عمومی
وب
حداقل ۵۰۰,۰۰۰ تا حداکثر ۲,۵۰۰,۰۰۰
۵
https://*.ravro.ir
از ۳۰ خرداد ۱۳۹۹ تا ۳۰ اسفند ۱۳۹۹
ملاحضات:
۱. از اختلال در عملکرد و فرآیندهای سامانههای راورو اجتناب کنید.
۲. در هر گزارش فقط یک آسیبپذیری ارایه شود.
۳. شرح آسیبپذیری بصورت کامل به همراه شدت و خطرات احتمالی توضیح داده شود.
۴. از آدرسIP مشخصی برای ارزیابی استفاده کنید و IP آدرس مذکور را در گزارش اعلام کنید.
۵. تمام فعالیتها و دسترسیها میبایست در گزارش قید شود.
۶. مراحل بازتولید آسیبپذیری بطور کامل شرح داده شود.
۷. مستندات لازم (تصاویر، فیلم، کدها، PoC و...) جهت دسترسی و استفاده از آسیبپذیری به همراه ابزارهای لازم بهطور کامل بارگذاری شوند.
۸. هرگونه تنظیم خاص مورد نیاز برای بازسازی حمله، باید ارایه شود.
۹. از بارگذاری مستندات آسیبپذیریها در سایتهای اشتراکی، شبکههای اجتماعی و ... اجتناب شود.
۱۰. به حریم شخصی افراد و کاربران احترام گذاشته شود و هیچگونه تعاملی با حساب کاربری افراد، بدون رضایت آنها انجام ندهید.
۱۱. اطلاعات محرمانه نباید افشا شود و پس از دریافت جایزه میبایست از نگهداری آنها اجتناب کنید.
۱۲. قبل از زمان مشخص شده جهت بررسی و حل مشکل گزارش شده و بدون هماهنگی و کسب اجازه از راورو، هیچگونه اطلاعاتی در مورد مشکل را عمومی نکرده و با دیگران به اشتراک نگذارید.
۱۳. از مشکلات امنیتی که یافتهاید، به هیچ عنوان، بهرهبرداری و سوءاستفاده نکردهباشید/ نکنید.
۱۴. هیچیک از موازین قانونی کشور را زیر پا نگذاشته باشید.
۱۵. آسیبپذیریهای گزارش شده میبایست تاثیر مشخصی بر کاربران، سامانهها یا دادههای راورو داشته باشد.
۱۶. هنگام پرداخت طرفین باید تعهدنامهای برای منع افشای اطلاعات مربوط به گزارش آسیبپذیری امضا نمایند.
از تمامی علاقمندان، متخصصان، پژوهشگران امنیت و هکرها دعوت میکنیم تا با ارایه گزارش آسیبپذیری از سرویسهای مجموعه راورو به ما در حفظ و ارتقا امنیت سامانههایمان کمک کنند. لازم بهذکر است، گزارشهایی که مطابق با قوانین و توضیحات مندرج در اهداف باشند و همچنین در محدودهی مجاز قرار بگیرند، پس از ارزیابی فنی تیم داوری مورد تایید قرار گرفته و میتواند شامل پرداخت شود. به ازای هر گزارش تایید شده، ضریب تاثیرگذاری آسیبپذیری بر اساس استاندارد CVSS v3 محاسبه میگردد و مبلغ قابل پرداخت با توجه به ضریب تاثیرگذاری و نوع دستهبندی آسیبپذیری تعیین میگردد.
همچنین راورو آمادگی خود را جهت دریافت هرگونه گزارش حتی خارج از محدوده و قوانین قابل قبول، درخصوص امنیت سامانه اعلام میکند. متخصصین و علاقمندان میتوانند گزارشهای مرتبط خود را (حتی خارج از اهداف تعریف شده) از طریق ایمیل info@ravro.ir اعلام نمایند. لازم به ذکر است که شرایط و امکان پرداخت، به گزارشهای خارج از اهداف صرفا مطابق با نظر راورو میباشد.