۵۰% تخفیف باگ‌بانتیویژه‌ی کسب‌وکارهای دانش‌بنیاندر سرزمین امن دانش‌بنیان‌ها

هدفجیبرس

در میدان

جیبرس

تعداد بازدید

۲۷۵

تاریخ ایجاد

گزارش‌های ثبت شده

۴۰

جزئیات هدف

وضعیت

فعال

نوع دسترسی

عمومی

نوع هدف

وب

پرداختی

حداقل ۰ تا حداکثر ۱۰۰,۰۰۰,۰۰۰

نگارش هدف

۱۱

زمان آخرین بروزرسانی

بازه‌ی زمانی مجاز

از ۳۰ بهمن ۱۳۹۹ تا ۱ اسفند ۱۴۰۰

قوانین هدف «نسخه ۱۱»

توضیحات

فلسفه افشای آسیب پذیری

  • به حریم خصوصی احترام بگذاریم. لطفا حسن نیست داشته باشید و از داده‌های کاربران دیگر سوء استفاده نکنید یا برای از بین بردن آن‌ها تلاش نکنید.
  • صبور باشید. لطفا گزارش‌های خود را به‌صورت شفاف و همراه با جزئیات ارسال کنید تا در مدت زمان پاسخ‌دهی ما را کاهش دهید.
  • آسیب نزنید. از طریق ارسال گزارش‌های سریع، آسیب‌پذیری‌های یافت شده را گزارش کنید. هرگز بدون اجازه از داده‌های کسی استفاده نکنید.

باگ یا اشکال نرم‌افزاری به مهاجمان این امکان را می‌دهد تا با نقض خط مشی امنیتی نسبت به نفوذ اقدام کنند. نقص در طراحی یا عدم رعایت بهترین شیوه‌های امنیتی ممکن است به‌عنوان آسیب‌پذیری شناخته شود. نقاط ضعف مورد استفاده توسط ویروس‌ها، کدهای مخرب و مهندسی اجتماعی، آسیب‌پذیری محسوب نمی‌شوند.

اگر فکر می‌کنید که یک آسیب پذیری از جیبرس پیدا کرده‌اید، لطفا گزارش آن را در اینجا برای ما ثبت کنید. گزارش باید شامل شرح مفصل و روشنی از مورد کشف‌شده باشد، مراحل کوتاه و قابل تکرار و یا اثبات مفهوم کار باشد. اگر شما جزئیات آسیب‌پذیری را به‌درستی شرح ندهید، ممکن است تاخیر قابل توجهی در فرایند گزارش افشا بوجود بیاید که برای همه نامطلوب است. ما برای محاسبه کیفیت آسیب‌پذیری در جیبرس از استاندارد CVSS v.3 استفاده خواهیم کرد.

قبل از شروع

  • هرگز حملات غیر فنی مانند مهندسی اجتماعی، فیشینگ یا حملات فیزیکی علیه کارکنان، کاربران یا زیرساخت های ما را امتحان نکنید!
  • هنگامی که در شک بودید، با ما از طریق آدرس ایمیل info [at] jibres.com تماس بگیرید.
  • با شرکت در برنامه گزارش باگ جیبرس، شما تصدیق می‌کنید که شرایط استفاده از خدمات جیبرس را خوانده و موافقت خود را با آن اعلام کرده‌اید.
  • مشارکت شما در این برنامه، هیچ‌گونه قانون قابل اجرا علیه شما را نقض نمی‌کند و اجازه انتشار، استفاده، مصالحه یا مختل کردن داده‌هایی که برای شما نیست را به شما نمی‌دهد.
  • فقط تست آسیب‌پذیری در سایت‌های جیبرس در محدوده مجاز بررسی هستند. برخی از سایت های میزبانی شده در زیردامنه‌های جیبرس توسط اشخاص ثالث اداره می‌شود و نباید آزمایش شود.
  • جیبرس این حق را برای خود محفوظ می‌داند که به صلاحدید خود برنامه گزارش باگ را فسخ کرده یا به آن ادامه ندهد.
  • تا زمانی که جیبرس این باگ را ارزیابی نکرده است، تقاضا و گزارش خود را علنی نکنید.

