چالش باگ بانتی آیان

آیان با راه‌اندازی چالش باگ بانتی، شما را به همکاری و همدلی برای شناسایی آسیب‌پذیری‌هایش دعوت می‌کند. اگر علاقه‌مند به کشف یا حل باگ در سایت‌ها و اپلیکیشن‌ها هستید، حتما گزارش‌هایتان را طبق قوانین و مقررات این صفحه، برایمان ارسال کنید تا علاوه‌بر کمک به بهبود و توسعه زیرساخت‌های ما، پاداش دریافت کنید.

ارسال گزارش

پاداش باگ‌‌ بانتی آیان!

Vital
تا ۱٬۵۰۰٬۰۰۰٬۰۰۰ ریال جایزه
پاداش باگ بانتی آیان ۴ سطح دارد که این سطوح بر اساس استاندارد CVSS مشخص شده است. پاداش شما پس از قبول و بررسی از سوی تیم ما، مشخص و پرداخت می‌شود.
نکته: فرآیند پاسخگویی به گزارش شما، ممکن است تا ۱۵ روز کاری زمان ببرد؛ همچنین در صورت تایید گزارش از سوی تیم امنیت آیان، واریز جایزه تا ۵ روز کاری انجام خواهد شد.

Critical

تا 250,000,000 ریال جایزه

High

تا 150,000,000 ریال جایزه

Medium

تا 50,000,000 ریال جایزه

محدوده چالش باگ بانتی

قبضینو

  • اپلیکیشن Android قبضینو
  • اپلیکیشن iOS قبضینو
  • ghabzino.com

پیشخوان 24

  • اپلیکیشن Android پیشخوان 24
  • pishkhan24.com

خلافی دات آی آر

  • khalafi.ir

پنل قبضینو سازمانی

  • organization.ghabzino.com

پنل وب‌سرویس قبضینو

  • api.ghabzino.com

پنل درآمدزایی قبضینو

  • counter.ghabzino.com

آسیب پذیری‌های قابل قبول

Business Logic
Server-Side Request Forgery (SSRF)
XML External Entity (XXE)
SQL Injection
Insecure Direct Object References (IDOR)
Authorization Flaws
Server-Side Code Execution
Data Leakage
sms bombing
Authentication Flaws

آسیب پذیری‌های غیر قابل قبول

  • Password complexity
  • Username / email enumeration
  • Disclosure of JavaScript API keys (e.g. API key for map service)
  • CSRF and CORS misconfiguration with no security impact
  • Missing secure flag in Cookie
  • Missing secure HTTP headers
  • Disclosure of server or software version numbers
  • Reports extracted from vulnerability scans
  • Clickjacking
  • Brute-force
  • Self XSS
  • Missing best practices in SSL/TLS configuration
  • DOS and DDOS (Application and Network)
  • Social Engineering
  • Lack of SPF/DKIM/DMARC implementation
  • Cross-Site Scripting (XSS)

قوانین و مقررات چالش

شرکت‌کنندگان چالش باگ بانتی آیان، باید قوانین و مقررات این صفحه را رعایت کنند تا گزارش آنها قابل قبول باشد و بررسی شود. این قوانین و مقررات در ادامه شرح داده شده است:

  • حفظ اطلاعات به‌دست‌آمده از فرآیند شناسایی باگ، در تمام مراحل شرکت در چالش حتی پس از آن، واجب و لازم است. در صورت افشاء، تغییر، سرقت یا نابودی اطلاعات، مسئولیت تمام و کمال تبعات پیش‌آمده با گزارش‌دهنده باگ است.
  • اگر باگ گزارش‌شده، پیش از این، از سوی اشخاص دیگر شناسایی شده باشد، جایزه‌ای به گزارش تکراری تعلق نمی‌گیرد.
  • باگ شناسایی‌شده باید در محدوده چالش باگ بانتی آیان قرار داشته باشد. گزارش‌های خارج از محدوده چالش، مشمول پاداش نخواهد بود.
  • اگر یک باگ در چند محدوده از چالش باگ بانتی آیان شناسایی شود، تنها یک پاداش به گزارش‌دهنده آن تعلق می‌گیرد.
  • هرگونه ایجاد اختلال در سایت‌ها و اپلیکیشن‌های محدوده چالش آیان از سوی گزارش‌دهنده باگ ممنوع است.
  • درج پیلود (کد، اسکریپت و ...) استفاده‌شده برای شناسایی باگ، در گزارش لازم و واجب است.
  • باگ شناسایی‌شده باید اثبات‌شونده و تکرارپذیر باشد تا مشمول پاداش شود.
  • معیار سنجش باگ برای تخصیص پاداش، استاندارد CVSS است.

گزارش شما...

  • گزارش شما باید به‌صورت کتبی و ویدیویی، قدم به قدم، شرح و بسط داده شود تا امکان تست را برای تیم ما فراهم کند.
  • گزارش شما باید شامل یک باگ باشد. اگر چند باگ را شناسایی کرده‌اید، لطفا آنها را به‌صورت مجزا و جداگانه ارسال کنید.
  • گزارش شما باید به آدرس ایمیل آیان که در ادامه آمده است، ارسال شود. حتما توجه داشته باشید که فرم تکمیل‌شده باگ بانتی را همراه با گزارش خود، ارسال کنید.
دانلود فرم