با تیم امنیت ابر دراک همراه شو!
ما در تیم امنیت ابر دراک معتقدیم که همکاری نزدیک با متخصصان تست نفوذ به امنیت بیشتر کاربران و در نتیجه پاکسازی فضای اینترنت و شبکه کمک میکند. اگر متخصص امنیت هستید یا بهتازگی کار تحقیق در این حوزه را شروع کردهاید، مشتاق دریافت گزارشهای شما مبنی بر آسیبپذیریهای سرویسهای ابر دراک هستیم. به آسیبپذیریهای امنیتی گزارششده توسط شما عزیزان، مطابق با قوانین ابر دراک تا ۱۰ میلیون تومان پاداش نقدی تعلق میگیرد.
شکارتان را آغاز کنید!
۱. قوانین باگ بانتی؛ شرط ارسال گزارش و دریافت پاداش
اگر به کشف باگها و آسیبپذیریهای امنیتی محصولات و خدمات ابر دراک علاقه دارید، همین حالا شکارتان را آغاز کنید. برای ارسال گزارش باگهای امنیتی ابر دراک مراحل زیر را با دقت طی کنید
درصورتیکه یک آسیبپذیری امنیتی یا نقض حریم خصوصی در سرویسهای ابر دراک کشف کردهاید، لطفا آن را بهطور مستقیم با ما در میان بگذارید. ما کلیه گزارشهای واجد شرایط را بررسی میکنیم و چنانچه تابع قوانین ابر دراک در باگ بانتی باشند، پاداشهای نقدی به شما تقدیم میکنیم. برای آگاهی از قوانین باگ بانتی ابر دراک، موارد زیر را با دقت بیشتری مطالعه کنید:
حریم خصوصی کاربران و افراد باید بهطور کامل رعایت شود.
لازم است از یک آدرس IP مشخص برای تستها استفاده شود و این آدرس در گزارش ذکر گردد.
تمامی اقدامات و دسترسیهای انجامشده در طول ارزیابی باید در گزارش ثبت شوند.
بارگذاری نمونهها یا شواهد آسیبپذیریها در سرویسهای اشتراکگذاری عمومی مانند YouTube، Imgur و موارد مشابه مجاز نیست.
در صورت عدم پاسخ از سوی هکر کلاه سفید، گزارش پس از گذشت هفت روز کاری غیرفعال خواهد شد.
آسیبپذیریهای گزارششده باید تأثیر قابلتوجهی بر دادهها، سیستمها یا کاربران ابر دراک داشته باشند.
ممکن است آسیبپذیری قبل از گزارش شما توسط فرد دیگری ارسال شده باشد که در این صورت پاداشی تعلق نخواهد گرفت.
هر آسیبپذیری باید بهطور مستقل بررسی شود و نباید از دادهها یا دسترسیهای بهدستآمده از یک ضعف امنیتی برای تست سایر آسیبپذیریها استفاده شود.
بررسی آسیبپذیریها نباید با حساب کاربری افراد دیگر انجام شود.
هرگونه اطلاعات حساس یا محرمانه باید محفوظ بماند و پس از دریافت پاداش، نگهداری آنها ممنوع است.
باید از ایجاد اختلال یا آسیب در سرویسها و سامانههای ابر دراک خودداری شود.
۲. در جستوجوی باگها و آسیبپذیریها
باگ بانتی فرصتی برای شما متخصصان حوزه امنیت و تست نفوذ است که میتوانید دانش، تجربه و مهارتتان را در این زمینه نشان دهید. پس جستوجوی خود را در سرویسهای ابر دراک آغاز کنید و از میان آسیبپذیریهای قابل قبول بهدنبال کشف یک یا چند مورد باشید.
آسیب پذیریها
SQL Injection
Critical
XSS (Cross-Site Scripting)
HIgh
Authentication Bypass
Critical
Privilege Escalation
Critical
CSRF (Cross-Site Request Forgery)
Medium
IDOR (Insecure Direct Object Reference)
High
Clickjacking
Medium
RCE (Remote Code Execution) On VM
Critical
Directory Traversal
High
LFI / RFI (Local/Remote File Inclusion)
High
Security Misconfiguration
Medium
Exposure of Sensitive Data
High
Broken Access Control
Critical
Subdomain Takeover
High
Rate Limiting Bypass / Brute Force
Medium
Vulnerable 3rd-Party Libraries
Low
دامنهها
derak.cloud
api.derak.cloud
app.derak.cloud
محدودهی IPها
تا ۱۰ میلیون تومان جایزه برای هکرهای کلاهسفید، قهرمانان دنیای دیجیتال
با کشف آسیبپذیریها، نقش مهمی در ارتقای امنیت ایفا کنید
۳. ارائه نتایج شکار در قالب یک گزارش جامع
نحوه ارائه گزارش کشف آسیبپذیری در قضاوت داوران تاثیر چشمگیری دارد. گزارش ارسالشده باید در قالب چارچوب مورد تایید ابر دراک باشد و با شفافیت کامل درباره آسیبپذیری مورد نظرتان نوشته شده باشد. گزارش آسیبپذیری را با توجه به موارد زیر بررسی و ارسال کنید:
- در هر گزارش، صرفاً باید یک آسیبپذیری مشخص ارائه و تشریح شود.
