خط خط خط خط خط خط

باگ‌جوی دیوار شو

باگ‌های دیوار رو گزارش کن و جایزه بگیر :)

قبل از ثبت آسیب‌پذیری حتما کل محتوای این صفحه را مطالعه کنید

آسیب‌های گزارش‌شده

۱۰۰+

جایزه‌ها تا الان

۸۰۰٬۰۰۰٬۰۰۰+ تومان

گزارش‌کننده‌ها

۱۶

جایزه‌ها

مبلغ جایزه‌ها بر اساس میزان اهمیت گزارش شما و طبق جدول زیر تعیین می‌شود

* جزئیات دقیق‌تر مقدار جوایز را در جدول قیمت‌گذاری ببینید.

حیاتی

تا* ۱٬۰۰۰٬۰۰۰٬۰۰۰ تومان

بحرانی

تا ۳۰۰٬۰۰۰٬۰۰۰ تومان

زیاد

تا ۹۰٬۰۰۰٬۰۰۰ تومان

متوسط

تا ۳۰٬۰۰۰٬۰۰۰ تومان

کم

تا ۱۰٬۰۰۰٬۰۰۰ تومان

قلمرو

اهمیت گزارش‌ها بر اساس دامنه‌ها و دارایی‌های زیر تعیین می‌شود
به گزارش‌هایی که در این قلمرو نباشد، جایزه تعلق نمی‌گیرد.

میزان اهمیت: بحرانی

grpc-api.divar.ir

زیردامنه‌های دیوار

میزان اهمیت: بحرانی

برنامه موبایل دیوار - نسخهٔ iOS

آخرین نسخهٔ برنامه iOS دیوار

میزان اهمیت: بحرانی

api.divar.ir

زیردامنه‌های دیوار

میزان اهمیت: بحرانی

mail.divar.ir

زیردامنه‌های دیوار

نمایش همهٔ قلمروها

میزان اهمیت: بحرانی

divar.ir

وب‌سایت دیوار

میزان اهمیت: بحرانی

برنامه موبایل دیوار - نسخهٔ اندروید

آخرین نسخه برنامه اندروید دیوار

میزان اهمیت: زیاد

git.divar.cloud

زیردامنه‌های دیوار

میزان اهمیت: زیاد

registry.divar.cloud

زیردامنه‌های دیوار

میزان اهمیت: زیاد

api.*.divar.cloud

زیردامنهٔ دیوار

میزان اهمیت: زیاد

api.*.divar.cloud

زیردامنهٔ دیوار

میزان اهمیت: زیاد

agahpardazan.ir.*

زیردامنهٔ دیوار

میزان اهمیت: متوسط

divar.dev.*

زیردامنهٔ دیوار

میزان اهمیت: متوسط

divar.cloud.*

تمامی زیردامنه‌های این دامنه به جز git.divar.cloud, registery.divar.cloud و api.*.divar.cloud

میزان اهمیت: متوسط

divar.io.*

زیردامنه‌های دیوار

میزان اهمیت: پایین

پنل‌های بیزینسی

این پنل جزو دارایی با سطح پایین محسوب میشوند

میزان اهمیت: صفر

divar.news

این دامنه و تمام زیردامنه‌های آن خارج از اسکوپ قرار دارند.

جدول میزان تأثیر آسیب‌ها

میزان تأثیر آسیب‌‌ها بر اساس جدول زیر تعیین می‌شود.

درجهٔ تأثیر: حیاتی

  • RCE on vital servers
  • Mass Defacement

درجهٔ تأثیر: بحرانی

  • Remote Command Execution
  • SQL/NoSQL/Command Injection
  • XML External Entity Injection
  • Mass Account Takeover (without User Interaction)
  • Sensitive Data Exposure for publicly accessible Services
  • Unauthorized Access to Read and Write Sensitive Data of All Users
  • Sensitive Data Exposure (All users) includes chat data

درجهٔ تأثیر: بالا

  • Subdomain Takeover
  • Unauthorized Access to Read and Write Sensitive Data of a User
  • Unauthorized Access to Read and Write Part of Sensitive Data of all User
  • Local File Inclusion
  • Complete Source Code Disclosure of one of private products
  • SSRF (Internal High Impact)
  • Authentication Bypass
  • Mass delete users accounts
  • Vertical/Horizontal Privilege Escalation
  • Sensitive Data Exposure (All users) except chat data
  • Stored XSS (Non-Privileged User to Priviledge user)