پژوهش خود را انجام دهید

سایر کاربران را با آزمایش‌های خود تحت تاثیر قرار ندهید. برای مثلا اگر می‌خواهید یک دور زدن مجوز اعتبارسنجی را دور بزنید، باید از حساب کاربری خودتان استفاده کنید.

موارد زیر هرگز مجاز نبوده و طبیعتا واجد دریافت پاداش نیز نیستند. هم‌چنین ممکن است ما به دلیل انجام این کارها حساب کاربری شما را به حالت تعلیق درآوریم و آدرس آی‌پی شما را مسدود کنیم.

  • انجام حملات محروم‌سازی از سرویس یا دی‌داس DDoS یا سایر حملات حجمی.
  • محتوای هرزنامه
  • اسکنرهای مخاطرات امنیتی، خزنده‌ها یا ابزارهای خودکار در مقیاس بزرگ که باعث ایجاد ترافیک زیاد می‌شوند.
  • توجه تا زمانی که ابزارهای خودکار منجر به ایجاد حجم ترافیکی زیاد نشوند ما مجاز به استفاده از آن‌ها هستیم. برای مثال اجرای یک اسکن nmap برای یک هاست مجاز است اما ارسال ۱۰.۰۰۰ درخواست در یک دقیقه توسط برپ سوییت قطعا بیش از اندازه است.

لطفا نکات زیر را درنظر داشته باشید

  1. از اختلال در عملکرد و فرآیند‌های سامانه‌‎های جیبرس اجتناب کنید.

  2. در هر گزارش فقط یک آسیب‌‌‎پذیری ارایه شود.

  3. شرح آسیب‌‎پذیری بصورت کامل به همراه شدت و خطرات احتمالی توضیح داده شود.

  4. از آدرس IP مشخصی برای بررسی و ارزیابی استفاده کنید و IP آدرس مذکور را در گزارش اعلام کنید.

  5. تمام فعالیت‌‎ها و دسترسی‌ها می‌‎بایست در گزارش قید شود.

  6. مراحل باز‌ تولید آسیب‌‎پذیری به‌طور کامل شرح داده شود.

  7. مستندات لازم شامل تصاویر، فیلم، کدها، PoC جهت دسترسی و استفاده از آسیب‌‎پذیری به همراه ابزارهای لازم به‌‎طور کامل بارگذاری شود.

  8. هرگونه تنظیم خاص مورد نیاز برای بازسازی حمله، باید ارایه شود.

  9. از بارگذاری مستندات آسیب‎پذیری‎ها در سایت‌های اشتراکی، شبکه‌های اجتماعی و ... اجتناب شود.

  10. به حریم شخصی افراد و کاربران احترام گذاشته شود و هیچگونه تعاملی با حساب کاربری افراد، بدون رضایت آن‌ها انجام ندهید.

  11. اطلاعات محرمانه نباید افشا شود و پس تایید گزارش می‌‌‎بایست از نگهداری آن‌ها اجتناب کنید.

  12. قبل از زمان مشخص شده جهت بررسی و حل مشکل گزارش شده و بدون هماهنگی و کسب اجازه از جیبرس، هیچگونه اطلاعاتی در مورد مشکل را عمومی نکرده و با دیگران به اشتراک نگذارید.

  13. از مشکلات امنیتی‌ که یافته‌اید، به هیچ عنوان، بهره‌برداری و سوءاستفاده نکرده‌ باشید/نکنید.

  14. هیچ‌یک از موازین قانونی کشور را زیر پا نگذاشته باشید.

  15. آسیب‌پذیر‌ی‎های گزارش شده می‎بایست تاثیر مشخصی بر کاربران، سامانه‌‎ها یا داده‎های جیبرس داشته باشد.

  16. دریافت پاداش به معنی مجوز جهت افشای گزارش نمی‌باشد و هرگونه افشای گزارش منوط به هماهنگی با جیبرس پس از رفع باگ می‌باشد.

  17. مبنا‌ی محاسبه‌ی شدت آسیب‌پذیری‌ها استاندارد CVSS v3 می‌باشد.

