آسیبهای گزارششده
۱۰۰+
جایزهها تا الان
۸۰۰٬۰۰۰٬۰۰۰+ تومان
گزارشکنندهها
۱۶
جایزهها
مبلغ جایزهها بر اساس میزان اهمیت گزارش شما و طبق جدول زیر تعیین میشود
* جزئیات دقیقتر مقدار جوایز را در جدول قیمتگذاری ببینید.
حیاتی
تا* ۱٬۰۰۰٬۰۰۰٬۰۰۰ تومان
بحرانی
تا ۳۰۰٬۰۰۰٬۰۰۰ تومان
زیاد
تا ۹۰٬۰۰۰٬۰۰۰ تومان
متوسط
تا ۳۰٬۰۰۰٬۰۰۰ تومان
کم
تا ۱۰٬۰۰۰٬۰۰۰ تومان
قلمرو
اهمیت گزارشها بر اساس دامنهها و داراییهای زیر تعیین میشود
به گزارشهایی که در این قلمرو نباشد، جایزه تعلق نمیگیرد.
میزان اهمیت: بحرانی
grpc-api.divar.ir
زیردامنههای دیوار
میزان اهمیت: بحرانی
برنامه موبایل دیوار - نسخهٔ iOS
آخرین نسخهٔ برنامه iOS دیوار
میزان اهمیت: بحرانی
api.divar.ir
زیردامنههای دیوار
میزان اهمیت: بحرانی
mail.divar.ir
زیردامنههای دیوار
نمایش همهٔ قلمروها
میزان اهمیت: بحرانی
divar.ir
وبسایت دیوار
میزان اهمیت: بحرانی
برنامه موبایل دیوار - نسخهٔ اندروید
آخرین نسخه برنامه اندروید دیوار
میزان اهمیت: زیاد
git.divar.cloud
زیردامنههای دیوار
میزان اهمیت: زیاد
registry.divar.cloud
زیردامنههای دیوار
میزان اهمیت: زیاد
api.*.divar.cloud
زیردامنهٔ دیوار
میزان اهمیت: زیاد
api.*.divar.cloud
زیردامنهٔ دیوار
میزان اهمیت: زیاد
agahpardazan.ir.*
زیردامنهٔ دیوار
میزان اهمیت: متوسط
divar.dev.*
زیردامنهٔ دیوار
میزان اهمیت: متوسط
divar.cloud.*
تمامی زیردامنههای این دامنه به جز git.divar.cloud, registery.divar.cloud و api.*.divar.cloud
میزان اهمیت: متوسط
divar.io.*
زیردامنههای دیوار
میزان اهمیت: پایین
پنلهای بیزینسی
این پنل جزو دارایی با سطح پایین محسوب میشوند
میزان اهمیت: صفر
divar.news
این دامنه و تمام زیردامنههای آن خارج از اسکوپ قرار دارند.
جدول میزان تأثیر آسیبها
میزان تأثیر آسیبها بر اساس جدول زیر تعیین میشود.
درجهٔ تأثیر: حیاتی
- RCE on vital servers
- Mass Defacement
درجهٔ تأثیر: بحرانی
- Remote Command Execution
- SQL/NoSQL/Command Injection
- XML External Entity Injection
- Mass Account Takeover (without User Interaction)
- Sensitive Data Exposure for publicly accessible Services
- Unauthorized Access to Read and Write Sensitive Data of All Users
- Sensitive Data Exposure (All users) includes chat data
درجهٔ تأثیر: بالا
- Subdomain Takeover
- Unauthorized Access to Read and Write Sensitive Data of a User
- Unauthorized Access to Read and Write Part of Sensitive Data of all User
- Local File Inclusion
- Complete Source Code Disclosure of one of private products
- SSRF (Internal High Impact)
- Authentication Bypass
- Mass delete users accounts
- Vertical/Horizontal Privilege Escalation
- Sensitive Data Exposure (All users) except chat data
- Stored XSS (Non-Privileged User to Priviledge user)
درجهٔ تأثیر: متوسط
- Account Takeover by User Interaction
- Stored XSS without privieldge escalation
- Reflected XSS
- DOM based XSS
- Insecure Direct Object Reference
- Source Code Disclosure of divar's websites
- Partial Source Code Disclosure of one of private divar's products
- State Changing CSRF (Server Side Request Forgery) leads to higher impact like accessing files
- Mass User Enumeration
- Authorization Bypass
- Unauthorized Access to Read and Write Part of Sensitive Data of a User
- Server Side Request Forgery (without high impact)
- CRLF Injection
- Default credentials
