نسخه {v, number} ۱.۰.۱
۲۶ مهر ماه، ۱۴۰۱
عبارت شکارچی به هر شخص حقیقی که یکبار در سامانه راورو ثبت نام کرده است اطلاق میگردد. شکارچی میتواند در پروژهای ارایه گزارش آسیبپذیری از هدفهای تعریف شده شرکت کند.
این عبارت به شخصیت حقیقی یا حقوقی که اقدام به عقد تفاهم نامه جهت استفاده از خدمات راورو میکند اطلاق میگردد.
به گزارش آسیبپذیری تایید شده، که توسط شکارچی از هدفهای میدان ارایه شده است، اطلاق میگردد.
برنامههای کشف آسیبپذیری قابل ارایه توسط میدان در راورو را به اختصار هدف مینامیم. هر میدان باید محدوده، قوانین و هزینهی قابل پرداخت هر گروه آسیبپذیری به ازای هر محدوده، جهت فعالیت در سامانه راورو مشخص کند.
رعایت این قوانین در تمامی میدانها و هدف ها توسط تمامی شکارچیان الزامی میباشد. درصورت پیدا کردن آسیب پذیری های که به دسترسی به اطلاعات حساس یا به حملات منع سرویس ختم می شود، شکارچی موظف است به محض مشاهده این موضوع مستندات و گزارش را برای راورو ارسال کند و منتظر نتیجه بررسی آسیب پذیری باشد. تیم داوری راورو گزارش دریافت شده را ارزیابی و صحت سنجی کرده و نتایج آن را به مدیران فنی میدانها ارائه میدهند. پس از تایید نهایی گزارش شکار توسط راورو، هزینه پاداش و میزان امتیاز آن تعیین می شود.
۱. با توجه به شرایط آسیبپذیری، گزارش شکار را آماده و تنظیم کنید.
۲. هر گزارش باید شامل جزییات فنی، شواهد و مراحل تست باشد.
۳. برای بررسی فنی گزارش دریافت شده، امکان تولید مجدد آن لازم و ضروری میباشد.
۴. شواهد کافی نظیر مقادیر ورودی و عملیات انجام شده مورد نیاز برای بهرهبرداری از آسیبپذیری را در گزارش قرار دهید.
۵. در یک گزارش انتظار میرود که موارد زیر مشخص شده باشد:
۵.۱ دستهبندی آسیبپذیری (SQL Injection, Cross-Site Scripting و ... )
۵.۲ هرگونه تنظیم خاصی مورد نیاز جهت بازسازی فرآیند.
۵.۳ دستورالعمل مرحله به مرحله برای بازسازی فرآیند.
۵.۴ توضیح در خصوص میزان تاثیر آسیبپذیری بنا به بررسی شکارچی
۵.۵ شرح کامل گزارش و توضیح در خصوص نحوه سواستفاده از آسیبپذیری
۵.۶ شواهد و مدارک قابل استناد که وجود آسیبپذیری را تایید کند که میتواند شامل: فیلم، عکس، اسکرینشات از صفحه، اسکریپت و کد مورد استفاده و … باشد.
۱. ثبت نام کاربر در راورو به معنی پذیرشِ کاملِ «قوانین» میباشد.
۲. شکارچی باید متعهد به تمام قوانین کشور و قوانین مربوطه به حوزه قانون جرایم رایانهای کشور باشد.
۳. ارایه تمامی مستندات کافی و لازم جهت بررسی گزارش شکار الزامی میباشد.
۳.۱ تهیه و ارسال مستندات درخواستی از طرف راورو در طول فرآیند بررسی گزارش در مدت زمان تعیین شده الزامی میباشد.
۳.۲ در صورت عدم ارسال مستندات درخواستی در مدت زمان مشخص شده، وضعیت بررسی گزارش خاتمه مییابد و امکان ادامه بررسی وجود نخواهد داشت.
۴. گزارش شکار صرفا مربوط به همان میدان و هدف باشد و از طریق برنامه دیگری ایجاد نشده باشد.
۵. مسئولیت محتوی و رعایت حق نشر مستندات ارسال شده با شخص ارسال کننده میباشد.
۶. مسئولیت فعالیت شکارچی بعهدهی خودشان میباشد.
