تست نفوذ به شاپفا

کلاه سفیدت رو سرت بذار

ممنون که در شناسایی آسیب‌پذیری‌های شاپفا مشارکت می‌کنی. در ادامه‌ی این صفحه گام‌های زیر رو طی خواهی کرد. در این مسیر تیم داوری شاپفا هم در کنارت هستند.

زمانی‌که آسیب‌پذیری شناسایی‌شده‌ی شما به تایید داوران شاپفا برسه و رفع بشه، جایزه‌ی نقدی براساس شدت و اهمیت آسیب‌پذیری و مطابق استانداردهای زیر تعیین می‌شه:

قلمرو کشف آسیب‌پذیری کجاست؟

در این بخش قلمروی که می‌تونی به کشف آسیب‌پذیری‌ها بپردازی مشخص شده.

آسیب‌پذیری‌ها:

  • :Vital
  • RCE on vital servers
  • Business Destruction Vulnerability
  • Mass DNS takeover
  • :Critical
  • Subdomain/DNS Takeover
  • SQL/NoSQL/Command Injection
  • Remote Command Execution
  • Mass Account Takeover (without User Interaction)
  • XML External Entity Injection
  • Sensitive Data Exposure to Accessible Services (Password, Private API Keys, SSL private Keys of arvancloud)
  • :High
  • Unauthorized Access to Read and Write Sensitive Data of a User
  • Weak Password Reset Implementation
  • Unauthorized Access to Read and Write Part of Sensitive Data of all User
  • Local File Inclusion
  • SSRF (Internal High Impact)
  • Complete Source Code Disclosure of one of private arvancloud's products
  • Privilege Escalation to Admin Account
  • Mass delete users Accounts
  • Authentication Bypass
  • DoS (Critical Impact and/or Easy Difficulty)
  • Sensitive Data Exposure (All users)
  • :Medium
  • Partial Source Code Disclosure of one of private arvancloud's products
  • SSRF (Internal Scan and/or Medium Impact)
  • Unauthorized Access to Read and Write Part of Sensitive Data of a User
  • OAuth misusable misconfiguration
  • CRLF Injection
  • Unauthorized Access to Services (API / Endpoints)
  • DOM based XSS
  • Misusable misconfiguration of CAPTCHA implementation
  • Delete a user Account
  • State Changing CSRF
  • Source Code Disclosure of arvancloud's websites
  • Insecure Direct Object Reference
  • Reflected XSS
  • Second Factor Authentication (2FA) Bypass
  • Authorization Bypass
  • Default credentials
  • DoS (High Impact and/or Medium Difficulty)
  • Sensitive Data Exposure
  • Server-Side Request Forgery
  • Session Fixation (Remote Attack Vector)
  • Mass User Enumeration
  • iframe Injection
  • Clickjacking (Sensitive Click-Based Action)
  • Account Takeover by User Interaction
  • Blind XSS
  • Stored XSS
  • Excessively Privileged User / DBA
  • Sensitive Data Exposure (Some users)
  • :Low
  • Unauthorized Access to Read Part of Sensitive Data of a User
  • Clear-Text Password Submission (in HTTP)
  • Clickjacking (non-Sensitive Click-Based Action)
  • Non-State Changing Cross-Site Request Forgery
  • Information Disclosure through Errors
  • Off-Domain XSS
  • Open Redirect (GET-Based)
  • SSRF (External)
  • Software Version Disclosure
  • User Enumeration
  • Weak Registration Implementation (Over HTTP)
  • Misconfigured DNS Zone Transfer
  • IE-Only XSS
  • Server-Side Plaintext Credentials Storage
  • Flash-Based XSS
  • No Password Policy

اگر با آسیب‌پذیری خارج از این قلمرو روبه‌رو شدی، به ایمیل info@shopfa.com گزارش بده تا ادامه‌ی روند کارت مشخص بشه

