جامعه باگ‌ جوی او‌ام‌پی‌فینکس

به جامعه باگ‌جوی او‌ام‌پی‌فینکس خوش آمدید!

شرایط و قوانین
مرحله اول

ثبت گزارش

پترن مرحله اول
مرحله دوم

بررسی صحت آسیب‌پذیری

پترن مرحله دوم
مرحله سوم

اعطای جایزه

پترن مرحله سوم

سطوح مختلف آسیب‌پذیری

مقدار پاداش ها طبق جدول مقابل تعیین می‌شوند.

شرایط و قوانین

آسیب‌پذیری‌های قابل قبول

شرایط و قوانین

  • این طرح فقط شامل دامنه‌های زیر می‌باشد:
    • ompfinex.com
    • my.ompfinex.com
    • api.ompfinex.com
  • وبلاگ اوام‌پی‌فینکس به آدرس ompfinex.com/blog در محدوده مورد نظر ما برای اعطای هدیه قرار ندارد.
  • باشگاه مشتریان به آدرس‌های ompfinex.com/customers-club و api.ompfinex.com/star-port تا اطلاع ثانوی در محدوده باگ‌بانتی قرار ندارد.
  • بلافاصله بعد از کشف آسیب‌پذیری، گزارش آن را برای ما ارسال کنید.
  • از انجام تست‌های خودکار و ایجاد اختلال در عملکرد سامانه اجتناب کنید.
  • آسیب‌پذیری را فقط برروی حساب کاربری خودتان تست کنید.
  • آسیب‌پذیری گزارش‌شده باید امکان اکسپلویت داشته باشد.
  • در صورت تمایل به انتشار عمومی جزئیات آسیب‌پذیری، این کار پس از رفع آسیب‌پذیری و تأیید او‌ام‌پی‌فینکس انجام شود.
  • میزان هدیه براساس نوع آسیب‌پذیری و سطح خطر آن تعیین می‌شود.
  • آسیب‌پذیری‌های زیر شامل هدیه نمی‌شوند:
    • آسیب‌پذیری‌هایی که قابلیت اکسپلویت ندارند.
    • آسیب‌پذیری‌هایی که فقط برروی سیستم خودتان اکسپلویت می‌شوند مانند Self XSS.
    • آسیب‌پذیری‌هایی که منشأ آن‌‌ها از سرویس‌های شخص‌ثالث می‌باشد.
    • آسیب‌پذیری‌هایی که نیازمند یک سطح از دسترسی فیزیکی برای اکسپلویت می‌باشند.
    • آسیب‌پذیری‌هایی که توسط اشخاص دیگر گزارش شده‌اند و در دست رفع می‌باشند.
    • حملات مهندسی اجتماعی.
    • عدم پیکربندی صحیح وب‌سرور و یا فقدان هدرهای HTTP.
    • کشف شماره نسخه نرم‌افزارهای مورد استفاده و گزارش پایین بودن نسخه آن‌ها بدون اکسپلویت.
    • استفاده از پروتکل‌ها و مجموعه رمزهای ناامن SSL/TLS.
    • آسیب‌پذیری‌هایی که فقط در شرایط خاص مثلاً استفاده از یک مرورگر قدیمی اکسپلویت می‌شوند.
    • فقدان Rate limit و امکان User/account/email/phone enumeration.
    • آسیب‌پذیری‌هایی که به حداقل سه مرحله تعامل با کاربر نیاز داشته باشند.
    • کشف صفحات ادمین بدون قابلیت نفود.
    • تمامی آسیب‌پذیری‌های مربوط به وردپرس.
    • آسیب‌پذیری Session fixation و یا عدم انقضای نشست‌های کاربر به دلایل مختلف.
    • موارد مربوط به رکوردهای DNS مرتبط با ایمیل و یا Email spoofing.
    • آسیب‌پذیری CSRF با ریسک کم مانند Logout.
    • فقدان اعتبارسنجی ورودی‌هایی مانند آپلود فایل و آدرس ایمیل، بدون اکسپلویت.
    • عدم رعایت Best practices مانند پیچیدگی رمز عبور.

خصوصیات ضروری گزارش‌های شما

  • هر آسیب‌پذیری‌ در یک گزارش به صورت مجزا باشد و از اطلاعات به‌دست‌آمده از یک آسیب‌پذیری در گزارش دیگری استفاده نشود.
  • گزارش‌ها شامل برآورد شما از شدت آسیب‌پذیری و تهدید آن برای سامانه باشد.
  • گزارش آسیب‌پذیری‌ها را تنها از طریق ایمیل و به صورت pdf برای ما ارسال کنید.
  • ارسال ویدیو در کنار گزارش اصلی، به افزایش سرعت بررسی گزارش و اعطای هدیه کمک می کند و گزارش‌های خوبی که شامل ویدیو باشند مشمول دریافت Bonus خواهند شد.

سوالات متداول

همه افرادی که اصول هک اخلاقی را رعایت کنند و قوانین برنامه را بپذیرند می‌توانند شرکت کنند.
خیر. استفاده از اسکن خودکار بدون مجوز، ممکن است منجر به مسدود شدن حساب شما و محرومیت از برنامه شود.
پاداش‌ها بر اساس شدت و تاثیر آسیب‌پذیری طبق سیستم CVSS ارزیابی می‌شوند.
ما ظرف ۴۸ ساعت به گزارش‌ها پاسخ می‌دهیم. اگر گزارش معتبر باشد، فرایند رفع آسیب‌پذیری و پرداخت پاداش ممکن است تا ۳۰ روز طول بکشد.
خیر. افشای عمومی بدون مجوز ما باعث رد صلاحیت دریافت پاداش خواهد شد.
خیر. بررسی‌های شما باید فقط روی حساب‌های خودتان انجام شود.
پاداش فقط به اولین گزارش معتبر داده می‌شود.
پاداش‌ها با واریز ریال و یا تتر در حساب صرافی کاربر پرداخت می‌شوند.