تست نفوذ به شاپفا
کلاه سفیدت رو سرت بذار
ممنون که در شناسایی آسیبپذیریهای شاپفا مشارکت میکنی. در ادامهی این صفحه گامهای زیر رو طی خواهی کرد. در این مسیر تیم داوری شاپفا هم در کنارت هستند.
زمانیکه آسیبپذیری شناساییشدهی شما به تایید داوران شاپفا برسه و رفع بشه، جایزهی نقدی براساس شدت و اهمیت آسیبپذیری و مطابق استانداردهای زیر تعیین میشه:
قلمرو کشف آسیبپذیری کجاست؟
در این بخش قلمروی که میتونی به کشف آسیبپذیریها بپردازی مشخص شده.
آسیبپذیریها:
- :Vital
- RCE on vital servers
- Business Destruction Vulnerability
- Mass DNS takeover
- :Critical
- Subdomain/DNS Takeover
- SQL/NoSQL/Command Injection
- Remote Command Execution
- Mass Account Takeover (without User Interaction)
- XML External Entity Injection
- Sensitive Data Exposure to Accessible Services (Password, Private API Keys, SSL private Keys of arvancloud)
- :High
- Unauthorized Access to Read and Write Sensitive Data of a User
- Weak Password Reset Implementation
- Unauthorized Access to Read and Write Part of Sensitive Data of all User
- Local File Inclusion
- SSRF (Internal High Impact)
- Complete Source Code Disclosure of one of private arvancloud's products
- Privilege Escalation to Admin Account
- Mass delete users Accounts
- Authentication Bypass
- DoS (Critical Impact and/or Easy Difficulty)
- Sensitive Data Exposure (All users)
- :Medium
- Partial Source Code Disclosure of one of private arvancloud's products
- SSRF (Internal Scan and/or Medium Impact)
- Unauthorized Access to Read and Write Part of Sensitive Data of a User
- OAuth misusable misconfiguration
- CRLF Injection
- Unauthorized Access to Services (API / Endpoints)
- DOM based XSS
- Misusable misconfiguration of CAPTCHA implementation
- Delete a user Account
- State Changing CSRF
- Source Code Disclosure of arvancloud's websites
- Insecure Direct Object Reference
- Reflected XSS
- Second Factor Authentication (2FA) Bypass
- Authorization Bypass
- Default credentials
- DoS (High Impact and/or Medium Difficulty)
- Sensitive Data Exposure
- Server-Side Request Forgery
- Session Fixation (Remote Attack Vector)
- Mass User Enumeration
- iframe Injection
- Clickjacking (Sensitive Click-Based Action)
- Account Takeover by User Interaction
- Blind XSS
- Stored XSS
- Excessively Privileged User / DBA
- Sensitive Data Exposure (Some users)
- :Low
- Unauthorized Access to Read Part of Sensitive Data of a User
- Clear-Text Password Submission (in HTTP)
- Clickjacking (non-Sensitive Click-Based Action)
- Non-State Changing Cross-Site Request Forgery
- Information Disclosure through Errors
- Off-Domain XSS
- Open Redirect (GET-Based)
- SSRF (External)
- Software Version Disclosure
- User Enumeration
- Weak Registration Implementation (Over HTTP)
- Misconfigured DNS Zone Transfer
- IE-Only XSS
- Server-Side Plaintext Credentials Storage
- Flash-Based XSS
- No Password Policy
اگر با آسیبپذیری خارج از این قلمرو روبهرو شدی، به ایمیل info@shopfa.com گزارش بده تا ادامهی روند کارت مشخص بشه
چه آسیبپذیریهایی ملاک این برنامه نیست؟
- Missing Certification Authority Authorization (CAA) Record
- Public Admin Login Page
- Out of date libraries
- Unsafe File Upload
- Captcha brute force
- Directory Listing Enabled (Non-Sensitive Data Exposure)
- Clickjacking (Non-Sensitive Action)
- Crowdsourcing/OCR Captcha Bypass
- Lack of Verification/Notification Email
- Same-Site Scripting
- Allows Disposable Email Addresses for Registration
- Clickjacking (Form Input)
- Social Engineering & Phishing
- Open Redirect (POST-Based)
- Exposed Admin Portal to Internet
- Lack of Security Headers
- Missing DNSSEC
- SSRF (DNS Query Only)
- Concurrent Logins
- Physical security
- Reflected File Download (RFD)
- * Self
- Out of scope bugs
- Http Parameter Pollution
- Brute force
- Fingerprinting/Banner Disclosure
- Email spoofing
- SSL Attack
- Token Leakage via Referrer
- Session Fixation (Local Attack Vector)
چه قوانینی رو باید رعایت کنی؟
- کنار هم هستیم تا امنیت رو در فضایی که قلمروی نامحدود داره بهبود بدیم. با رعایت موارد زیر شاپفا متعهد میشه در کنار پاسخ به گزارش در چارچوب این برنامه، از درخواست پیگرد قانونی صرفنظر کنه. در همین فضا، لازمه به قوانین زیر پایبند باشیم:
- آسیبپذیریها بهشکل جدا تست بشن و از اطلاعات یا دسترسیهای بهدست آمده از یک آسیبپذیری در آسیبپذیری دیگر استفاده نشه.
- آسیبپذیری نباید با استفاده از حساب شخص دیگهای ارزیابی بشه.
- اطلاعات محرمانه نباید افشا بشه و پس از دریافت جایزه میبایست از نگهداری آنها اجتناب بشه.
- از اختلال در سرویس شاپفا اجتناب بشه.
- به حریم شخصی افراد و کاربران احترام گذاشته بشه.
- از IP مشخصی برای ارزیابی استفاده و این IP در گزارش قید بشه.
- تمام فعالیتها و دسترسیها میبایست در گزارش قید بشه.
- از بارگذاری شاهد مثالهای آسیبپذیریها در سایتهای اشتراکی youtube, imgur و... اجتناب بشه.
- اگر پاسخی از سمت هکر کلاه سفید دریافت نشه، گزارش از طریق ایمیل پس از هفت روز کاری غیرفعال میشه.
- آسیبپذیریهای گزارش شده میبایست تاثیر معناداری بر کاربران، سامانهها یا دادههای شاپفا داشته باشه.
- ممکنه آسیبپذیری گزارش شده، پیش از ارسال، بهوسیلهی فرد دیگری گزارش شده باشه. در این موقعیت به گزارش جایزه تعلق نمیگیره.
چهجوری گزارشت رو برای ما بفرستی؟
گزارشی که برای شاپفا میفرستی باید این موارد رو داشته باشه:
در هر گزارش یک آسیبپذیری مشخص ارایه بشه.
آسیبپذیری بهشکل مشروح به همراه شدت و خطر پیشنهادی توضیح داده بشه.
مراحل بازتولید آسیبپذیری شرح داده بشه.
شاهد مثال برای آسیبپذیری به همراه ابزارهای لازم بهطور کامل ارایه بشه.
هرگونه تنظیم خاص مورد نیاز برای بازسازی حمله، باید ارایه بشه.