چه آسیب‌پذیری‌هایی ملاک این برنامه نیست؟

  • Missing Certification Authority Authorization (CAA) Record
  • Public Admin Login Page
  • Out of date libraries
  • Unsafe File Upload
  • Captcha brute force
  • Directory Listing Enabled (Non-Sensitive Data Exposure)
  • Clickjacking (Non-Sensitive Action)
  • Crowdsourcing/OCR Captcha Bypass
  • Lack of Verification/Notification Email
  • Same-Site Scripting
  • Allows Disposable Email Addresses for Registration
  • Clickjacking (Form Input)
  • Social Engineering & Phishing
  • Open Redirect (POST-Based)
  • Exposed Admin Portal to Internet
  • Lack of Security Headers
  • Missing DNSSEC
  • SSRF (DNS Query Only)
  • Concurrent Logins
  • Physical security
  • Reflected File Download (RFD)
  • * Self
  • Out of scope bugs
  • Http Parameter Pollution
  • Brute force
  • Fingerprinting/Banner Disclosure
  • Email spoofing
  • SSL Attack
  • Token Leakage via Referrer
  • Session Fixation (Local Attack Vector)

چه قوانینی رو باید رعایت کنی؟

  • کنار هم هستیم تا امنیت رو در فضایی که قلمروی نامحدود داره بهبود بدیم. با رعایت موارد زیر شاپفا متعهد می‌شه در کنار پاسخ به گزارش در چارچوب این برنامه، از درخواست پی‌گرد قانونی صرف‌نظر کنه. در همین فضا، لازمه به قوانین زیر پای‌بند باشیم:
  • آسیب‎‌پذیری‎‌ها به‌شکل جدا تست بشن و از اطلاعات یا دسترسی‌‎‌های به‎‌دست آمده از یک آسیب‎‌‌پذیری در آسیب‎‌پذیری دیگر استفاده نشه.
  • آسیب‌‎پذیری نباید با استفاده از حساب شخص دیگه‌ای ارزیابی بشه.
  • اطلاعات محرمانه نباید افشا بشه و پس از دریافت جایزه می‌‌‎بایست از نگهداری آن‌ها اجتناب بشه.
  • از اختلال در سرویس شاپفا اجتناب بشه.
  • به حریم شخصی افراد و کاربران احترام گذاشته بشه.
  • از IP مشخصی برای ارزیابی استفاده و این IP در گزارش قید بشه.
  • تمام فعالیت‌‎ها و دسترسی‎‌ها می‌‎بایست در گزارش قید بشه.
  • از بارگذاری شاهد مثال‌های آسیب‎‌پذیری‎‌‌ها در سایت‌های اشتراکی youtube, imgur و... اجتناب بشه.
  • اگر پاسخی از سمت هکر کلاه سفید دریافت نشه، گزارش از طریق ایمیل پس از هفت روز کاری غیرفعال می‌شه.
  • آسیب‎‌‌پذیری‎‌های گزارش شده می‎‌بایست تاثیر معنا‌داری بر کاربران، سامانه‌‎ها یا داده‎‌های شاپفا داشته باشه.
  • ممکنه آسیب‎‌پذیری گزارش شده، پیش از ارسال، به‌وسیله‌ی فرد دیگری گزارش شده باشه. در این موقعیت به گزارش جایزه تعلق نمی‌گیره.

چه‌جوری گزارشت رو برای ما بفرستی؟

گزارشی که برای شاپفا می‌فرستی باید این موارد رو داشته باشه:

در هر گزارش یک آسیب‌‌‎پذیری مشخص ارایه بشه.

آسیب‌‎پذیری به‌شکل مشروح به همراه شدت و خطر پیشنهادی توضیح داده بشه.

مراحل باز‌تولید آسیب‌‎پذیری شرح داده بشه.

شاهد مثال برای آسیب‌‎‌پذیری به همراه ابزارهای لازم به‌‎طور کامل ارایه بشه.

هرگونه تنظیم خاص مورد نیاز برای بازسازی حمله، باید ارایه بشه.

گزارش آسیب‌پذیری شناسایی‌شده‌ات رو ثبت کن

نظرات
    021-67954 تلفن پشتیبانی