‏مسابقه کشف باگ | آروان‌کلاد‏

دوستانی که مراحل شناسایی تا رفع باگ رو با موفقیت سپری کنند،
در اولویت پیوستن به تیم امنیت ابری ابر آروان قرار می‌گیرند.

انتخاب قلمرو

با مشاهده قلمرو تعیین شده می‌تونی متمرکز به آزمون بپردازی و از دریافت جایزه مطمین باشی.

شناسایی آسیب‌پذیری

دانش، تجربه و مهارتی که داری رو نشون بده!

ثبت گزارش

آسیب‌پذیری که پیدا کردی رو با توجه به نکات اعلام شده در برنامه گزارش کن تا جایزه بگیری.

رفع آسیب‌پذیری و دریافت جوایز نقدی

با درست بودن آسیب‌پذیری و رفع اون، جایزه‌ی شما واریز می‌شه.

تا ۳۰۰ میلیون تومان جایزه

برای آسیب‌پذیری‌هایی که باعث می‌شوند تمام اطلاعات خصوصی (PII) و/یا تصاویر مدارک هویتی همه‌ی مشتریان دردسترس قرار بگیرند.

زمانی‌که آسیب‌پذیری شناسایی‌شده‌ی شما روی زیرساخت ابری ما، به تایید داوران ابر آروان برسه و رفع بشه، جایزه‌ی نقدی براساس شدت و اهمیت آسیب‌پذیری و مطابق استانداردهای زیر تعیین می‌شه:

تا ۳۰۰ میلیون تومان

مساله مرگ و زندگیه (Vital)

تا ۵۰ میلیون تومان

پای آبرو وسطه (Critical)

تا ۴۰ میلیون تومان

واجبه حل بشه (High)

تا ۳۰ میلیون تومان

خوبه که حل بشه (Medium)

تا ۱ میلیون تومان

بد نیست حل بشه (Low)

برنده های مسابقه

نام برندگان

کشف باگ

آسیب پذیری

مبلغ جایزه

افشا نشده

بایپس 2FA

Medium

۵۰۰ هزار تومان

محمدباقر دانشور

بایپس 2FA

Medium

۵۰۰ هزار تومان

افشا نشده

بایپس 2FA

Medium

۷۵۰ هزار تومان

افشا نشده

افشای اطلاعات حساس

Medium

۷۵۰ هزار تومان

امیرحسین شربتی

بایپس کنترل دسترسی

High

۲ میلیون تومان

افشا نشده

Critical

۸ میلیون تومان

افشا نشده

blind SSRF

Medium

۷۵۰هزار تومان

معیار سنجش

شدت و خطر آسیب‌پذیری‌ها به‌شکل عمومی با استفاده از استاندارد CVSSv3 ارزیابی می‌شه.

قلمرو کشف آسیب‌پذیری کجاست؟

در این بخش قلمروی که می‌تونی به کشف آسیب‌پذیری‌ها بپردازی مشخص شده.

دامنه:

Panel.arvancloud.ir

Accounts.arvancloud.ir

Napi.arvancloud.ir

محدوده‌ی IPها:

‌زیرساخت‌های حساس ابر آروان به‌جز‌‌‌‌‌:

185.143.232.0/22

193.176.240.0/22

5.253.24.0/22

45.82.136.0/22

37.152.176.0/21

185.239.106.0/22

185.239.105.0/22

185.97.116.0/22

185.206.92.0/22

130.185.122.0/23

185.235.40.0/22

194.5.206.0/23

194.5.192.0/23

آسیب‌پذیری‌ها:

:Vital

RCE on vital servers

Business Destruction Vulnerability

Mass DNS takeover

:Critical

Subdomain/DNS Takeover

SQL/NoSQL/Command Injection

Remote Command Execution

Mass Account Takeover (without User Interaction)

XML External Entity Injection

Sensitive Data Exposure to Accessible Services (Password, Private API Keys, SSL private Keys of arvancloud)

:High

Unauthorized Access to Read and Write Sensitive Data of a User

Weak Password Reset Implementation

Unauthorized Access to Read and Write Part of Sensitive Data of all User

Local File Inclusion

SSRF (Internal High Impact)

Complete Source Code Disclosure of one of private arvancloud's products

Privilege Escalation to Admin Account

Mass delete users Accounts

Authentication Bypass

DoS (Critical Impact and/or Easy Difficulty)

Sensitive Data Exposure (All users)

:Medium

Partial Source Code Disclosure of one of private arvancloud's products

SSRF (Internal Scan and/or Medium Impact)

Unauthorized Access to Read and Write Part of Sensitive Data of a User

OAuth misusable misconfiguration

CRLF Injection

Unauthorized Access to Services (API / Endpoints)

DOM based XSS

Misusable misconfiguration of CAPTCHA implementation

Delete a user Account

State Changing CSRF

Source Code Disclosure of arvancloud's websites

Insecure Direct Object Reference

Reflected XSS

Second Factor Authentication (2FA) Bypass

Authorization Bypass

Default credentials

DoS (High Impact and/or Medium Difficulty)