۷. صحت مدارک ارسالی بعهدهی شکارچی میباشد.
۸. شکارچی متعهد میشود تا هیچ گونه اقدام مخرب شامل نقض حریم خصوصی، تخریب دادهها، انتشار اطلاعات، وقفه یا تخریب در خدمات، سرویس دهی و ... را از آغاز فرآیند کشف تا تکمیل فرآیند بررسی گزارش و پس از آن انجام ندهد/نداده باشد.
۹. شکارچی متعهد میشود هیچ گونه اقدامی که باعث حملات منع سرویس و اختلال برروی سرویسدهی محصولات شود را انجام ندهد. در صورت مشاهده اینگونه آسیبپذیریها، صرفا اطلاع رسانی کفایت میکند.
۱۰. عدم تلاش برای دسترسی یا تخریب و یا انتشار اطلاعات
۱۱. عدم انتشار و افشای هرگونه گزارش و خبر در خصوص آسیبپذیری در سطح شبکههای اجتماعی و اینترنت و…
۱۲. عدم انتشار و افشای کد یا روش استفاده از آسیبپذیری در سطح شبکههای اجتماعی و اینترنت و …
۱۳. افشای گزارش و اطلاعات و جزيیات آسیبپذیری فقط براساس قوانین راورو و با موافقت میدان و توسط راورو انجام میشود. هرگونه افشای اطلاعات توسط شکارچی بدون تایید راورو مغایر با قوانین است و میتواند منجر به پیگرد قانونی گردد.
۱۴. شکارچی یا بستگان درجه یک آن نمیبایست با میدان مربوط به گزارش در حداقل زمان ۶ ماه گذشته همکاری داشته باشند.
۱۵. شکارچی نمیتواند از اعضای تیم داوری تعیین شده به ازای گزارش شکار باشد.
۱۶. جهت تکمیل فرآیند دریافت پاداش، شکارچی موظف است اطلاعات هویتی و بانکی معتبر خود را به سامانه ارسال کند.
۱۷. شکارچیان زیر ۱۸ سال، باید از طریق ولی و قیم قانونی برای دریافت پاداش اقدام کنند.
۱۸. ممنوعیت فعالیت در حوزههای خارج از تعریف میدان
۱۹. هر شکار فقط یکبار و فقط برای اولین کشف کننده مشمول پاداش میشود. ملاک تشخیص اولین، براساس زمان ثبت گزارش محاسبه میگردد.
۲۰. در صورت نقض هر یک از قوانین بالا، حتی پس از اتمام فرآیند نیز امکان پیگرد قانونی برای صاحبان حق مجاز میباشد و هیچ پاداشی به شکارچی تعلق نخواهد گرفت.
۲۱. اطلاعات کلیهی شکارچیان (متخصصان امنیت، کلاه سفید) در پلتفرم راورو محرمانه تلقی گردیده و صرفا در صورت بروز جرم با حکم قضایی قابل ارایه به مراجع ذیصلاح قانونی میباشد.
۱. تایید و امضای قرارداد همکاری با سامانه راورو و تعهد به رعایت مفاد قرارداد.
۲. فعالیت میدان در راورو به معنی پذیرشِ کاملِ «قوانین» میباشد.
۳. در صورت رعایت قوانین توسط شکارچی، میدان حق هیچگونه پیگیری حقوقی نسبت به گزارش شکار، شکارچی و سامانه راورو را ندارد.
۴. میدان موظف است ظرف مدت زمان تعیین شده در سامانه، نتیجه بررسیها، مدارک و شواهد لازم گزارش را اعلام کند. در غیر اینصورت راورو می تواند، علاوه بر دریافت هزینهی برآورد شده از میدان، بصورت روزانه حداقل ۲درصد از هزینهی برآورد شده را از میزان اعتبار میدان تا زمان پرداخت هزینه بصورت کامل بعنوان جریمه کسر کند و میدان حق هیچگونه پیگیری قانونی نخواهد داشت.
۵. اعلام دقیق حوزههای مجاز جهت فعالیت شکارچیان
۶. اعلام و مشخص کردن لیست انواع آسیبپذیریهای ممنوعه
۷. انعقاد قرارداد به منزلهی تایید ضریب ارزش مجموعه میباشد.
