هدفوب سایت فلایتیو

در میدان

فلایتیو

تاریخ ایجاد

گزارش‌های ثبت شده

۳۴

جزئیات هدف

وضعیت

فعال

نوع دسترسی

عمومی

نوع هدف

وب

پرداختی

حداقل ۰ تا حداکثر ۱۰,۰۰۰,۰۰۰

نگارش هدف

۱۱

زمان آخرین بروزرسانی

دامنه‌ها

http://flightio.com,http://www.flightio.com,http://api.flightio.com

بازه‌ی زمانی مجاز

از ۱۸ فروردین ۱۴۰۰ تا ۳۱ خرداد ۱۴۰۰

قوانین هدف «نسخه ۱۱»

توضیحات

گزارش آسیب‌پذیری باید شامل کد اکسپلویت و یا سناریوی حمله مشخص باشد و گزارش آسیب‌پذیری بدون اکسپلویت و یا سناریو حمله ارزیابی نخواهد شد.

بارگذاری مستندات آسیب‎پذیری‎ها در سایت‌های اشتراکی، شبکه‌های اجتماعی و ... فقط با هماهنگی و تاییدیه کتبی فلایتیو امکان‌پذیر خواهد بود.

دریافت پاداش به معنی مجوز جهت افشای گزارش نمی‌باشد و هرگونه افشای گزارش فقط با هماهنگی و تاییدیه کتبی فلایتیو امکان‌پذیر خواهد بود.

هیچ‌یک از موازین قانونی کشور را زیر پا نگذاشته باشید.

به حریم شخصی افراد و کاربران احترام گذاشته شود و هیچگونه تعاملی با حساب کاربری افراد، بدون رضایت آن‌ها انجام ندهید. برای تست عملکرد آسیب‌پذیری‌های مربوط به حساب کاربری، باید از حساب کاربری خود استفاده کنید.

در هر گزارش فقط یک آسیب‌‌‎پذیری ارایه شود.

همه شواهد باید فقط در گزارش ارسالی گنجانده شود و هیچ بخشی از آن نباید در سرور دیگری بارگذاری شوند.

از آدرسIP مشخصی برای بررسی و ارزیابی استفاده کنید و IP آدرس مذکور را در گزارش اعلام کنید.

شرح آسیب‌‎پذیری بصورت کامل به همراه شدت و خطرات احتمالی توضیح داده شود.

اطلاعات محرمانه نباید افشا شود و پس تایید گزارش می‌‌‎بایست از نگهداری آن‌ها اجتناب کنید.

تمام فعالیت‌‎ها و دسترسی‌ها می‌‎بایست در گزارش قید شود.

مراحل باز‌ تولید آسیب‌‎پذیری بطور کامل شرح داده شود.

مستندات لازم (تصاویر، فیلم، کدها، PoC و...) جهت دسترسی و استفاده از آسیب‌‎پذیری به همراه ابزارهای لازم به‌‎طور کامل بارگذاری شود.

هرگونه تنظیم خاص موردنیاز برای بازسازی حمله، باید ارایه شود.

از مشکلات امنیتی‌ که یافته‌اید، به هیچ عنوان، بهره‌برداری و سوءاستفاده نکرده‌ باشید/نکنید.

به هیچ عنوان از اطلاعات افشاء شده در یک آسیب‌پذیری برای نفوذ به سایر سیستم‌ها استفاده نشود.

از انجام عملیاتی و آزمونی که اختلال در فرآیند‌ها و عملکرد سامانه‌های فلایتیو دارد اجتناب کنید.

لطفاً در ساعات شلوغ شبانه‌روز از ابزارهای سنگین و روش‌هایی که ترافیک زیادی روی شبکه ایجاد می‌کنند، استفاده نکنید.

آسیب‌پذیر‌ی‎های گزارش شده می‎بایست تاثیر مشخصی بر کاربران، سامانه‌‎ها یا داده‎های مجموعه فلایتیو داشته باشد.

ثبت گزارش آسیب‌پذیری به معنای مطالعه‌ و پذیرش قوانین می‌باشد.

حداکثر مدت زمان بررسی گزارش توسط میدان: ۱۵ روز کاری

حداکثر مهلت پرداخت پس از تایید گزارش: ۱۰ روز کاری

محدوده‌های مجاز

محدوده‌های غیر‌مجاز

شرایط پرداختی

آسیب‌پذیری‌های قابل قبول

آسیب‌پذیری‌های غیر‌قابل قبول

قوانین عمومی میدان «نسخه ۵»

فلایتیو از تمامی علاقمندان، متخصصان، پژوهشگران امنیت و هکر‌های کلاه‌سفید جهت حفظ و ارتقا امنیت سامانه‌های خود دعوت به همکاری می‌کند. اگر آسیب‌پذیری امنیتی در سامانه‌های اعلام شده مطابق با قوانین و توضیحات مندرج در اهداف باشند با گزارش آن و پس از بررسی تیم داوری فلایتیو و راورو می‌توانید جوایز نقدی و غیر‌نقدی دریافت کنید. هر شخص که مایل به شرکت در این مسابقه است می‌تواند دربازه زمانی اعلام شده توسط فلایتیو با مطالعه قوانین و مقررات، اقدام به شناسایی آن‌ها کند.در صورت رعایت موارد گفته شده در محدوده مجاز، محدوده غیرمجاز،شرایط پرداخت، آسیب‌پذیری‌های قابل قبول و آسیب‌پذیری‌های غیر قابل قبول فلایتیو متعهد می‌شود ضمن پاسخ به گزارش در چارچوب این برنامه از درخواست پیگرد قانونی صرف نظر کند و جایزه نقدی یا غیر نقدی مورد نظر پرداخت شود. به دلیل تنوع در معیارها و مصادیق آسیب‌پذیری، تصمیم نهایی در مورد شدت آسیب‌پذیری و ارزش جایزه توسط فلایتیو اتخاذ می‌گردد.

-شدت آسیب‌پذیری بر اساس استاندارد های بین المللی (CVSS,VRT) -سختی اکسپلویت پذیری (Exploitability) -حساسیت آن برای کسب و کار و کاربران فلایتیو

در صورتی که یک آسیب‌پذیری در چند دسته قرار بگیرد به صورت فنی توسط تیم داوری و با توجه به سناریو و اکسپلویت بررسی می‌شود؛ پس از بررسی در یک دسته قرار گرفته و مراحل بعد طی می‌شود.

برخی از آسیب‌پذیری‌ها ممکن است منجر به افشای اطلاعات یا دسترسی خاصی شود . تعیین شدن خطر چنین آسیب‌پذیری‌هایی بر عهده تیم داوری فلایتیو است.