درجهٔ تأثیر: متوسط

  • Account Takeover by User Interaction
  • Stored XSS without privieldge escalation
  • Reflected XSS
  • DOM based XSS
  • Insecure Direct Object Reference
  • Source Code Disclosure of divar's websites
  • Partial Source Code Disclosure of one of private divar's products
  • State Changing CSRF (Server Side Request Forgery) leads to higher impact like accessing files
  • Mass User Enumeration
  • Authorization Bypass
  • Unauthorized Access to Read and Write Part of Sensitive Data of a User
  • Server Side Request Forgery (without high impact)
  • CRLF Injection
  • Default credentials
  • iframe Injection
  • OAuth misusable misconfiguration
  • Second Factor Authentication (2FA) Bypass
  • Misusable misconfiguration of CAPTCHA implementation
  • Session Fixation (Remote Attack Vector)
  • DoS (High Impact and/or Medium Difficulty)
  • Unauthorized Access to Services (API / Endpoints)
  • Excessively Privileged User / DBA
  • Delete a user Account
  • Sensitive Data Exposure (Some users)

درجهٔ تأثیر: پایین

  • Clickjacking(Sensitive Click-Based Action)
  • Open Redirect(GET-Based)
  • Clear-Text Password Submission (in HTTP)
  • Non-State Changing Cross-Site Request Forgery
  • SSRF (External)
  • Information Disclosure through Errors
  • Clickjacking(non-Sensitive Click-Based Action)
  • Weak Registration Implementation(Over HTTP)
  • SMS Bombar

درجهٔ تأثیر: Out of Scope

  • Open Redirect (POST-Based)
  • Self *
  • Directory Listing Enabled(Non-Sensitive Data Exposure)
  • Same-Site Scripting
  • Missing Certification Authority Authorization (CAA) Record
  • Unsafe File Upload
  • Clickjacking (Non-Sensitive Action)
  • Clickjacking (Form Input)
  • Captcha brute force
  • Exposed Admin Portal To Internet
  • Missing DNSSEC
  • Fingerprinting/Banner Disclosure
  • Reflected File Download (RFD)
  • Lack of Security Headers
  • Http Parameter Pollution
  • Session Fixation (Local Attack Vector)
  • Concurrent Logins
  • Token Leakage via Referer
  • Crowdsourcing/OCR Captcha Bypass
  • Lack of Verification/Notification Email
  • Allows Disposable Email Addresses for Registration
  • SSL Attack
  • Public Admin Login Page
  • Out of date libraries
  • SSRF (DNS Query Only)

جدول قیمت‌گذاری

تیم داوری با بهره‌گیری از جدول زیر، میزان آسیب‌پذیری دارایی‌ها را تعیین، و مبلغ جایزه را مشخص می‌کند.

اهمیت دارایی:

بحرانی

بالا

متوسط

کم

آسیب‌پذیری با درجهٔ تأثیر بحرانی

۹۰ - ۳۰۰

۶۰ - ۲۰۰

۴۰ - ۱۵۰

۲۰ - ۱۰۰

آسیب‌پذیری با درجهٔ تأثیر بالا

۲۵ - ۹۰

۱۵ - ۶۰

۷ - ۴۰

۴ - ۲۰

آسیب‌پذیری با درجهٔ تأثیر متوسط

۶ - ۲۵

۴ - ۱۵

۳ - ۷

۱ - ۴

آسیب‌پذیری با درجهٔ تأثیر پایین

۱ - ۶

۱ - ۴

۱ - ۳

۱ - ۱

کشف آسیب‌پذیری‌هایی که با نظر داواران «حیاتی» در نظر گرفته می‌شود، از ۵۰۰ میلیون تومان تا ۱ میلیارد تومان جایزه دارد.

تمام مبلغ‌های جدول بالا به میلیون تومان است.

مبلغ نهایی بر اساس اهمیت باگ (CVSS3) و هدف بررسی‌شده، با نظر داواران مشخص می‌شود.

منظور از دارایی با اهمیت کم، پنل‌های بیزینسی است.

نکته‌ها

لطفاً پیش از ثبت آسیب‌پذیری به نکته‌های زیر توجه کنید.

ما در دیوار، آن دسته از پژوهشگران امنیت را که با کشف و گزارش آسیب‌پذیری باعث بالارفتن سطح امنیت محصولات ما و کاربرانمان می‌شوند، به رسمیت می‌شناسیم و از همکاری آن‌ها استقبال می‌کنیم. اگر متوجه ایراد امنیتی یا آسیب‌پذیری در دیوار شده‌اید، می‌توانید با گزارش آن در چارچوب این برنامه، ‌تا یک میلیارد تومان جایزه دریافت کنید. اگر می‌خواهید در این برنامه مشارکت کنید، لازم است ابتدا اطلاعات موجود در این سایت را در مورد خط مشی افشای مسئولانه، قلمرو، فرآیند و توصیه‌ها به دقت مطالعه کنید.

