لوگوی اوکی اکسچنج
اپلیکیشن اوکی اکسچنج خرید و فروش بیش از ۷۰۰ رمز ارز
دانلود اپلیکیشن
bug-bounty-icon

باگ بانتی اوکی اکسچنج

اوکی اکسچنج همواره متعهد به حفظ امنیت اطلاعات کاربران و مشتریان خود بوده، به همین جهت از شما دعوت می‌کنیم تا با ارسال باگ و رخنه‌های امنیتی مشاهده شده در اوکی اکسچنج، مارا در این مسئولیت یاری کنید.

مراحل شرکت در باگ بانتی

تنها با چند قدم ساده، می‌توانید در مسابقه باگ بانتی اوکی اکسچنج شرکت کنید و با ارسال باگ های پیدا شده، جایزه دریافت کنید.

  • note-icon مطالعه قوانین
  • note-icon پیدا کردن باگ
  • note-icon ارسال گزارش باگ
  • note-icon دریافت پاداش نقدی
note-icon

جوایز

تخصص شما و زمانی که برای پیدا کردن باگ های برنامه نویسی و فنی اوکی اکسچنج می‌ذارید برای ما قابل احترام و اهمیت دارد، به همین جهت مطابق دسته بندی زیر شما می‌توانید جوایز را دریافت کنید.

