مرحله اول
ثبت گزارش
مرحله دوم
بررسی صحت آسیبپذیری
(و ریسک آن بر اساس CVSS v3.1)
مرحله سوم
اعطای جایزه
سطوح مختلف آسیبپذیری
مقدار پاداش ها طبق جدول زیر تعیین میشوند.
| ریسک کم(0.1 تا 3.9) | متوسط(4.0 تا 6.9) | ریسک زیاد(7.0 تا 8.9) | بحرانی(9.0 تا10.0) |
|---|---|---|---|
| حداقل 1 میلیون تومان حداکثر 5 میلیون تومان | حداقل 10 میلیون تومان حداکثر 20 میلیون تومان | حداقل 50 میلیون تومان حداکثر 100 میلیون تومان | حداقل 200 میلیون تومان حداکثر 300 میلیون تومان |
| ریسک کم (0.1 تا 3.9) | حداقل 1 میلیون تومان حداکثر 5 میلیون تومان |
| متوسط (4.0 تا 6.9) | حداقل 10 میلیون تومان حداکثر 20 میلیون تومان |
| ریسک زیاد (7.0 تا 8.9) | حداقل 50 میلیون تومان حداکثر 100 میلیون تومان |
| بحرانی (9.0 تا 10.0) | حداقل 200 میلیون تومان حداکثر 300 میلیون تومان |
محدوده گزارشات ارسالی
گزارشات ارسالی شما باید در محدوده مجاز این برنامه باشد:
محدوده مجاز برنامه
- ompfinex.com
- my.ompfinex.com
- api.ompfinex.com
محدوده غیرمجاز برنامه
- www.ompfinex.com/blog
- ompfinex.com/customers-club
- api.ompfinex.com/star-port
- api.ompfinex.com/forrest-gump
- اپلیکیشن موبایل
بخشی از آسیبپذیریهای قابل قبول
آسیبپذیریهای قابل قبول شامل، اما نه محدود به، موارد زیر میباشند:
- افزایش و برداشت غیرمجاز موجودی کیف پول
- اجرای کد از راه دور برروی سرورهای اصلی
- SQL Injection با دسترسی به دادههای کاربران
- دسترسی عمده به اطلاعات خصوصی کاربران
- Mass Account Takeover (تصاحب عمده حساب کاربری)
- مشکل Race Condition برروی تراکنشهای مالی
- دسترسی به فایلهای حیاتی سایت
- آسیبپذیریهای مربوط به Cache وبسرور
- آسیبپذیریهای مربوط به منطق کسبوکار
- دور زدن فرآیند احراز هویت سایت (KYC)
- بارگذاری فایل مخرب با قابلیت فراخوانی و اکسپلویت
- CORS Misconfiguration با قابلیت بهرهبرداری
- XSS - Cross Site Script
- XXE - XML External Entity
- SSRF - Server Side Request Forgery
- IDOR - Insecure Direct Object References
- Mass Assignment
- Http Smuggling
- Bypass Captcha
- Bypass 2FA
- نشت کلیدهای مهم با قابلیت بهرهبرداری
- Rate Limit (SMS Flooding, OTP Code)
- Open Redirect (GET)
آسیبپذیریهای غیرقابل قبول
آسیبپذیریهای زیر شامل هدیه نمیشوند:
- آسیبپذیریهایی که قابلیت اکسپلویت ندارند.
- آسیبپذیریهایی که فقط برروی سیستم خودتان اکسپلویت میشوند مانند Self XSS.
- آسیبپذیریهایی که منشأ آنها از سرویسهای شخصثالث میباشد.
- آسیبپذیریهایی که نیازمند یک سطح از دسترسی فیزیکی برای اکسپلویت میباشند.
- آسیبپذیریهایی که توسط اشخاص دیگر گزارش شدهاند و در دست رفع میباشند.
- حملات مهندسی اجتماعی.
- عدم پیکربندی صحیح وبسرور و یا فقدان هدرهای HTTP.