  18. جهت تست عملکرد آسیب‌پذیر‌ی‌های مرتبط به حساب کاربری، تنها مجاز به استفاده از حساب کاربری خود هستید.

  19. ثبت گزارش آسیب‌پذیری به معنای مطالعه‌ و پذیرش قوانین گزارش باگ جیبرس می‌باشد.

  20. اگر فکر می‌کنید که دسترسی به خدمات با انجام این کار تحت تاثیر قرار می‌گیرد و از دسترس خارج می‌شود، بلافاصله عملیات را متوقف کنید. در مورد نشان دادن تاثیر کامل آسیب‌پذیری پیدا شده، نگران نباشید. تیم امنیتی جیبرس قادر به تعیین میزان تاثیرگذاری خواهند بود.

  21. با توجه به گسترگی بخش‌های مختلف جیبرس و اینکه به‌شدت در حال توسعه محصول بوده و روزانه بخش‌های زیادی از سیستم تغییر کرده یا بروزرسانی می‌شوند. گزارش‌هایی ممکن است در این بخش‌ها اعلام شوند که برای این موارد، ما زمان اعلام نظر تیم داوری راورو را درنظر میگیریم و اگر پیش از بررسی تیم داوری تغییراتی در آن زمینه رخ داده باشد، باید پس از تغییر هم مشکل پابرجا باشد.

  22. از آنجایی که برنامه گزارش باگ جیبرس بر روی وب‌سایت جیبرس هم فعال هست، گزارش‌های ثبت شده روی جیبرس و راورو، بر اساس زمان ثبت اولیه بررسی شده و تکراری بودن آن بررسی می‌گردد.

  23. آسیب‌پذیری‌هایی که راه‌حل مشخصی برای رفع آن وجود ندارد، مورد قبول نمی‌باشد.

  24. گزارش‌های دریافتی حداکثر در ۱۵ روز کاری توسط جیبرس بررسی خواهند شد.

  25. پس از تایید گزارش، بانتی درنظر گرفته شده حداکثر تا ۱۰ روز کاری پرداخت می‌گردد.

محدوده‌های مجاز

محدوده‌های غیر‌مجاز

شرایط پرداختی

آسیب‌پذیری‌های قابل قبول

آسیب‌پذیری‌های غیر‌قابل قبول

قوانین عمومی میدان «نسخه ۵»

همه فناوری‌ها دارای اشکال و باگ هستند. اگر یک آسیب‌پذیری امنیتی یافتید، مایلیم تا به شما کمک کنیم تا آن را به شکل صحیح با ما در جریان بگذارید. ارسال گزارش آسیب‌پذیری در برنامه گزارش باگ جیبرس مهیا شده است. اثبات مفهوم مهم‌ترین بخش در ارسال گزارش است. مراحل شفاف و تکرارپذیر به ما کمک می‌کند تا با سرعت بیشتری مشکل را اعتبارسنجی کنیم.

بدین‌وسیله از تمامی علاقمندان، متخصصان، پژوهشگران امنیت و هکر‌ها دعوت‌ می‌شود تا با ارایه گزارش‌ آسیب‌پذیری از سرویس‌های جیبرس به ما در حفظ و ارتقا امنیت سامانه‌هایمان کمک کنند. لازم به‌ذکر است، گزارش‌هایی که مطابق با قوانین و توضیحات مندرج در اهداف باشند و همچنین در محدوده‌ی مجاز قرار بگیرند، پس از ارزیابی فنی تیم داوری مورد تایید قرار گرفته و می‌تواند شامل پرداخت شود. به ازای هر گزارش تایید شده، ضریب تاثیرگذاری آسیب‌پذیری‌ بر اساس استاندارد CVSS v3 محاسبه می‌گردد و مبلغ قابل پرداخت با توجه به ضریب تاثیرگذاری و نوع دسته‌بندی آسیب‌پذیری تعیین می‌گردد.

  • حداکثر مدت زمان بررسی گزارش توسط جیبرس ۱۵ روز کاری می‌باشد.
  • حداکثر طی ۱۰ روز کاری پس از تایید گزارش، باگ‌بانتی پرداخت خواهد شد.