باگ بانتی پارس‌پک

قوانین

۱- گزارشگران نباید جزئیات آسیب‌پذیری‌های کشف‌شده را در هیچ سایت، بلاگ یا شبکه اجتماعی منتشر نمایند. پس از گزارش آسیب‌پذیری و رفع نقطه ضعف امنیتی، در صورت موافقت کتبی پارس پک متخصص می‌تواند جزییات آسیب‌پذیری را با هماهنگی منتشر نماید.

۲- گزارش‌ها به آدرس ایمیل [email protected] ارسال شوند.

۳- گزارش کشف آسیب‌پذیری باید شامل تمام اطلاعاتی باشد که به کارشناسان امنیت پارس پک این امکان را دهد تا آسیب‌پذیری کشف‌شده را صحت سنجی نمایند. برای مثال فیلم، عکس از صفحه مانیتور و غیره، می‌بایست در گزارش گنجانده شود.

۴- از بارگذاری شواهد آسیب‎‌پذیری‎‌‌ها در سایت‌های اشتراکی Youtube, Imgur, Aparat و... خودداری شود.

۵- اگر آسیب‎‌پذیری قبلا بوسیله‌ی فرد دیگری گزارش شده باشد به گزارش جایزه تعلق نخواهد گرفت.

۶- اطلاعات محرمانه نباید افشا شوند و پس از دریافت جایزه نباید نگهداری شوند.

۷- نفوذ (Exploit) آسیب پذیری‌های مخرب بدون اجازه کتبی از پارس پک مجاز نیست.

 

آسیب‌پذیری‌ها و حملات مجاز

۱- آسیب‎‌پذیری‎‌ها باید جداگانه تست و گزارش شوند.

۲- متخصصین باید تنها اقدام به کشف و بررسی آسیب‌پذیری‌هایی بنمایند که در جدول زیر آورده شد‌اند.

۳- بهره‌برداری یا انجام حملاتی که در جدول ذکر نشده، غیر مجاز بوده و مسئولیت حقوقی آن بر عهده متخصص مربوطه است.

۴- در حین فرآیند، از اختلال در سامانه‌‎ها و سرورها اجنتاب شود و در صورت نیاز مجوز کتبی اخذ شود.

پرداخت ها

برای گزارش‌ها با توجه به شدت آسیب‌پذیری و سهولت بهره‌جویی (Exploitability) پس از بررسی توسط کارشناسان امنیت پارس پک میزان پاداش پرداختی طبق جدول زیر محاسبه خواهد شد. مبنای محاسبات پرداخت پاداش جدول زیر خواهد بود و پرداختی‌های سایر شرکت‌ها و پلتفرم‌ها مانند HackerOne مرجع نیستند.

ردیفعنوان آسیب پذیریحداکثر پرداختی (تومان)
۱Remote Code Execution (RCE)8 میلیون
۲SQL/NoSQL/Command Injection8 میلیون
۳Sensitive Data Exposure (Admin Password, Private API Keys, Certificate Private Key)7 میلیون
۴Account Takeover (without User Interaction)6 میلیون
۵Account Takeover (With User Interaction)4 میلیون
۶Privilege Escalation to Admin Account4 میلیون
۷Authentication Bypass4 میلیون
۸Unauthorized Access to Read and Write Sensitive Data of a User3 میلیون
۹Misconfig (وابسته به تاثیر مخرب آن)۳ میلیون
۱۰۲FA Bypass2 میلیون
۱۱Subdomain TakeOver2 میلیون
۱۲Unauthorized Access to API1 میلیون
۱۳Weak Password Reset Implementation1 میلیون
۱۴Mass User Enumeration1 میلیون
۱۵XSS500 هزار
۱۶SSRF500 هزار
۱۷LFI (فایل‌های حساس)۵۰۰ هزار
۱۸CAPTCHA Bypass500 هزار
۱۹DoS, DDoS (Easy and Critical Impact)500 هزار
۲۰Clickjacking (داشتن تاثیر مخرب روی بخش‌های حساس)۲۵۰ هزار
۲۱Rate Limit250 هزار

آسیب‌پذیری‌های زیر مورد نظر پارس پک نیستند و به آنها جایزه تعلق نخواهد گرفت.

  • Certificate Problems and Attacks
  • یافتن Admin Login Page
  • File Upload
  • Out of date libraries
  • Captcha brute force
  • Directory Listing
  • Clickjacking (Non Sensitive Action)
  • Social Engineering
  • نداشتن Security Headers

کلیه حقوق برای پارس پک محفوظ می باشد.

Copyright © 2022 ParsPack Cloud Computing Technology ® , All Rights Reserved.