    نکات مهم
  • جوایز نقدی فقط مربوط به قلمرو تعیین شده است و موارد خارج از قلمرو به هیچ‌وجه شامل جایزه نقدی نمی‌شود.
  • آسیب‌پذیری بدون کد اکسپلویت و سناریوی حمله، مشمول جایزه نمی‌شود.
  • به یک آسیب‌پذیری مشابه در دو یا چند دامین متفاوت تنها یک جایزه تعلق می‌گیرد.
  • داوری دربارهٔ شدت خطر و حساسیت اطلاعات نشت‌کرده با کارشناسان مرتبط است.
  • توجه داشته باشید که انتشار گزارش راجع به آسیب‌پذیری تنها با هماهنگی و تأیید ممکن است.
  • زیردامنه‌هایی که توسط سرویس‌های دیگر میزبانی می‌شوند و یا نمونه‌هایی که صرفاً برای دیباگ و موارد مشابه استفاده می‌شود، در قلمرو این برنامه قرار ندارد.
  • تزریق‌های CSV
  • آسیب‌پذیری Open Redirect داخلی
  • حملات مهندسی اجتماعی و Phishing، حمله‌های فیزیکی، Spamming
  • حملات DoS و DDoS
  • Brute Forcing Accounts
  • Homographs یا حملات مشابه
  • عدم اعمال ملاحظات امنیتی برروی Cookie
  • Lack of or weak Captcha.
  • Clickjacking with no sensitive actions.
  • عدم رعایت Best Practice های امنیتی، بدون اکسپلویت
  • آسیب‌پذیری‌هایی که تعامل بسیار خاص با کاربر نیاز دارد
  • آسیب‌پذیری‌های مربوط به مرورگرهای قدیمی
  • Self XSS
  • نرم‌افزارها و سامانه‌های third-party در صورتی که امکان دسترسی و وصلهٔ باگ گزارش‌شده وجود نداشته باشد، خارج از اسکوپ در نظر گرفته می‌شوند.
  • آسیب‌پذیری‌های گزارش‌شده توسط اسکنرها و سایر ابزارهای اتوماتیک بدون اکسپلویت
  • گزارش پایین بودن ورژن کتابخانه‌ها و نرم‌افزارهای به‌کار‌رفته بدون اکسپلویت
  • آسیب‌پذیری‌های مربوط به نشت اطلاعات سرور و پیکربندی نادرست بدون اکسپلویت
  • آسیب‌پذیری‌های مرتبط با Rate limit و User Enumeration تا زمانی که منجر به آسیب‌پذیری با میزان اهمیت بالاتر نشوند، خارج از محدوده قرار می‌گیرند و جایزه‌ای نمی‌برند.
  • Reflected File Download
  • Clickjacking
  • عدم رعایت Security Headers
  • در هر گزارش صرفاً یک آسیب‌پذیری را شرح دهید و از ارسال آسیب‌پذیری‌های متعدد در یک گزارش پرهیز کنید.
  • آسیب‌پذیری را به دقت و با جزئیات شرح دهید تا داوران بتوانند سریع‌تر باگ را شناسایی و به آن رسیدگی کنند.
  • مراحل دقیق بازتولید آسیب‌پذیری را در گزارش خود توضیح دهید.
  • حتماً سناریویی برای حمله در گزارشتان بیاورید تا اهمیت و نحوهٔ استفاده از باگ روشن شود.
  • در گزارش خود، اثبات آسیب‌پذیری (PoC) و نحوهٔ اکسپلویت آن را بیاورید، و در صورت امکان آن را با ارسال ویدیو انجام بدهید.
  • در صورتی که در حملهٔ خود از ابزار payload و یا کد بخصوصی استفاده کرده‌اید، آن را به گزارشتان پیوست کنید.
  • نسخهٔ مرورگر و سیستم‌عامل استفاده‌شده را در گزارش بنویسید.
  • این راهنما برای آشنایی با نحوهٔ امتیازدهی در بانتی ستون ایجاد شده است. امتیاز هر کاربر در هنگام ثبت نام ۱۰۰ است. تعداد گزارش‌هایی که کاربر در بازه‌های مشخصی می‌تواند ارسال کند با توجه به امتیاز مشخص می‌شود. برای مثال کاربری که ۱۰۰ امتیاز دارد، در هر ۲ روز می‌تواند ۲ گزارش ثبت کند. اگر امتیاز کاربر به ۲۰- برسد، تا یک ماه نمی‌تواند هیچ گزارشی ثبت کرده و پس از یک ماه می‌تواند ۱ گزارش در هر ۳۰ روز ثبت کند.
  • به خاطر داشته باشید که این اعداد ممکن است تغییر کنند. در صورت تغییر، امتیازهای قبلی نیز به روز خواهند شد

موارد زیر باعث تغییر امتیاز می‌شوند:

رخداد

میزان تغییر امتیاز

تشخیص گزارش به عنوان اسپم

۱۰-

تشخیص گزارش به عنوان تکراری

۵-

تشخیص گزارش به عنوان Resolved

۷+

دریافت جایزه از گزارش

حداقل ۱+ و حداکثر ۵۰+

در جدول زیر می‌توانید حداقل مقدار جایزه برای هر مقدار امتیاز را مشاهده کنید:

امتیاز

حداقل جایزه (تومان)

۱

۰

۵

۱ میلیون

۱۰

۳ میلیون

۱۵

۸ میلیون

۲۵

۱۵ میلیون

۵۰

۵۰ میلیون

خط خط خط خط خط خط