عمومی
وب
حداقل ۵۰۰,۰۰۰ تا حداکثر ۸,۰۰۰,۰۰۰
۱۲
https://*.zarinpal.com
از ۲۷ اردیبهشت ۱۳۹۹ تا ۳۱ مرداد ۱۳۹۹
توجه: تنها آسیبپذیریهای شامل اکسپلویت بررسی خواهند شد.
۱. از اختلال در عملکرد و فرآیندهای سامانههای زرینپال اجتناب کنید.
۲. در هر گزارش فقط یک آسیبپذیری ارایه شود.
۳. شرح آسیبپذیری بصورت کامل به همراه شدت و خطرات احتمالی توضیح داده شود.
۴. از آدرسIP مشخصی برای بررسی و ارزیابی استفاده کنید و IP آدرس مذکور را در گزارش اعلام کنید.
۵. تمام فعالیتها و دسترسیها میبایست در گزارش قید شود.
۶. مراحل باز تولید آسیبپذیری بطور کامل شرح داده شود.
۷. مستندات لازم (تصاویر، فیلم، کدها، PoC و...) جهت دسترسی و استفاده از آسیبپذیری به همراه ابزارهای لازم بهطور کامل بارگذاری شود.
۸. هرگونه تنظیم خاص مورد نیاز برای بازسازی حمله، باید ارایه شود.
۹. از بارگذاری مستندات آسیبپذیریها در سایتهای اشتراکی، شبکههای اجتماعی و ... اجتناب شود.
۱۰. به حریم شخصی افراد و کاربران احترام گذاشته شود و هیچگونه تعاملی با حساب کاربری افراد، بدون رضایت آنها انجام ندهید. برای تست عملکرد آسیبپذیریهای مربوط به حساب کاربری، باید از حساب کاربری خود استفاده کنید.
۱۱. اطلاعات محرمانه نباید افشا شود و پس تایید گزارش میبایست از نگهداری آنها اجتناب کنید.
۱۲. قبل از زمان مشخص شده جهت بررسی و حل مشکل گزارش شده و بدون هماهنگی و کسب اجازه از زرینپال، هیچگونه اطلاعاتی در مورد مشکل را عمومی نکرده و با دیگران به اشتراک نگذارید.
۱۳. از مشکلات امنیتی که یافتهاید، به هیچ عنوان، بهرهبرداری و سوءاستفاده نکرده باشید/نکنید.
۱۴. هیچیک از موازین قانونی کشور را زیر پا نگذاشته باشید.
۱۵. آسیبپذیریهای گزارش شده میبایست تاثیر مشخصی بر کاربران، سامانهها یا دادههای زرینپال داشته باشد.
۱۶. دریافت پاداش به معنی مجوز جهت افشای گزارش نمیباشد و هرگونه افشای گزارش منوط به هماهنگی با زرینپال میباشد.
۱۷. مبنای محاسبهی شدت آسیبپذیریها استاندارد CVSS v3 میباشد.
۱۸. جهت تست عملکرد آسیبپذیریهای مرتبط به حساب کاربری، تنها مجاز به استفاده از حساب کاربری خود هستید.
از تمامی علاقمندان، متخصصان، پژوهشگران امنیت و هکرها دعوت میشود تا با ارایه گزارش آسیبپذیری از سرویسهای شرکت زرینپال به ما در حفظ و ارتقا امنیت سامانههایمان کمک کنند. لازم بهذکر است، گزارشهایی که مطابق با قوانین و توضیحات مندرج در اهداف باشند و همچنین در محدودهی مجاز قرار بگیرند، پس از ارزیابی فنی تیم داوری مورد تایید قرار گرفته و میتواند شامل پرداخت شود. به ازای هر گزارش تایید شده، ضریب تاثیرگذاری آسیبپذیری بر اساس استاندارد CVSS v3 محاسبه میگردد و مبلغ قابل پرداخت با توجه به ضریب تاثیرگذاری و نوع دستهبندی آسیبپذیری تعیین میگردد.