- iframe Injection
- OAuth misusable misconfiguration
- Second Factor Authentication (2FA) Bypass
- Misusable misconfiguration of CAPTCHA implementation
- Session Fixation (Remote Attack Vector)
- DoS (High Impact and/or Medium Difficulty)
- Unauthorized Access to Services (API / Endpoints)
- Excessively Privileged User / DBA
- Delete a user Account
- Sensitive Data Exposure (Some users)
درجهٔ تأثیر: پایین
- Clickjacking(Sensitive Click-Based Action)
- Open Redirect(GET-Based)
- Clear-Text Password Submission (in HTTP)
- Non-State Changing Cross-Site Request Forgery
- SSRF (External)
- Information Disclosure through Errors
- Clickjacking(non-Sensitive Click-Based Action)
- Weak Registration Implementation(Over HTTP)
- SMS Bombar
درجهٔ تأثیر: Out of Scope
- Open Redirect (POST-Based)
- Self *
- Directory Listing Enabled(Non-Sensitive Data Exposure)
- Same-Site Scripting
- Missing Certification Authority Authorization (CAA) Record
- Unsafe File Upload
- Clickjacking (Non-Sensitive Action)
- Clickjacking (Form Input)
- Captcha brute force
- Exposed Admin Portal To Internet
- Missing DNSSEC
- Fingerprinting/Banner Disclosure
- Reflected File Download (RFD)
- Lack of Security Headers
- Http Parameter Pollution
- Session Fixation (Local Attack Vector)
- Concurrent Logins
- Token Leakage via Referer
- Crowdsourcing/OCR Captcha Bypass
- Lack of Verification/Notification Email
- Allows Disposable Email Addresses for Registration
- SSL Attack
- Public Admin Login Page
- Out of date libraries
- SSRF (DNS Query Only)
جدول قیمتگذاری
تیم داوری با بهرهگیری از جدول زیر، میزان آسیبپذیری داراییها را تعیین، و مبلغ جایزه را مشخص میکند.
اهمیت دارایی:
بحرانی
بالا
متوسط
کم
آسیبپذیری با درجهٔ تأثیر بحرانی
۹۰ - ۳۰۰
۶۰ - ۲۰۰
۴۰ - ۱۵۰
۲۰ - ۱۰۰
آسیبپذیری با درجهٔ تأثیر بالا
۲۵ - ۹۰
۱۵ - ۶۰
۷ - ۴۰
۴ - ۲۰
آسیبپذیری با درجهٔ تأثیر متوسط
۶ - ۲۵
۴ - ۱۵
۳ - ۷
۱ - ۴
آسیبپذیری با درجهٔ تأثیر پایین
۱ - ۶
۱ - ۴
۱ - ۳
۱ - ۱
کشف آسیبپذیریهایی که با نظر داواران «حیاتی» در نظر گرفته میشود، از ۵۰۰ میلیون تومان تا ۱ میلیارد تومان جایزه دارد.
تمام مبلغهای جدول بالا به میلیون تومان است.
مبلغ نهایی بر اساس اهمیت باگ (CVSS3) و هدف بررسیشده، با نظر داواران مشخص میشود.
منظور از دارایی با اهمیت کم، پنلهای بیزینسی است.
نکتهها
لطفاً پیش از ثبت آسیبپذیری به نکتههای زیر توجه کنید.
ما در دیوار، آن دسته از پژوهشگران امنیت را که با کشف و گزارش آسیبپذیری باعث بالارفتن سطح امنیت محصولات ما و کاربرانمان میشوند، به رسمیت میشناسیم و از همکاری آنها استقبال میکنیم. اگر متوجه ایراد امنیتی یا آسیبپذیری در دیوار شدهاید، میتوانید با گزارش آن در چارچوب این برنامه، تا یک میلیارد تومان جایزه دریافت کنید. اگر میخواهید در این برنامه مشارکت کنید، لازم است ابتدا اطلاعات موجود در این سایت را در مورد خط مشی افشای مسئولانه، قلمرو، فرآیند و توصیهها به دقت مطالعه کنید.
- نکات مهم
- جوایز نقدی فقط مربوط به قلمرو تعیین شده است و موارد خارج از قلمرو به هیچوجه شامل جایزه نقدی نمیشود.
- آسیبپذیری بدون کد اکسپلویت و سناریوی حمله، مشمول جایزه نمیشود.
- به یک آسیبپذیری مشابه در دو یا چند دامین متفاوت تنها یک جایزه تعلق میگیرد.
- داوری دربارهٔ شدت خطر و حساسیت اطلاعات نشتکرده با کارشناسان مرتبط است.
