برنامه کشف باگ زرین‌پال

هر اقدامی که در زرین‌پال منجر به بهبود امنیت کاربران شود برای ما ارزشمند است. به همین دلیل از کلیه محققین حوزه امنیت دعوت می‌کنیم تا در برنامه کشف باگ زرین‌پال شرکت کنند و با ارسال ایرادات امنیتی و آسیب پذیری‌ها، ضمن دریافت پاداش نقدی ما را در ارائه خدمات امن‌تر به کاربران زرین‌پال همراهی کنند. ما نیز در ادامه تلاش می‌کنیم تا آخرین تغییرات مربوط به کلیه گزارش‌های ارسالی را در اختیار مشارکت‌کنندگان قرار دهیم.

ارسال گزارش

چطور در این برنامه شرکت کنم؟

باگ رو شناسایی کن

بر اساس قوانین برنامه و توامندی‌هات ایرادات امنیتی زرین‌پال رو شناسایی کن

گزارش رو ارسال کن

گزارش آسیب‌پذیری رو طبق شرایط خواسته شده برای ما ارسال کن

پاداش رو دریافت کن

بر اساس داوری تیم امنیتی و اهمیت باگ شناسایی‌شده پاداش خودت رو دریافت کن

تا ۳۰ میلیون تومان پاداش نقدی

برای هر گزارش آسیب‌پذیری

باگ‌های شناسایی شده توسط شما بر اساس شدت آسیب‌پذیری و داوری تیم امنیت در یکی از دسته بندی‌های زیر قرار می‌گیرد:

تا ۳۰ میلیون تومان

حیاتی (باید در سریع‌تر زمان رفع بشه)

تا ۱۵ میلیون تومان

بالا (حتما باید رفع بشه)

تا ۷ میلیون تومان

متوسط (فرصت برای رفع شدنش هست)

تا ۲ میلیون تومان

پایین (رفع شدنش بهتر از بودنشه)

قوانین شرکت در مسابقه چیست؟

برای شرکت در این مسابقه مطالعه دقیق و پایبندی به قوانین زیر الزامی‌ است:

حریم خصوصی کاربران و مشتریان حفظ شود. آسیب‌پذیری‌ها بر اساس CVSS v3.1 محاسبه می‌شود. هر آسیب‌پذیری در قالب یک گزارش مجزا ارسال شود. در هنگام بررسی، هیچ کدام از سرویس‌های زرین‌پال توسط متقاضی از دسترس خارج نشود. پاداش نقدی تنها به اولین متقاضی که دارای گزارش صحیحی باشد تعلق می‌گیرد. متقاضیان نباید اشخاص دیگری را در جریان گزارش ارسالی قرار دهند. هیچ تلاشی برای مشاهده، ویرایش و یا آسیب‌رساندن به اطلاعات مشتریان از سمت متقاضی صورت نگیرد. اگر احتمال می‌دهید در روند انجام تست به بخش‌هایی از سیستم ما آسیب وارد می‌شود لطفا ما را در جریان بگذارید. آسیب‌پذیری‌هایی که با ابزارها و اسکنر‌ها یافت شده‌اند، تنها با ارائه نمونه اثبات شده مورد پذیرش قرار می‌گیرد. وضعیت پیام‌هایی که از طریق سیستم پشتیبانی زرین‌پال ارسال شده است، بعد از گذشت زمان کوتاهی به «بسته» تغییر یابد.

مواردی که مورد پذیرش ما نیستند

لطفا پیش از ارسال گزارش، به دقت به مواردی که مورد پذیرش مورد پذیرش تیم امنیت زرین‌پال نیستند، را مطالعه و در گزارش لحاظ کنید:

استفاده از تمام روش‌های مرتبط با مهندسی اجتماعی غیر مجاز است. خطاهایی که هیچ اطلاعات حساسی روی آن‌ها وجود ندارد. آسیب‌پذیری Host header injection (بدون احتمال خطر) وجود CSRF روی فرم‌هایی که نیاز به احراز هویت ندارند و همین‌طور فرم‌های ورود و خروج آسیب‌پذیری open redirect مگر در مواردی که منجر به بروز رخدادی همچون افشای توکن و ... شود. مواردی که نفوذگر در آن نیاز به استفاده از شیوه‌هایی چون MITM یا دسترسی فیزیکی خواهد داشت. مواردی که SSL/TLS به شیوه‌ای مطلوب تنظیم نشده‌اند. مواردی از قبیل Clickjacking و Tabnabbing یافته‌های مرتبط با text injection یا جعل متن آسیب‌پذیری در کتابخانه‌های مورد استفاده (برای مثال: jquery) بدون یک شرح قابل اثبات افشای نام برنامه‌های مورد استفاده/وب‌سرور یا نسخه آن موارد مرتبط با Email/User enumeration یافته‌ای که مربوط به API‌های Google map باشد. پنل‌های مدیریتی که عموما قابل دسترسی هستند. آسیب‌پذیرهایی که روی سرویس‌های third party هستند. موارد مرتبط با آسیب‌پذیری Self XSS فایل‌های xmlrpc.php در دسترس CVE‌های 0day که یک ماه از زمان انتشار آن‌ها گذشته است. Brute force حملات نشست یا لاگین‌های همزمان GIT/Directory Listing Enabled (Non-Sensitive Data Exposure) حملات DoS/DDoS Cookie flag issues Low impact rate limit افشای مسیر فایل TLS/SSL related issues آنچه با DNS مرتبط است

آسیب‌پذیری‌هایی که برای ما دارای اهمیت هستند

Remote command/code execution
SQL/NoSQL/XSS
file inclusion
Exploitable server-side request forgery
Business logic error with monetary impact
Sensitive information disclosure
Insecure direct object reference on sensitive actions
Authorization Bypass (e.g. Account takeover)
Component with known high impact vulnerabilities (+PoC)
Cross-site request forgery on sensitive actions
Other XSS & HTML Injection
Authentication bypass
Stored cross-site scripting

مشخصات گزارش خوب و قابل قبول

باید
آسیب پذیری کاملا مشخص باشد. شامل IP، و زمان دقیق تست باشد. شرح بازسازی حمله در متن گزارش ارسالی به صورت قدم به قدم ذکر شود. در روند بررسی از header مقابل استفاده شود: X-Testing-For-Bug-Bounty: Your-Alias بررسی‌ها روی یک یا دو حساب مجزایی که ایجاد کرده‌اید انجام شود.
بهتر است
توصیه‌های ممکن برای رفع آسیب‌پذیری در متن گزارش ارسالی ذکر شود. پیلود‌ها و ابزارهایی که برای تست استفاده شده‌اند و دامنه یا آی‌پی‌هایی که روی آن‌ها بررسی انجام شده است، در متن گزارش ارسالی ذکر شود. فیلم، عکس و یا لاگ مورد نظر (صرفا) در ضمیمه ایمیل بارگذاری شود.

گزارش باگی که شناسایی کردید رو برای ما ارسال کنید