۸. درصـورت وجود فرآیند بررسـی گزارش آسـیب پذیری ناتمام در پایان زمان قرارداد، پس از مشـخص شـدن وضـعیت فرآیندها، در صـورت نیاز به پرداخت هزینه مازاد بر اعتبار موجود، شـرکت موظف اسـت، هزینهی برآورد شـده گزارش آسـیبپذیریهای تایید شـده به همراه کارمزد محاسـبه شـده(بر اساس کارمزد پرداخت نقد به ازای هر گزارش) را بصورت کامل پرداخت نماید.
۹. تهیه و ارسال تقدیرنامه کتبی به راورو برای شکارچی در صورت درخواست شکارچی
۱۰. تعیین مدت زمان برای رفع مشکل شکار گزارش شده
۱۱. بررسی شکارچی (متخصص امنیت کلاه سفید) برای عدم فعالیت و ارتباط با شرکت – در صورت اطلاع یافتن از نقض این بند شرکت جریمه شده و باید همان هزینه را به راورو پرداخت کند.
۱. تنها گزارشهایی که مربوط به میدانهای طرف قرارداد و هدفهای تعریف شده موجود در سامانه راورو باشد مورد بررسی قرار میگیرند.
۲. تمامی گزارشها باید قوانین کلی و قوانین تعریف شده در هر هدف را رعایت کند.
۳. تنها گزارشهایی که در آن ساختار گزارش رعایت شده باشد، مورد بررسی قرار میگیرند.
۴. در صورت وجود تغییرات روی اهداف و قوانین میدان، ارزیابی گزارشها با توجه به زمان ثبت گزارش و زمان بارگذاری تغییرات انجام میگیرد. واضح است که گزارشهای ثبت شده قبل از اعمال تغییرات توسط میدان، با توجه به همان نسخه قوانین زمان ثبت گزارش بررسی میشود.
۵. حتما قبل از ارسال گزارش، قوانین میدان مطالعه شود و دوباره آسیبپذیری بررسی شود تا از وجود و بدون مشکل بودن گزارش اطمینان برقرار کنید.
۶. استفاده از کلمات و جملات توهین آمیز و یا مباحث سیاسی و غیر فنی مورد پذیرش نمیباشد.
۱. پس از تایید نهایی آسیبپذیری، هزینه پاداش و میزان امتیاز آن تعیین میشود.
۲. زمان پرداخت پاداش حداکثر ۳ روز کاری پس از تایید نهایی گزارش و واریز آن از سمت میدان مربوطه میباشد.
۳. پرداخت به معنای مجوز برای انتشار هرگونه اطلاعات از گزارش نمیباشد.
۴. برای دریافت پاداش توسط شکارچی، طبق قوانین مالی کشور، باید مشخصات هویتی و بانکی شکارچی تایید شود. بنابراین برای پوشش بیشتر شکارچیها و در نظر گرفتن و اهمیت به نظرات آنها ۴ راه حل زیر در نظر گرفته شده است:
۴.۱ پرداخت به حساب بانکی: در این حالت باید تصویر کارت ملی، تصویر کارت بانکی، تصویر امضا شده رعایت قوانین راورو در سامانه بارگذاری شود تا امکان پرداخت وجود داشته باشد.
۴.۲ معرفی نفر واسط: از آنجایی که برخی از شکارچیها علاقهای به مشخص شدن هویت خود ندارند، میتوانند در این حالت با معرفی نفر سوم و تایید هویت و قبول ضمانت شکار انجام شده، پاداش را دریافت کنند. واضح است که مبلغ پاداش به حساب نفر سوم واریز میشود و راورو ضمانتی در برگشت پاداش به حساب شکارچی اصلی ندارد. همچنین در صورت پیش آمد مشکل در رابطه با گزارش شکار انجام شده، تمام مسئولیت و پیگیریهای آن با نفر معرفی شده میباشد.
۴.۳ کمک به سامانه راورو: در این حالت شکارچی اعلام رضایت میکند که هزینه پاداش توسط تیم راورو جهت پیشبرد اهداف سامانه و ارایه سرویس بهتر هزینه شود.
۴.۴ پرداخت به خیریه: در این حالت شکارچی اعلام رضایت میکند که هزینه پاداش توسط تیم راورو به یکی از نهادهای خیریه پرداخت شود.