- توجه داشته باشید که انتشار گزارش راجع به آسیبپذیری تنها با هماهنگی و تأیید ممکن است.
- زیردامنههایی که توسط سرویسهای دیگر میزبانی میشوند و یا نمونههایی که صرفاً برای دیباگ و موارد مشابه استفاده میشود، در قلمرو این برنامه قرار ندارد.
- تزریقهای CSV
- آسیبپذیری Open Redirect داخلی
- حملات مهندسی اجتماعی و Phishing، حملههای فیزیکی، Spamming
- حملات DoS و DDoS
- Brute Forcing Accounts
- Homographs یا حملات مشابه
- عدم اعمال ملاحظات امنیتی برروی Cookie
- Lack of or weak Captcha.
- Clickjacking with no sensitive actions.
- عدم رعایت Best Practice های امنیتی، بدون اکسپلویت
- آسیبپذیریهایی که تعامل بسیار خاص با کاربر نیاز دارد
- آسیبپذیریهای مربوط به مرورگرهای قدیمی
- Self XSS
- نرمافزارها و سامانههای third-party در صورتی که امکان دسترسی و وصلهٔ باگ گزارششده وجود نداشته باشد، خارج از اسکوپ در نظر گرفته میشوند.
- آسیبپذیریهای گزارششده توسط اسکنرها و سایر ابزارهای اتوماتیک بدون اکسپلویت
- گزارش پایین بودن ورژن کتابخانهها و نرمافزارهای بهکاررفته بدون اکسپلویت
- آسیبپذیریهای مربوط به نشت اطلاعات سرور و پیکربندی نادرست بدون اکسپلویت
- آسیبپذیریهای مرتبط با Rate limit و User Enumeration تا زمانی که منجر به آسیبپذیری با میزان اهمیت بالاتر نشوند، خارج از محدوده قرار میگیرند و جایزهای نمیبرند.
- Reflected File Download
- Clickjacking
- عدم رعایت Security Headers
- در هر گزارش صرفاً یک آسیبپذیری را شرح دهید و از ارسال آسیبپذیریهای متعدد در یک گزارش پرهیز کنید.
- آسیبپذیری را به دقت و با جزئیات شرح دهید تا داوران بتوانند سریعتر باگ را شناسایی و به آن رسیدگی کنند.
- مراحل دقیق بازتولید آسیبپذیری را در گزارش خود توضیح دهید.
- حتماً سناریویی برای حمله در گزارشتان بیاورید تا اهمیت و نحوهٔ استفاده از باگ روشن شود.
- در گزارش خود، اثبات آسیبپذیری (PoC) و نحوهٔ اکسپلویت آن را بیاورید، و در صورت امکان آن را با ارسال ویدیو انجام بدهید.
- در صورتی که در حملهٔ خود از ابزار payload و یا کد بخصوصی استفاده کردهاید، آن را به گزارشتان پیوست کنید.
- نسخهٔ مرورگر و سیستمعامل استفادهشده را در گزارش بنویسید.
- این راهنما برای آشنایی با نحوهٔ امتیازدهی در بانتی ستون ایجاد شده است. امتیاز هر کاربر در هنگام ثبت نام ۱۰۰ است. تعداد گزارشهایی که کاربر در بازههای مشخصی میتواند ارسال کند با توجه به امتیاز مشخص میشود. برای مثال کاربری که ۱۰۰ امتیاز دارد، در هر ۲ روز میتواند ۲ گزارش ثبت کند. اگر امتیاز کاربر به ۲۰- برسد، تا یک ماه نمیتواند هیچ گزارشی ثبت کرده و پس از یک ماه میتواند ۱ گزارش در هر ۳۰ روز ثبت کند.
- به خاطر داشته باشید که این اعداد ممکن است تغییر کنند. در صورت تغییر، امتیازهای قبلی نیز به روز خواهند شد
موارد زیر باعث تغییر امتیاز میشوند:
رخداد
میزان تغییر امتیاز
تشخیص گزارش به عنوان اسپم
۱۰-
تشخیص گزارش به عنوان تکراری
۵-
تشخیص گزارش به عنوان Resolved
۷+
دریافت جایزه از گزارش
حداقل ۱+ و حداکثر ۵۰+
در جدول زیر میتوانید حداقل مقدار جایزه برای هر مقدار امتیاز را مشاهده کنید:
امتیاز
حداقل جایزه (تومان)
۱
۰
۵
۱ میلیون
۱۰
۳ میلیون
۱۵
۸ میلیون
۲۵
۱۵ میلیون
۵۰
۵۰ میلیون