لوگو آقای معتمد
ازکی
لوگو آقای معتمد
ازکی

برنامه باگ بانتی ازکی

تیم امنیت ازکی با راه اندازی برنامه باگ بانتی تمام متخصصین تست نفوذ را به چالش این برنامه دعوت می کند.

اگر علاقه مند به کشف باگ های امنیتی اپلیکیشن ها و سامانه های ازکی هستید ما را از وجود آسیب‌پذیری ها آگاه کنید.

به آسیب پذیری های کشف شده پس از بررسی در تیم امنیت ازکی بر اساس قوانین ذکر شده در بخش پایین، پاداش نقدی اختصاص داده می شود.

lamp

شرایط و قوانین

  • حریم خصوصی تمام کاربران ازکی رعایت شود. از افشاء، تغییر، سرقت و نابودی اطلاعات جدا جلوگیری شود.

  • فرآیند تست را تنها با اکانت ازکی و شماره همراه متعلق به خودتان انجام دهید.

  • بدون رضایت تیم امنیت ازکی آسیب پذیری کشف شده نباید افشاء شود.

  • قبل از شروع تست با بررسی بخش محدوده برنامه از قرار گرفتن دامنه در حوزه باگ بانتی اطمینان حاصل فرمایید.

  • به یک آسیب پذیری مشابه در دو یا چند دامین متفاوت تنها یک بانتی تعلق می گیرد.

  • از استفاده اسکنرهای آسیب پذیری و ابزارهای خودکارسازی که باعث ارسال درخواست های زیاد به سمت زیرساخت های ازکی می شود جدا خودداری فرمایید.

  • از هرگونه انجام تست که در فرآیند کسب و کار ازکی خلل ایجاد می کند خودداری فرمایید.

  • آسیب پذیری های ارائه شده باید قابلیت بهره برداری داشته باشند و نحوه بهره برداری باید در گزارش به صورت PoC ارائه شود، در غیر اینصورت به گزارش جایزه ای تعلق نمی گیرد.

مصادیق آسیب پذیری

Remote Code Execution (RCE)
Unauthorized Access
Privilege Escalation
SQL Injection
CRLF Injection
Remote/Local File Inclusion
Cross-site scripting (XSS)
Server-side request forgery (SSRF)
Information Disclosure
Source Code Disclosure
Business Logic
Account Takeover

آسیب‌پذیری‌های خارج از محدوده

  • تزریق‌های CSV

  • آسیب‌پذیری Open Redirect داخلی

  • آسیب‌پذیری Rate limit (sms bombing, email sending, etc...)

  • آسیب‌پذیری User enumeration

  • حملات مهندسی اجتماعی و Phishing

  • حملات DoS و DDoS

  • Brute Forcing accounts

  • Homographs یا حملات مشابه

  • عدم اعمال ملاحظات امنیتی برروی cookie

  • Lack of or weak Captcha

  • Spamming, Clickjacking on with no sensitive actions

  • عدم رعایت Best Practice های امنیتی، بدون اکسپلویت

  • آسیب‌پذیری‌هایی که تعامل بسیار خاص با کاربر نیاز دارد

  • آسیب‌پذیری‌های مربوط به مرورگرهای قدیمی

  • Self XSS

  • صفحات ادمین قابل دسترس بدون نفوذ

  • نرم‌افزارها و سامانه های third-party در صورتی که امکان دسترسی و وصله باگ گزارش شده وجود نداشته باشد خارج از اسکوپ در نظر گرفته می شوند.

  • آسیب‌پذیری‌های گزارش شده توسط اسکنرها و سایر ابزارهای اتوماتیک بدون اکسپلویت

  • گزارش پایین بودن ورژن کتابخانه ها و نرم‌افزارهای به کار رفته بدون اکسپلویت

  • آسیب‌پذیری های مربوط به نشت اطلاعات سرور و پیکربندی نادرست بدون اکسپلویت

  • حمله‌های فیزیکی

  • Reflected File Download

  • Clickjacking

  • عدم رعایت Security Headers

template

قالب گزارش

  • گزارش ارسال شده باید با جزئیات کامل آسیب‌پذیری را توضیح دهد و نحوه بهره‌برداری از باگ به صورت مرحله به مرحله همراه با شواهد کافی توضیح داده شود.

  • توضیحات باید به گونه ای بیان شده باشد که امکان بهره‌برداری دوباره از آسیب‌پذیری وجود داشته باشد.

  • ارسال ویدیو به تنهایی مورد قبول نیست و ارسال گزارش مکتوب الزامی است.

  • گزارش های خود را به ایمیل bugbounty@azki.com ارسال کنید.

مراحل

  1. کشف آسیب‌پذیری و گزارش

  2. بررسی تیم داوری

  3. رفع آسیب‌پذیری

  4. پرداخت پاداش

انواع آسیب‌پذیری

آسیب‌پذیرینوع
Remote Code Execution (RCE)بحرانی
Unauthorized Accessبحرانی
Privilege Escalationبحرانی
SQL Injectionخطرناک
CRLF Injectionخطرناک
Remote/Local File Inclusionخطرناک
Cross-site scripting (XSS)خطرناک
Server-side request forgery (SSRF)خطرناک
Information Disclosureمتوسط
Source Code Disclosureخطرناک
Business Logicمتوسط
Account Takeoverخطرناک

پاداش

پس از تایید آسیب‌پذیری، پاداش نقدی بر اساس سطح آسیب‌پذیری و استاندار CVSS پرداخت خواهد شد.

ازکی‌ کلابمتوسط

5,000,000 تومان

ازکی‌ کلابخطرناک

7,000,000 تومان

ازکی‌ کلاببحرانی

10,000,000 تومان