باگ جوی دیوار شو

باگ‌های دیوار رو گزارش کن و جایزه بگیر:)

قبل از ثبت آسیب‌پذیری حتما کل محتوای این صفحه را مطالعه کنید

آسیب‌های گزارش‌شده

۱۰۰+

جایزه‌ها تا الان

۸۰۰٬۰۰۰٬۰۰۰+ تومان

گزارش‌کننده‌ها

۱۶

جایزه‌ها

مبلغ جایزه‌ها بر اساس میزان اهمیت گزارش شما و طبق جدول زیر تعیین می‌شود

* جزئیات دقیق‌تر مقدار جوایز را در جدول قیمت‌گذاری ببینید.

حیاتی

تا* ۱٬۰۰۰٬۰۰۰٬۰۰۰ تومان

بحرانی

تا ۳۰۰٬۰۰۰٬۰۰۰ تومان

زیاد

تا ۹۰٬۰۰۰٬۰۰۰ تومان

متوسط

تا ۳۰٬۰۰۰٬۰۰۰ تومان

کم

تا ۱۰٬۰۰۰٬۰۰۰ تومان

قلمرو

اهمیت گزارش‌ها بر اساس دامنه‌ها و دارایی‌های زیر تعیین می‌شود
به گزارش‌هایی که در این قلمرو نباشد، جایزه تعلق نمی‌گیرد.

میزان اهمیت: بحرانی

grpc-api.divar.ir

زیردامنه‌های دیوار

میزان اهمیت: بحرانی

برنامه موبایل دیوار - نسخهٔ iOS

آخرین نسخهٔ برنامه iOS دیوار

میزان اهمیت: بحرانی

api.divar.ir

زیردامنه‌های دیوار

میزان اهمیت: زیاد

api.*.divar.cloud

زیردامنهٔ دیوار

نمایش همهٔ قلمروها

میزان اهمیت: زیاد

api.*.divar.cloud

زیردامنهٔ دیوار

میزان اهمیت: زیاد

*.agahpardazan.ir

زیردامنهٔ دیوار

میزان اهمیت: متوسط

*.agahpardazan.ir

زیردامنهٔ دیوار

میزان اهمیت: بحرانی

mail.divar.ir

زیردامنه‌های دیوار

میزان اهمیت: بحرانی

divar.ir

وب‌سایت دیوار

میزان اهمیت: بحرانی

برنامه موبایل دیوار - نسخهٔ اندروید

آخرین نسخه برنامه اندروید دیوار

میزان اهمیت: زیاد

registry.divar.cloud

زیردامنه‌های دیوار

میزان اهمیت: زیاد

git.divar.cloud

زیردامنه‌های دیوار

میزان اهمیت: متوسط

*.divar.cloud

تمامی زیردامنه‌های این دامنه به جز git.divar.cloud, registery.divar.cloud و api.*.divar.cloud

میزان اهمیت: متوسط

*.divar.io

زیردامنه‌های دیوار

جدول میزان تأثیر آسیب‌ها

میزان تأثیر آسیب‌‌ها بر اساس جدول زیر تعیین می‌شود.

درجهٔ تأثیر: حیاتی

  • Remote Code Execution (RCE) on vital servers
  • دسترسی به حساب کاربران به صورت عمده
  • دسترسی به اطلاعات کاربران به صورت عمده (به استثنای پنل‌های بیزنسی شامل املاک، نمایشگاه (خودرو)، فروشگاه، خدمات و استخدام)

درجهٔ تأثیر: بحرانی

  • Unauthorized Access to Read and Write Sensitive Data of All Users (Remote Command Execution) Except on Ephemeral Servers
  • SQL/NoSQL/XML Injection Privilege Escalation to System Account
  • Mass Account Takeover (Without User Interaction)
  • Subdomain Takeover
  • دسترسی به حساب‌های مدیریتی

درجهٔ تأثیر: بالا

  • دستیابی به اطلاعاتی از آگهی‌ها که به صورت عمومی در دسترس نیست
  • دسترسی به چت سایر کاربران
  • Unauthorized Access to Read & Write Sensitive Data of a User (CRLF Injection leads to higher impact) like header/cookie injection Unauthorized Access to Read & Write Part of Sensitive Data of All Users
  • Vertical/Horizontal Privilege Escalation Insecure Direct Object Reference Authorization/Authentication BypassLocal File Inclusion Source Code Disclosure
  • Account Takeover by User Interaction
  • State Changing CSRF (Server Side Request Forgery) leads to higher impact like accessing files
  • Sensitive Data Exposure
  • Stored XSS Reflected XSS

