در بهینراهکار، امنیت اطلاعات و حفظ اعتماد کاربران، یک مسئولیت بنیادین است. ما به این اصل باور داریم که امنیت یک فرآیند پویا و مستمر است و هیچ سامانهای بهطور مطلق عاری از نقص نیست. از اینرو، از متخصصان، پژوهشگران و علاقهمندان حوزه امنیت سایبری دعوت میکنیم تا با مشارکت در برنامه باگبانتی بهینراهکار، ما را در ارتقای سطح امنیت و کیفیت خدمات همراهی کنند.
این برنامه با هدف ایجاد یک چارچوب شفاف، امن و حرفهای برای تعامل با جامعه امنیتی طراحی شده است تا کشف و گزارش مسئولانه آسیبپذیریها به شکلی سازنده و مؤثر انجام شود.
از طریق این برنامه، بهینراهکار در نظر دارد:
سطح امنیت محصولات و خدمات خود را بهصورت مستمر ارتقا دهد
آسیبپذیریها و ریسکهای بالقوه را پیش از هرگونه سوءاستفاده شناسایی و برطرف کند
همکاری حرفهای و بلندمدت با متخصصان امنیت سایبری برقرار سازد
بهمنظور بررسی دقیق، سریع و منصفانه گزارشها، لطفاً موارد زیر را رعایت فرمایید:
شرح کامل آسیبپذیری بههمراه جزئیات فنی و مراحل بازتولید (PoC) ارائه شود
از هرگونه سوءاستفاده عملی، اختلال در سرویس یا دسترسی غیرمجاز به دادهها خودداری گردد
تا زمان رفع کامل آسیبپذیری و اعلام رسمی، از انتشار عمومی اطلاعات مربوطه اجتناب شود
تنها تستهای غیرمخرب، مسئولانه و در چارچوب اخلاق حرفهای انجام پذیرد
بهینراهکار خود را متعهد میداند که تمامی گزارشهای معتبر را با دقت بررسی کرده و در فضایی مبتنی بر احترام و همکاری حرفهای، با گزارشدهندگان تعامل نماید.
گزارش ها به آدرس ایمیل bugbounty@behinrahkar.com ارسال شوند.
گزارش کشف آسیبپذیری در ایمیل ارسالی، باید شامل تمام اطلاعاتی باشد که به کارشناسان امنیت بهین راهکار این امکان را میدهد تا آسیبپذیری کشفشده را صحتسنجی نمایند. برای مثال فیلم، عکس و…، میبایست در گزارش گنجانده شود.
اگر آسیبپذیری قبلا بهوسیلهی فرد دیگری گزارش شده باشد، به گزارش، جایزه تعلق نخواهد گرفت.
از بارگذاری شواهد آسیبپذیریها در سایتهای اشتراکی Youtube, Imgur, Aparat و… خودداری شود.
گزارشگران نباید جزئیات آسیبپذیریهای کشفشده را در هیچ سایت، بلاگ یا شبکه اجتماعی منتشر نمایند. پس از گزارش آسیبپذیری و رفع نقطه ضعف امنیتی، در صورت موافقت کتبی بهین راهکار، متخصص میتواند جزییات آسیبپذیری را با هماهنگی منتشر نماید.
اطلاعات محرمانه کاربران یا شرکت نباید افشا شوند و پس از دریافت جایزه نباید نگهداری شوند.
استفاده از ابزارهای خودکارسازی که باعث ارسال درخواستهای زیاد به زیرساخت شرکت میگردد، مجاز نیست.
از انجام هرگونه بهرهبرداری (Exploit) از آسیبپذیریها که در فرایند کسبوکار ما اختلال ایجاد کند، اجتناب نمایید.
محدوده مجاز باگ بانتی بهین راهکار مربوط به پنل کاربری و سایت اصلی است. گزارشهایی که خارج از محدوده باشد، قابل قبول نیستند.
behinrahkar.com
*.behinrahkar.com
فرایند بررسی و پاسخگویی به ایمیلها بین بازه یک تا دو هفتهای انجام خواهد شد.
۱- آسیبپذیریها باید جداگانه تست و گزارش شوند.
۲- متخصصین باید تنها اقدام به کشف و بررسی آسیبپذیریهایی کنند که در جدول زیر آورده شدهاست.
۳- بهرهبرداری یا انجام حملاتی که در جدول ذکر نشده، غیرمجاز بوده و مسئولیت حقوقی آن بر عهده متخصص مربوطه است.
۴- در حین فرایند، از اختلال در سامانهها و سرورها اجتناب شود و در صورت نیاز مجوز کتبی اخذ شود.
۵- معیار مشخص کردن اهمیت باگها و پرداختیها، استاندارد CVSS است.
| ردیف | عنوان آسیب پذیری | حداکثر پرداختی (تومان) |
|---|---|---|
| ۱ | Remote Code Execution (RCE) | 20 میلیون |
| ۲ | SQL/NoSQL/Command Injection | 12 میلیون |
| ۳ | Sensitive Data Exposure (Admin Password, Private API Keys, Certificate Private Key) | 8 میلیون |
| ۴ | Account Takeover (based on cvss score) | ۵ میلیون |
| ۵ | Privilege Escalation to Admin Account | ۵ میلیون |
| ۶ | Authentication Bypass | ۵ میلیون |
| ۷ | Insecure Direct Object Reference (IDOR) | ۵ میلیون |
| ۸ | Double Spending | ۵ میلیون |
| ۹ | Race Condition | ۴ میلیون |
| ۱۰ | Unauthorized Access to Read and Write Sensitive Data of a User | ۳ میلیون |
| ۱۱ | Misconfig (based on cvss score) | ۳ میلیون |
| ۱۲ | 2FA Bypass | ۳ میلیون |
| ۱۳ | Unauthorized Access to API | ۳ میلیون |
| ۱۴ | Subdomain TakeOver | ۲ میلیون |
| ۱۵ | Email Spoofing | ۲ میلیون |
| ۱۶ | Mass User Enumeration | ۱ میلیون |
| ۱۷ | XSS | ۱ میلیون |
| ۱۸ | SSRF | ۱ میلیون |
| ۱۹ | LFI (based on cvss score) | ۱ میلیون |
| ۲۰ | CAPTCHA Bypass | ۱ میلیون |
| ۲۱ | XML External Entity (XXE) | ۱ میلیون |
Rate limit bypass
Sms Bombing
Email Bombing
Disclosure of server or software version
Brute-force
Outdated libraries
Finding admin page login
DOS and DDOS
Security Headers & Cookie Problem
Clickjacking (Non Sensitive Action)
Self XSS
Social Engineering
Directory Listing
Best practices in Password & ssl configuration
Username / email enumeration
Reports extracted from vulnerability scans
بهین راهکار برای گزارشهای معتبر و تأثیرگذار، بسته به سطح وخامت باگ، پاداش معنوی و یا مالی در نظر میگیرد.
این پاداشها با رویکردی شفاف و منصفانه تعیین میشوند و هدف آنها تشویق همکاری حرفهای با جامعه امنیتی است.
تیم فروش و کارشناسان فنی بهین راهکار در اسرع وقت با شما تماس خواهند گرفت
تیم فروش و کارشناسان فنی بهین راهکار در اسرع وقت با شما تماس خواهند گرفت تا دموی شخصیسازیشده مطابق نیازهای سازمان شما را ارائه دهند.