- آسیبپذیری مورد نظر باید بهصورت کامل توضیح داده شود و ارزیابی دقیقی از شدت و میزان ریسک احتمالی آن ارائه گردد.
- تمامی مراحل لازم برای بازسازی یا تکرار آسیبپذیری باید بهصورت مرحلهبهمرحله و شفاف در حداقل ۵ فایل تصویری یا یک ویدیو مناسب توضیح داده شود.
- نمونهها و شواهد مرتبط با آسیبپذیری، به همراه ابزارهای مورد نیاز، میبایست بهطور کامل ارائه شوند.
- در صورتی که برای شبیهسازی حمله نیاز به تنظیمات ویژهای باشد، این موارد نیز باید بهطور دقیق ذکر شوند.
۴. در انتظار نظر داوران و دریافت پاداش نقدی
سطح اهمیت | توضیح | میران پاداش |
|---|---|---|
Critical (بحرانی) | باگهایی که منجر به دسترسی کامل به سیستم، افشای دادههای حساس یا اجرای کد از راه دور میشوند. | ۱۰ میلون تومان و بالاتر |
High (زیاد) | آسیبپذیریهایی که امکان دسترسی به دادهها یا عملیات حساس را بدون مجوز میدهند. | تا ۶ میلیون تومان |
Medium (متوسط) | باگهایی که میتوانند به حملات غیرمستقیم یا سوءاستفاده محدود منجر شوند. | تا ۳ میلیون تومان |
Low (کم) | مشکلاتی با تاثیر محدود که تهدید امنیتی مستقیم ندارند اما ممکن است زمینهساز حملات دیگر شوند. | ۱ میلیون تومان |
چه گزارشهایی در این برنامه پذیرفته نمیشوند؟
ما تنها گزارشهایی را بررسی میکنیم که تأثیر واقعی و قابلتوجهی بر امنیت سیستمها یا دادهها داشته باشند. بنابراین موارد زیر خارج از محدوده برنامه بوده و هیچگونه پاداشی برای آنها در نظر گرفته نمیشود:
ایرادهای ظاهری یا مشکلات غیرامنیتی
از جمله اشکالات گرافیکی، ایرادات نگارشی یا باگهای جزئی که خطری ایجاد نمیکنند.آسیبپذیریهای تکراری یا پیشتر برطرفشده
اگر یک آسیبپذیری پیشتر توسط فرد دیگری گزارش شده باشد یا اصلاح شده باشد، مشمول پاداش نخواهد بود.حملات DoS یا ایجاد اختلال عمدی در سرویسها
تستهایی که باعث توقف سرویسها یا کندی عملکرد آنها میشوند، مجاز نیستند.گزارشهای ناقص یا غیرقابل بازتولید
گزارشهایی که فاقد جزئیات کافی باشند یا امکان بازتولید مشکل با روش ارائهشده وجود نداشته باشد، پذیرفته نخواهند شد.مشکلات ناشی از تنظیمات یا مرورگر کاربر
مانند هشدارهای امنیتی مربوط به افزونهها یا پیکربندی نادرست مرورگر.حملات مهندسی اجتماعی (Social Engineering)
تلاش برای فریب کاربران یا کارکنان بهمنظور دستیابی به اطلاعات محرمانه در این برنامه جایگاهی ندارد.آسیبپذیریهای نیازمند دسترسی فیزیکی
ضعفهایی که تنها با دسترسی مستقیم به دستگاه یا سرور قابل بهرهبرداری هستند، از محدوده این برنامه خارجاند.
قهرمان امنیت دراک باش!
برنامه باگ بانتی فرصتی است برای هکرهای کلاه سفید و علاقهمندان به امنیت سایبری تا با پیدا کردن آسیبپذیریها، نه تنها به ما در افزایش امنیت سیستمها کمک کنند، بلکه با دریافت پاداش شایسته، تلاش خود را ارزشمند کنند. ما باور داریم که امنیت واقعی با همکاری متخصصان و جامعه کاربری ممکن میشود.
