌پذیری‌هایی که نیاز به دسترسی فیزیکی به دستگاه اندرویدی را دارد یا آسیب‌پذیری‌های که خطری کاربران را تهدید نمی‌کند. (نرم‌افزار اندروید)