Sensitive Data Exposure

Server-Side Request Forgery

Session Fixation (Remote Attack Vector)

Mass User Enumeration

iframe Injection

Clickjacking (Sensitive Click-Based Action)

Account Takeover by User Interaction

Blind XSS

Stored XSS

Excessively Privileged User / DBA

Sensitive Data Exposure (Some users)

:Low

Unauthorized Access to Read Part of Sensitive Data of a User

Clear-Text Password Submission (in HTTP)

Clickjacking (non-Sensitive Click-Based Action)

Non-State Changing Cross-Site Request Forgery

Information Disclosure through Errors

Off-Domain XSS

Open Redirect (GET-Based)

SSRF (External)

Software Version Disclosure

User Enumeration

Weak Registration Implementation (Over HTTP)

Misconfigured DNS Zone Transfer

IE-Only XSS

Server-Side Plaintext Credentials Storage

Flash-Based XSS

No Password Policy

اگر با آسیب‌پذیری خارج از این قلمرو روبه‌رو شدی، به ایمیل bugbounty@arvancloud.ir گزارش بده تا ادامه‌ی روند کارت مشخص بشه

چه آسیب‌پذیری‌هایی ملاک این برنامه نیست؟

Missing Certification Authority Authorization (CAA) Record

Public Admin Login Page

Out of date libraries

Unsafe File Upload

Captcha brute force

Directory Listing Enabled (Non-Sensitive Data Exposure)

Clickjacking (Non-Sensitive Action)

Crowdsourcing/OCR Captcha Bypass

Lack of Verification/Notification Email

Same-Site Scripting

Allows Disposable Email Addresses for Registration

Clickjacking (Form Input)

Social Engineering & Phishing

Open Redirect (POST-Based)

Exposed Admin Portal to Internet

Lack of Security Headers

Missing DNSSEC

SSRF (DNS Query Only)

Concurrent Logins

Physical security

Reflected File Download (RFD)

* Self

Out of scope bugs

Http Parameter Pollution

Brute force

Fingerprinting/Banner Disclosure

Email spoofing

SSL Attack

Token Leakage via Referrer

Session Fixation (Local Attack Vector)

چه قوانینی رو باید رعایت کنی؟

کنار هم هستیم تا امنیت رو در فضایی که قلمروی نامحدود داره بهبود بدیم. با رعایت موارد زیر ابر آروان متعهد می‌شه در کنار پاسخ به گزارش در چارچوب این برنامه، از درخواست پی‌گرد قانونی صرف‌نظر کنه. در همین فضا، لازمه به قوانین زیر پای‌بند باشیم:

آسیب‎‌پذیری‎‌ها به‌شکل جدا تست بشن و از اطلاعات یا دسترسی‌‎‌های به‎‌دست آمده از یک آسیب‎‌‌پذیری در آسیب‎‌پذیری دیگر استفاده نشه.

آسیب‌‎پذیری نباید با استفاده از حساب شخص دیگه‌ای ارزیابی بشه.

اطلاعات محرمانه نباید افشا بشه و پس از دریافت جایزه می‌‌‎بایست از نگهداری آن‌ها اجتناب بشه.

از اختلال در سامانه‌‎های ابر آروان اجتناب بشه.

به حریم شخصی افراد و کاربران احترام گذاشته بشه.

از IP مشخصی برای ارزیابی استفاده و این IP در گزارش قید بشه.

تمام فعالیت‌‎ها و دسترسی‎‌ها می‌‎بایست در گزارش قید بشه.

از بارگذاری شاهد مثال‌های آسیب‎‌پذیری‎‌‌ها در سایت‌های اشتراکی youtube, imgur و... اجتناب بشه.

اگر پاسخی از سمت هکر کلاه سفید دریافت نشه، گزارش از طریق ایمیل پس از هفت روز کاری غیرفعال می‌شه.

آسیب‎‌‌پذیری‎‌های گزارش شده می‎‌بایست تاثیر معنا‌داری بر کاربران، سامانه‌‎ها یا داده‎‌های ابر آروان داشته باشه.

ممکنه آسیب‎‌پذیری گزارش شده، پیش از ارسال، به‌وسیله‌ی فرد دیگری گزارش شده باشه. در این موقعیت به گزارش جایزه تعلق نمی‌گیره.

چه‌جوری گزارشت رو برای ما بفرستی؟

گزارشی که برای ابر آروان می‌فرستی باید این موارد رو داشته باشه:

در هر گزارش یک آسیب‌‌‎پذیری مشخص ارایه بشه.

آسیب‌‎پذیری به‌شکل مشروح به همراه شدت و خطر پیشنهادی توضیح داده بشه.

مراحل باز‌تولید آسیب‌‎پذیری شرح داده بشه.

شاهد مثال برای آسیب‌‎‌پذیری به همراه ابزارهای لازم به‌‎طور کامل ارایه بشه.

هرگونه تنظیم خاص مورد نیاز برای بازسازی حمله، باید ارایه بشه.

گزارش آسیب‌پذیری شناسایی‌شده‌ات رو ثبت کن

کلاه سفیدت رو سرت بذار