درجهٔ تأثیر: متوسط

  • Server Side Request Forgery
  • CRLF Injection
  • پیدا کردن باگ در پنل‌های بیزینسی شامل: املاک، نمایشگاه (خودرو)، فروشگاه، خدمات و استخدام

درجهٔ تأثیر: پایین

  • Open Redirect (Clear-Text Password Submission in HTTP)
  • Non-State Changing Cross-Site Request Forgery
  • Software Version Disclosure Information Disclosure through Errors

جدول قیمت‌گذاری

تیم داوری با بهره‌گیری از جدول زیر، میزان آسیب‌پذیری دارایی‌ها را تعیین، و مبلغ جایزه را مشخص می‌کند.

دارایی با اهمیت

بحرانی

دارایی با اهمیت

زیاد

دارایی با اهمیت

متوسط

آسیب‌پذیری با درجهٔ تأثیر بحرانی

۹۰ - ۳۰۰

۷۵ - ۲۵۰

۵۰ - ۲۰۰

آسیب‌پذیری با درجهٔ تأثیر بالا

۳۰ - ۹۰

۲۵ - ۷۵

۱۵ - ۵۰

آسیب‌پذیری با درجهٔ تأثیر متوسط

۱۰ - ۳۰

۱۰ - ۲۵

۵ - ۱۵

آسیب‌پذیری با درجهٔ تأثیر پایین

۱ - ۱۰

۱ - ۱۰

۵ - ۱

کشف آسیب‌پذیری‌هایی که با نظر داواران «حیاتی» در نظر گرفته می‌شود، از ۵۰۰ میلیون تومان تا ۱ میلیارد تومان جایزه دارد.

تمام مبلغ‌های جدول بالا به میلیون تومان است.

مبلغ نهایی بر اساس اهمیت باگ (CVSS3) و هدف بررسی‌شده، با نظر داواران مشخص می‌شود.

نکته‌ها

لطفاً پیش از ثبت آسیب‌پذیری به نکته‌های زیر توجه کنید.

ما در دیوار، آن دسته از پژوهشگران امنیت را که با کشف و گزارش آسیب‌پذیری باعث بالارفتن سطح امنیت محصولات ما و کاربرانمان می‌شوند، به رسمیت می‌شناسیم و از همکاری آن‌ها استقبال می‌کنیم. اگر متوجه ایراد امنیتی یا آسیب‌پذیری در دیوار شده‌اید، می‌توانید با گزارش آن در چارچوب این برنامه، ‌تا یک میلیارد تومانت جایزه دریافت کنید. اگر می‌خواهید در این برنامه مشارکت کنید، لازم است ابتدا اطلاعات موجود در این سایت را در مورد خط مشی افشای مسئولانه، قلمرو، فرآیند و توصیه‌ها به دقت مطالعه کنید.

