باگ بانتی پارس‌پک

قوانین

۱- گزارشگران نباید جزئیات آسیب‌پذیری‌های کشف‌شده را در هیچ سایت، بلاگ یا شبکه اجتماعی منتشر نمایند. پس از گزارش آسیب‌پذیری و رفع نقطه ضعف امنیتی، در صورت موافقت کتبی پارس پک متخصص می‌تواند جزییات آسیب‌پذیری را با هماهنگی منتشر نماید.

۲- گزارش‌ها به آدرس ایمیل [email protected] ارسال شوند.

۳- گزارش کشف آسیب‌پذیری باید شامل تمام اطلاعاتی باشد که به کارشناسان امنیت پارس پک این امکان را دهد تا آسیب‌پذیری کشف‌شده را صحت سنجی نمایند. برای مثال فیلم، عکس از صفحه مانیتور و غیره، می‌بایست در گزارش گنجانده شود.

۴- از بارگذاری شواهد آسیب‎‌پذیری‎‌‌ها در سایت‌های اشتراکی Youtube, Imgur, Aparat و... خودداری شود.

۵- اگر آسیب‎‌پذیری قبلا بوسیله‌ی فرد دیگری گزارش شده باشد به گزارش جایزه تعلق نخواهد گرفت.

۶- اطلاعات محرمانه نباید افشا شوند و پس از دریافت جایزه نباید نگهداری شوند.

۷- نفوذ (Exploit) آسیب پذیری‌های مخرب بدون اجازه کتبی از پارس پک مجاز نیست.

 

آسیب‌پذیری‌ها و حملات مجاز

۱- آسیب‎‌پذیری‎‌ها باید جداگانه تست و گزارش شوند.

۲- متخصصین باید تنها اقدام به کشف و بررسی آسیب‌پذیری‌هایی بنمایند که در جدول زیر آورده شد‌اند.

۳- بهره‌برداری یا انجام حملاتی که در جدول ذکر نشده، غیر مجاز بوده و مسئولیت حقوقی آن بر عهده متخصص مربوطه است.

۴- در حین فرآیند، از اختلال در سامانه‌‎ها و سرورها اجنتاب شود و در صورت نیاز مجوز کتبی اخذ شود.

پرداخت ها

برای گزارش‌ها با توجه به شدت آسیب‌پذیری و سهولت بهره‌جویی (Exploitability) پس از بررسی توسط کارشناسان امنیت پارس پک میزان پاداش پرداختی طبق جدول زیر محاسبه خواهد شد. مبنای محاسبات پرداخت پاداش جدول زیر خواهد بود و پرداختی‌های سایر شرکت‌ها و پلتفرم‌ها مانند HackerOne مرجع نیستند.

ردیفعنوان آسیب پذیریحداکثر پرداختی (تومان)
۱Remote Code Execution (RCE)۸ میلیون
۲SQL/NoSQL/Command Injection۸ میلیون
۳Sensitive Data Exposure (Admin Password, Private API Keys, Certificate Private Key)۷ میلیون
۴Account Takeover (without User Interaction)۶ میلیون
۵Account Takeover (With User Interaction)۴ میلیون
۶Privilege Escalation to Admin Account۴ میلیون
۷Authentication Bypass۴ میلیون
۸Double Spending۴ میلیون
۹Race Condition(وابسته به تاثیر مخرب آن)۴ میلیون
۱۰Unauthorized Access to Read and Write Sensitive Data of a User۳ میلیون
۱۱Misconfig (وابسته به تاثیر مخرب آن)۳ میلیون
۱۲۲FA Bypass۲ میلیون
۱۳Subdomain TakeOver۲ میلیون
۱۴Unauthorized Access to API۱ میلیون
۱۵Weak Password Reset Implementation۱ میلیون
۱۶Mass User Enumeration۱ میلیون
۱۷XSS۵۰۰ هزار
۱۸SSRF۵۰۰ هزار
۱۹LFI (فایل‌های حساس)۵۰۰ هزار
۲۰CAPTCHA Bypass۵۰۰ هزار
۲۱DoS, DDoS (Easy and Critical Impact)۵۰۰ هزار
۲۲Clickjacking (داشتن تاثیر مخرب روی بخش‌های حساس)۲۵۰ هزار
۲۳Rate Limit۲۵۰ هزار

آسیب‌پذیری‌های زیر مورد نظر پارس پک نیستند و به آنها جایزه تعلق نخواهد گرفت.

  • Certificate Problems and Attacks
  • یافتن Admin Login Page
  • File Upload
  • Out of date libraries
  • Captcha brute force
  • Directory Listing
  • Clickjacking (Non Sensitive Action)
  • Social Engineering
  • نداشتن Security Headers

کلیه حقوق برای پارس پک محفوظ می باشد.

Copyright © 2022 ParsPack Cloud Computing Technology ® , All Rights Reserved.