هدفوب‌سایت راورو

در میدان

راورو

تاریخ ایجاد

گزارش‌های ثبت شده

۲۷

جزئیات هدف

وضعیت

فعال

نوع دسترسی

عمومی

نوع هدف

وب

پرداختی

حداقل ۵۰۰,۰۰۰ تا حداکثر ۲,۵۰۰,۰۰۰

نگارش هدف

۴

زمان آخرین بروزرسانی

دامنه‌ها

https://*.ravro.ir

بازه‌ی زمانی مجاز

از ۳۰ خرداد ۱۳۹۹ تا ۳۰ اسفند ۱۳۹۹

قوانین هدف «نسخه ۴»

توضیحات

ملاحضات:

۱. از اختلال در عملکرد و فرآیند‌های سامانه‌‎های راورو اجتناب کنید.

۲. در هر گزارش فقط یک آسیب‌‌‎پذیری ارایه شود.

۳. شرح آسیب‌‎پذیری بصورت کامل به همراه شدت و خطرات احتمالی توضیح داده شود.

۴. از آدرسIP مشخصی برای ارزیابی استفاده کنید و IP آدرس مذکور را در گزارش اعلام کنید.

۵. تمام فعالیت‌‎ها و دسترسی‌ها می‌‎بایست در گزارش قید شود.

۶. مراحل باز‌تولید آسیب‌‎پذیری بطور کامل شرح داده شود.

۷. مستندات لازم (تصاویر، فیلم، کدها، PoC و...) جهت دسترسی و استفاده از آسیب‌‎پذیری به همراه ابزارهای لازم به‌‎طور کامل بارگذاری شوند.

۸. هرگونه تنظیم خاص مورد نیاز برای بازسازی حمله، باید ارایه شود.

۹. از بارگذاری مستندات آسیب‎پذیری‎ها در سایت‌های اشتراکی، شبکه‌های اجتماعی و ... اجتناب شود.

۱۰. به حریم شخصی افراد و کاربران احترام گذاشته شود و هیچگونه تعاملی با حساب کاربری افراد، بدون رضایت آن‌ها انجام ندهید.

۱۱. اطلاعات محرمانه نباید افشا شود و پس از دریافت جایزه می‌‌‎بایست از نگهداری آن‌ها اجتناب کنید.

۱۲. قبل از زمان مشخص شده جهت بررسی و حل مشکل گزارش شده و بدون هماهنگی و کسب اجازه از راورو، هیچگونه اطلاعاتی در مورد مشکل را عمومی نکرده و با دیگران به اشتراک نگذارید.

۱۳. از مشکلات امنیتی‌ که یافته‌اید، به هیچ عنوان، بهره‌برداری و سوءاستفاده نکرده‌باشید/ نکنید.

۱۴. هیچ‌یک از موازین قانونی کشور را زیر پا نگذاشته باشید.

۱۵. آسیب‌پذیر‌ی‎های گزارش شده می‎بایست تاثیر مشخصی بر کاربران، سامانه‌‎ها یا داده‎های راورو داشته باشد.

۱۶. هنگام پرداخت طرفین باید تعهدنامه‌ای برای منع افشای اطلاعات مربوط به گزارش آسیب‌پذیری امضا نمایند.

محدوده‌های مجاز

محدوده‌های غیر‌مجاز

شرایط پرداختی

آسیب‌پذیری‌های قابل قبول

آسیب‌پذیری‌های غیر‌قابل قبول

قوانین عمومی میدان «نسخه ۲»

از تمامی علاقمندان، متخصصان، پژوهشگران امنیت و هکر‌ها دعوت‌ می‌کنیم تا با ارایه گزارش‌ آسیب‌پذیری از سرویس‌های مجموعه راورو به ما در حفظ و ارتقا امنیت سامانه‌هایمان کمک کنند. لازم به‌ذکر است، گزارش‌هایی که مطابق با قوانین و توضیحات مندرج در اهداف باشند و همچنین در محدوده‌ی مجاز قرار بگیرند، پس از ارزیابی فنی تیم داوری مورد تایید قرار گرفته و می‌تواند شامل پرداخت شود. به ازای هر گزارش تایید شده، ضریب تاثیرگذاری آسیب‌پذیری‌ بر اساس استاندارد CVSS v3 محاسبه می‌گردد و مبلغ قابل پرداخت با توجه به ضریب تاثیرگذاری و نوع دسته‌بندی آسیب‌پذیری تعیین می‌گردد.

همچنین راورو آمادگی خود را جهت دریافت هرگونه گزارش حتی خارج از محدوده و قوانین قابل قبول، درخصوص امنیت سامانه اعلام می‌کند. متخصصین و علاقمندان می‌توانند گزارش‌های مرتبط خود را (حتی خارج از اهداف تعریف شده) از طریق ایمیل info@ravro.ir اعلام نمایند. لازم به ذکر است که شرایط و امکان پرداخت، به گزارش‌های خارج از اهداف صرفا مطابق با نظر راورو می‌باشد.