هدفشناسایی آدرس IP پشت CDN

در میدان

فلایتیو

تاریخ ایجاد

گزارش‌های ثبت شده

۳

جزئیات هدف

وضعیت

پایان یافت

نوع دسترسی

عمومی

نوع هدف

وب

پرداختی

حداقل ۰ تا حداکثر ۳,۰۰۰,۰۰۰

نگارش هدف

۷

زمان آخرین بروزرسانی

دامنه‌ها

http://flightio.com,http://api.flightio.com,http://sapi.flightio.com,http://cmapi.flightio.com,http://legacy.flightio.com

بازه‌ی زمانی مجاز

از ۱۷ دی ۱۳۹۹ تا ۳۰ دی ۱۳۹۹

قوانین هدف «نسخه ۷»

توضیحات

  • گزارش آسیب‌پذیری باید شامل کد اکسپلویت و یا سناریوی حمله مشخص باشد و گزارش آسیب‌پذیری بدون اکسپلویت و یا سناریو حمله ارزیابی نخواهد شد.
  • بارگذاری مستندات آسیب‎پذیری‎ها در سایت‌های اشتراکی، شبکه‌های اجتماعی و ... فقط با هماهنگی و تاییدیه کتبی فلایتیو امکان‌پذیر خواهد بود.
  • دریافت پاداش به معنی مجوز جهت افشای گزارش نمی‌باشد و هرگونه افشای گزارش فقط با هماهنگی و تاییدیه کتبی فلایتیو امکان‌پذیر خواهد بود.
  • هیچ‌یک از موازین قانونی کشور را زیر پا نگذاشته باشید.
  • به حریم شخصی افراد و کاربران احترام گذاشته شود و هیچگونه تعاملی با حساب کاربری افراد، بدون رضایت آن‌ها انجام ندهید. برای تست عملکرد آسیب‌پذیری‌های مربوط به حساب کاربری، باید از حساب کاربری خود استفاده کنید.
  • در هر گزارش فقط یک آسیب‌‌‎پذیری ارایه شود.
  • همه شواهد باید فقط در گزارش ارسالی گنجانده شود و هیچ بخشی از آن نباید در سرور دیگری بارگذاری شوند.
  • از آدرسIP مشخصی برای بررسی و ارزیابی استفاده کنید و IP آدرس مذکور را در گزارش اعلام کنید.
  • شرح آسیب‌‎پذیری بصورت کامل به همراه شدت و خطرات احتمالی توضیح داده شود.
  • اطلاعات محرمانه نباید افشا شود و پس تایید گزارش می‌‌‎بایست از نگهداری آن‌ها اجتناب کنید.
  • تمام فعالیت‌‎ها و دسترسی‌ها می‌‎بایست در گزارش قید شود.
  • مراحل باز‌ تولید آسیب‌‎پذیری بطور کامل شرح داده شود.
  • مستندات لازم (تصاویر، فیلم، کدها، PoC و...) جهت دسترسی و استفاده از آسیب‌‎پذیری به همراه ابزارهای لازم به‌‎طور کامل بارگذاری شود.
  • هرگونه تنظیم خاص موردنیاز برای بازسازی حمله، باید ارایه شود.
  • از مشکلات امنیتی‌ که یافته‌اید، به هیچ عنوان، بهره‌برداری و سوءاستفاده نکرده‌ باشید/نکنید.
  • به هیچ عنوان از اطلاعات افشاء شده در یک آسیب‌پذیری برای نفوذ به سایر سیستم‌ها استفاده نشود.
  • از انجام عملیاتی و آزمونی که اختلال در فرآیند‌ها و عملکرد سامانه‌های فلایتیو دارد اجتناب کنید.
  • لطفاً در ساعات شلوغ شبانه‌روز از ابزارهای سنگین و روش‌هایی که ترافیک زیادی روی شبکه ایجاد می‌کنند، استفاده نکنید.
  • آسیب‌پذیر‌ی‎های گزارش شده می‎بایست تاثیر مشخصی بر کاربران، سامانه‌‎ها یا داده‎های مجموعه فلایتیو داشته باشد.
  • ثبت گزارش آسیب‌پذیری به معنای مطالعه‌ و پذیرش قوانین می‌باشد.

محدوده‌های مجاز

محدوده‌های غیر‌مجاز

شرایط پرداختی

آسیب‌پذیری‌های قابل قبول

آسیب‌پذیری‌های غیر‌قابل قبول

قوانین عمومی میدان «نسخه ۵»

فلایتیو از تمامی علاقمندان، متخصصان، پژوهشگران امنیت و هکر‌های کلاه‌سفید جهت حفظ و ارتقا امنیت سامانه‌های خود دعوت به همکاری می‌کند. اگر آسیب‌پذیری امنیتی در سامانه‌های اعلام شده مطابق با قوانین و توضیحات مندرج در اهداف باشند با گزارش آن و پس از بررسی تیم داوری فلایتیو و راورو می‌توانید جوایز نقدی و غیر‌نقدی دریافت کنید. هر شخص که مایل به شرکت در این مسابقه است می‌تواند دربازه زمانی اعلام شده توسط فلایتیو با مطالعه قوانین و مقررات، اقدام به شناسایی آن‌ها کند.در صورت رعایت موارد گفته شده در محدوده مجاز، محدوده غیرمجاز،شرایط پرداخت، آسیب‌پذیری‌های قابل قبول و آسیب‌پذیری‌های غیر قابل قبول فلایتیو متعهد می‌شود ضمن پاسخ به گزارش در چارچوب این برنامه از درخواست پیگرد قانونی صرف نظر کند و جایزه نقدی یا غیر نقدی مورد نظر پرداخت شود. به دلیل تنوع در معیارها و مصادیق آسیب‌پذیری، تصمیم نهایی در مورد شدت آسیب‌پذیری و ارزش جایزه توسط فلایتیو اتخاذ می‌گردد.

-شدت آسیب‌پذیری بر اساس استاندارد های بین المللی (CVSS,VRT) -سختی اکسپلویت پذیری (Exploitability) -حساسیت آن برای کسب و کار و کاربران فلایتیو

در صورتی که یک آسیب‌پذیری در چند دسته قرار بگیرد به صورت فنی توسط تیم داوری و با توجه به سناریو و اکسپلویت بررسی می‌شود؛ پس از بررسی در یک دسته قرار گرفته و مراحل بعد طی می‌شود.

برخی از آسیب‌پذیری‌ها ممکن است منجر به افشای اطلاعات یا دسترسی خاصی شود . تعیین شدن خطر چنین آسیب‌پذیری‌هایی بر عهده تیم داوری فلایتیو است.