- کشف شماره نسخه نرمافزارهای مورد استفاده و گزارش پایین بودن نسخه آنها بدون اکسپلویت.
- استفاده از پروتکلها و مجموعه رمزهای ناامن SSL/TLS.
- آسیبپذیریهایی که فقط در شرایط خاص مثلاً استفاده از یک مرورگر قدیمی اکسپلویت میشوند.
- فقدان Rate limit و امکان User/account/email/phone enumeration.
- آسیبپذیریهایی که به حداقل سه مرحله تعامل با کاربر نیاز داشته باشند.
- کشف صفحات ادمین بدون قابلیت نفود.
- تمامی آسیبپذیریهای مربوط به وردپرس.
- آسیبپذیری Session fixation و یا عدم انقضای نشستهای کاربر به دلایل مختلف.
- موارد مربوط به رکوردهای DNS مرتبط با ایمیل و یا Email spoofing.
- آسیبپذیری CSRF با ریسک کم مانند Logout.
- فقدان اعتبارسنجی ورودیهایی مانند آپلود فایل و آدرس ایمیل، بدون اکسپلویت.
- عدم رعایت Best practices مانند پیچیدگی رمز عبور.
- هر مورد CVE بدون اکسپلویت.
شرایط و قوانین
- بلافاصله بعد از کشف آسیبپذیری، گزارش آن را برای ما ارسال کنید.
- از انجام تستهای خودکار و ایجاد اختلال در عملکرد سامانه اجتناب کنید.
- آسیبپذیری را فقط برروی حساب کاربری خودتان تست کنید.
- آسیبپذیری گزارششده باید امکان اکسپلویت داشته باشد.
- در صورت تمایل به انتشار عمومی جزئیات آسیبپذیری، این کار پس از رفع آسیبپذیری و تأیید اوامپیفینکس انجام شود.
- میزان پاداش براساس نوع آسیبپذیری و سطح ریسک آن برمبنای cvss v3.1 تعیین می شود.
- هر آسیبپذیری در یک گزارش به صورت مجزا باشد و از اطلاعات بهدستآمده از یک آسیبپذیری در گزارش دیگری استفاده نشود.
- گزارشها شامل برآورد شما از شدت آسیبپذیری و تهدید آن برای سامانه باشد.
- گزارش آسیبپذیریها را تنها از طریق ایمیل و به صورت pdf برای ما ارسال کنید.
- ارسال ویدیو در کنار گزارش اصلی، به افزایش سرعت بررسی گزارش و اعطای هدیه کمک می کند و گزارشهای خوبی که شامل ویدیو باشند مشمول دریافت Bonus خواهند شد.
- اپلیکیشنهای موبایل در محدوده باگبانتی قرار ندارد.
- باشگاه مشتریان تا اطلاع ثانوی در محدوده باگبانتی قرار ندارد.
سوالات متداول
همه افرادی که اصول هک اخلاقی را رعایت کنند و قوانین برنامه را بپذیرند میتوانند شرکت کنند.
خیر. استفاده از اسکن خودکار بدون مجوز، ممکن است منجر به مسدود شدن حساب شما و محرومیت از برنامه شود.
پاداشها بر اساس شدت و تاثیر آسیبپذیری طبق سیستم CVSS ارزیابی میشوند.
ما ظرف ۴۸ ساعت به گزارشها پاسخ میدهیم. اگر گزارش معتبر باشد، فرایند رفع آسیبپذیری و پرداخت پاداش ممکن است تا ۳۰ روز طول بکشد.
خیر. افشای عمومی بدون مجوز ما باعث رد صلاحیت دریافت پاداش خواهد شد.
خیر. بررسیهای شما باید فقط روی حسابهای خودتان انجام شود.
پاداش فقط به اولین گزارش معتبر داده میشود.
پاداشها با واریز ریال و یا تتر در حساب صرافی کاربر پرداخت میشوند.