    نکات مهم
  • جوایز نقدی فقط مربوط به قلمرو تعیین شده است و موارد خارج از قلمرو به هیچ‌وجه شامل جایزه نقدی نمی‌شود.
  • آسیب‌پذیری بدون کد اکسپلویت و سناریوی حمله، مشمول جایزه نمی‌شود.
  • به یک آسیب‌پذیری مشابه در دو یا چند دامین متفاوت تنها یک جایزه تعلق می‌گیرد.
  • داوری دربارهٔ شدت خطر و حساسیت اطلاعات نشت‌کرده با کارشناسان مرتبط است.
  • توجه داشته باشید که انتشار گزارش راجع به آسیب‌پذیری تنها با هماهنگی و تأیید ممکن است.
  • زیردامنه‌هایی که توسط سرویس‌های دیگر میزبانی می‌شوند و یا نمونه‌هایی که صرفاً برای دیباگ و موارد مشابه استفاده می‌شود، در قلمرو این برنامه قرار ندارد.
  • تزریق‌های CSV
  • آسیب‌پذیری Open Redirect داخلی
  • حملات مهندسی اجتماعی و Phishing، حمله‌های فیزیکی، Spamming
  • حملات DoS و DDoS
  • Brute Forcing Accounts
  • Homographs یا حملات مشابه
  • عدم اعمال ملاحظات امنیتی برروی Cookie
  • Lack of or weak Captcha.
  • Clickjacking with no sensitive actions.
  • عدم رعایت Best Practice های امنیتی، بدون اکسپلویت
  • آسیب‌پذیری‌هایی که تعامل بسیار خاص با کاربر نیاز دارد
  • آسیب‌پذیری‌های مربوط به مرورگرهای قدیمی
  • Self XSS
  • نرم‌افزارها و سامانه‌های third-party در صورتی که امکان دسترسی و وصلهٔ باگ گزارش‌شده وجود نداشته باشد، خارج از اسکوپ در نظر گرفته می‌شوند.
  • آسیب‌پذیری‌های گزارش‌شده توسط اسکنرها و سایر ابزارهای اتوماتیک بدون اکسپلویت
  • گزارش پایین بودن ورژن کتابخانه‌ها و نرم‌افزارهای به‌کار‌رفته بدون اکسپلویت
  • آسیب‌پذیری‌های مربوط به نشت اطلاعات سرور و پیکربندی نادرست بدون اکسپلویت
  • آسیب‌پذیری‌های مرتبط با Rate limit و User Enumeration تا زمانی که منجر به آسیب‌پذیری با میزان اهمیت بالاتر نشوند، خارج از محدوده قرار می‌گیرند و جایزه‌ای نمی‌برند.
  • Reflected File Download
  • Clickjacking
  • عدم رعایت Security Headers
  • در هر گزارش صرفاً یک آسیب‌پذیری را شرح دهید و از ارسال آسیب‌پذیری‌های متعدد در یک گزارش پرهیز کنید.
  • آسیب‌پذیری را به دقت و با جزئیات شرح دهید تا داوران بتوانند سریع‌تر باگ را شناسایی و به آن رسیدگی کنند.
  • مراحل دقیق بازتولید آسیب‌پذیری را در گزارش خود توضیح دهید.
  • حتماً سناریویی برای حمله در گزارشتان بیاورید تا اهمیت و نحوهٔ استفاده از باگ روشن شود.
  • در گزارش خود، اثبات آسیب‌پذیری (PoC) و نحوهٔ اکسپلویت آن را بیاورید، و در صورت امکان آن را با ارسال ویدیو انجام بدهید.
  • در صورتی که در حملهٔ خود از ابزار payload و یا کد بخصوصی استفاده کرده‌اید، آن را به گزارشتان پیوست کنید.
  • نسخهٔ مرورگر و سیستم‌عامل استفاده‌شده را در گزارش بنویسید.
  • این راهنما برای آشنایی با نحوهٔ امتیازدهی در بانتی ستون ایجاد شده است. امتیاز هر کاربر در هنگام ثبت نام ۱۰۰ است. تعداد گزارش‌هایی که کاربر در بازه‌های مشخصی می‌تواند ارسال کند با توجه به امتیاز مشخص می‌شود. برای مثال کاربری که ۱۰۰ امتیاز دارد، در هر ۲ روز می‌تواند ۲ گزارش ثبت کند. اگر امتیاز کاربر به ۲۰- برسد، تا یک ماه نمی‌تواند هیچ گزارشی ثبت کرده و پس از یک ماه می‌تواند ۱ گزارش در هر ۳۰ روز ثبت کند.
  • به خاطر داشته باشید که این اعداد ممکن است تغییر کنند. در صورت تغییر، امتیازهای قبلی نیز به روز خواهند شد

موارد زیر باعث تغییر امتیاز می‌شوند:

رخداد

میزان تغییر امتیاز

تشخیص گزارش به عنوان اسپم

-۱۰

تشخیص گزارش به عنوان تکراری

تشخیص گزارش به عنوان Resolved

دریافت جایزه از گزارش

حداقل ۱+ و حداکثر ۵۰+ (با توجه به اهمیت باگ)

در جدول زیر می‌توانید حداقل مقدار جایزه برای هر مقدار امتیاز را مشاهده کنید:

امتیاز

حداقل جایزه (تومان)

۱

۰

۵

۱ میلیون

۱۰

۳ میلیون

۱۵

۸ میلیون

۲۵

۱۵ میلیون

۵۰

۵۰ میلیون