منظور از گزارشهای غیر قابل قبول، گزارشهایی می باشد که شامل بررسی در راورو نمی باشند و شامل پیگیرد قانونی توسط میدان میباشد. این بخش می تواند با توجه به قوانین و شرایط تعریف شده توسط میدان و نوع هدف مربوطه متفاوت باشد.
۱. هر نوع گزارش بدون داشتن اکسپلویت و سناریو.
۲. آسیبپذیریهای MITM.
۳. آسیبپذیریهایی که قبلاً توسط سایر متخصصین گزارش شده باشد.
۴. آسیبپذیریهایی که از نظر Root Cause با باگهای گزارش شده باگبانتی قبلی یکسان باشند.
۵. آسیبپذیریهایی که به ۳ مرحله یا بیشتر نیاز به تعامل با کاربر داشته باشند.
۶. صفحات ادمین قابل دسترس بدون نفوذ.
۷. حملات مهندسی اجتماعی و Phishing.
۸. حملات از كار اندازی سرویس (DoS/DDoS).
۹. آسيبپذيریهایی که در دامنهها و آدرسهای IP غير از محدوده مجاز هدف باشد.
۱۰. گزارشهای ارائه شده توسط اسکنرها و سایر ابزارهای اتوماتیک، بدون ارایه اکسپلویت.
۱۱. آسیبپذیریهای مربوط به نشت اطلاعات سرور و پیکربندی نادرست آن، مثل نسخه و نوع وب سرور.
۱۲. آسیبپذیریهای مربوط به SSLو Best Practice های مربوط به آن.
۱۳. آسیبپذیریهای مربوط به مرورگرهای قدیمی.
۱۴. آسیبپذیریهای مربوط به حملات فیزیکی.
۱۵. آسیبپذیریهای Content Spoofing.
۱۶. آسیبپذیری SSRF بدون اکسپلویت و یا با داشتن صرفا dns query.
۱۷. آسیبپذیریهای Clickjacking در صورتی که در صفحات حساس نباشد.
۱۸. آسیبپذیریهای self*.
۱۹. حملات Brute Force به غیر از موارد مربوط به Captcha.
۲۰. تمامی آسیبپذیریهای مربوط به وردپرس.
۲۱. Best Practiceها، شامل حداقل طول كلمات عبور و غيره.
۲۲. موارد مربوط به رکوردهای DNS مرتبط با Email و نامهنگاری الکترونیکی جعلی (E-mail spoofing).
۲۳. گزارش پایین بودن ورژن کتابخانهها و نرمافزارهای بهکار برده شده.
۲۴. بررسی هدرها و header injection.
۲۵. موارد Option Index اگر به داده حساس نرسد.
۲۶. هر مورد مربوط به بدست آوردن نامهای کاربری با استفاده از (account/e-mail/phone enumeration).
۲۷. آسیب پذیری های CSRF مربوط به logout.
۲۸. تمامی آسیبپذیریهای مربوط به Email validation not enforced.
۲۹. تمامی آسیبپذیریهای مربوط به Cookie valid after password change/reset یا session fixation.
۳۰. تمامی آسیبپذیریهای مربوط به Domain authentication.
۳۱. آسیبپذیری CORS misconfiguration بدون اکسپلویت.
۳۲. پیداکردن IPهای پشت CDN بدون داشتن سناریو و اکسپلویت برای حملهای تاثیرگذار یا اینکه در بخش قابل قبول نیامده باشد.
۳۳. آسیبپذیری Information Disclousre بدون داشتن سناریویی برای بهرهبرداری و اکسپلویت.
۳۴. آسیبپذیری Crossdomain.xml.
۳۵. آسیبپذیری تزریق csv.
۳۶. آسیبپذیریهایی که تاثیر آن تنها بر سمت دستگاه کاربر (Client) باشد.(نرمافزار اندروید)
۳۷. آسیبپذیریهایی که مهندسی معکوس،دیکامپایل و موارد مشابه باشد.(نرمافزار اندروید)
۳۸. آسیبپذیریهایی که نیاز به دسترسی فیزیکی به دستگاه اندرویدی را دارد یا آسیبپذیری که خطری کاربران را تهدید نمی کند.(نرمافزار اندروید)