    1. Remote Code Excution arrow-down
    2. حیاتی ۶۰۰ میلیون
    3. بالا ۳۰۰ میلیون
    4. متوسط ۱۵۰ میلیون
    5. پایین ۷۰ میلیون
    1. PII / Access Control - دسترسی به تمام اطلاعات خصوصی کاربران arrow-down
    2. حیاتی ۶۰۰ میلیون
    3. بالا ۳۰۰ میلیون
    4. متوسط ۱۵۰ میلیون
    5. پایین ۷۰ میلیون
    1. SQL/NoSQL Injection arrow-down
    2. حیاتی ۶۰۰ میلیون
    3. بالا ۳۰۰ میلیون
    4. متوسط ۱۵۰ میلیون
    5. پایین ۷۰ میلیون
    1. دسترسی به پنل ادمین arrow-down
    2. حیاتی ۴۰۰ میلیون
    3. بالا ۲۰۰ میلیون
    4. متوسط ۱۰۰ میلیون
    5. پایین ۵۰ میلیون
    1. Account TakeOver - تصاحب حساب کاربری بدون کلیک arrow-down
    2. حیاتی ۴۰۰ میلیون
    3. بالا ۲۰۰ میلیون
    4. متوسط ۱۰۰ میلیون
    5. پایین ۵۰ میلیون
    1. Bypass Authentication - دور زدن احراز هویت سایت arrow-down
    2. حیاتی ۴۰۰ میلیون
    3. بالا ۲۰۰ میلیون
    4. متوسط ۱۰۰ میلیون
    5. پایین ۵۰ میلیون
    1. XSS - Stored (با شرط پیاده سازی سناریوی موفق) arrow-down
    2. حیاتی ۳۰۰ میلیون
    3. بالا ۱۵۰ میلیون
    4. متوسط ۸۰ میلیون
    5. پایین ۴۰ میلیون
    1. تراکنش‌های مالی شامل (Double spending, Race Condition,...) arrow-down
    2. حیاتی ۳۰۰ میلیون
    3. بالا ۱۵۰ میلیون
    4. متوسط ۸۰ میلیون
    5. پایین ۴۰ میلیون
    1. LFI/RFI - دسترسی به فایل‌های مهم سرور و سورس کد arrow-down
    2. حیاتی ۳۰۰ میلیون
    3. بالا ۱۵۰ میلیون
    4. متوسط ۸۰ میلیون
    5. پایین ۴۰ میلیون
    1. Mass Assignment - متغییر به شرایط حساسیت و تاثیرگذاری arrow-down
    2. حیاتی ۲۰۰ میلیون
    3. بالا ۱۰۰ میلیون
    4. متوسط ۵۰ میلیون
    5. پایین ۲۰ میلیون
    1. IDOR - متغییر به شرایط حساسیت و تاثیرگذاری arrow-down
    2. حیاتی ۲۰۰ میلیون
    3. بالا ۱۰۰ میلیون
    4. متوسط ۵۰ میلیون
    5. پایین ۲۰ میلیون
    1. XXE (XML external entity) Injection arrow-down
    2. حیاتی ۲۰۰ میلیون
    3. بالا ۱۰۰ میلیون
    4. متوسط ۵۰ میلیون
    5. پایین ۲۰ میلیون
    1. PII / Access Control - دسترسی به بخشی از اطلاعات خصوصی کاربران arrow-down
    2. حیاتی ۲۰۰ میلیون
    3. بالا ۱۰۰ میلیون
    4. متوسط ۵۰ میلیون
    5. پایین ۲۰ میلیون
    1. Race Condition (غیر از تراکنش‌های مالی) arrow-down
    2. حیاتی ۱۰۰ میلیون
    3. بالا ۵۰ میلیون
    4. متوسط ۳۰ میلیون
    5. پایین ۱۰ میلیون
    1. Misconfiguration Oauth - با قابلیت بهره‌برداری arrow-down
    2. حیاتی ۱۰۰ میلیون
    3. بالا ۵۰ میلیون
    4. متوسط ۳۰ میلیون
    5. پایین ۱۰ میلیون
    1. SSRF - متغیر به شرایط حساسیت و تاثیرگذاری arrow-down
    2. حیاتی ۱۰۰ میلیون
    3. بالا ۵۰ میلیون
    4. متوسط ۳۰ میلیون
    5. پایین ۱۰ میلیون
    1. اختلال سرویس در خرید (بغیر از DOS) arrow-down
    2. حیاتی ۱۰۰ میلیون
    3. بالا ۵۰ میلیون
    4. متوسط ۳۰ میلیون
    5. پایین ۱۰ میلیون
    1. ایجاد اختلال در عملکرد سرویس- شامل ارسال OTP و یا ارسال email (بغیر از DOS) arrow-down
    2. حیاتی ۱۰۰ میلیون
    3. بالا ۵۰ میلیون
    4. متوسط ۳۰ میلیون
    5. پایین ۱۰ میلیون
    1. Account TakeOver - تصاحب حساب کاربری با کلیک arrow-down
    2. حیاتی ۱۰۰ میلیون
    3. بالا ۵۰ میلیون
    4. متوسط ۳۰ میلیون
    5. پایین ۱۰ میلیون
    1. XSS Injection Reflect arrow-down
    2. حیاتی ۵۰ میلیون
    3. بالا ۳۰ میلیون
    4. متوسط ۱۰ میلیون
    5. پایین ۱۰ میلیون
    1. Open Redirect (GET) - متغیر به شرایط حساسیت و تاثیرگذاری arrow-down
    2. حیاتی ۵۰ میلیون
    3. بالا ۳۰ میلیون
    4. متوسط ۱۰ میلیون
    5. پایین ۱۰ میلیون
    1. API Key Leaks arrow-down
    2. حیاتی ۵۰ میلیون
    3. بالا ۳۰ میلیون
    4. متوسط ۱۰ میلیون
    5. پایین ۱۰ میلیون
    1. Response Manipulation - با قابلیت بهره‌برداری arrow-down
    2. حیاتی ۵۰ میلیون
    3. بالا ۳۰ میلیون
    4. متوسط ۱۰ میلیون
    5. پایین ۱۰ میلیون
    1. CSRF - با قابلیت بهره برداری در عملیات‌های حساس arrow-down
    2. حیاتی ۳۰ میلیون
    3. بالا ۲۰ میلیون
    4. متوسط ۱۰ میلیون
    5. پایین ۱۰ میلیون
    1. Information Disclosure - متغیر به شرایط حساسیت و تاثیرگذاری arrow-down
    2. حیاتی ۳۰ میلیون
    3. بالا ۲۰ میلیون
    4. متوسط ۱۰ میلیون
    5. پایین ۱۰ میلیون
    1. CRLF Injection - با قابلیت بهره‌برداری arrow-down
    2. حیاتی ۲۰ میلیون
    3. بالا ۱۰ میلیون
    4. متوسط ۱۰ میلیون
    5. پایین ۱۰ میلیون
    1. HTTP Smuggling – با قابلیت بهره‌برداری arrow-down
    2. حیاتی ۲۰ میلیون
    3. بالا ۱۰ میلیون
    4. متوسط ۱۰ میلیون
    5. پایین ۱۰ میلیون
    1. CORS Misconfiguration - با قابلیت بهره برداری arrow-down
    2. حیاتی ۱۰ میلیون
    3. بالا ۱۰ میلیون
    4. متوسط ۱۰ میلیون
    5. پایین ۱۰ میلیون
نکته: مبالغ بالا دقیق نیست و مبلغ دقیق بعد از بررسی باگ اعلام می‌شود.
task-icon

قوانین و مقررات

  • گزارش آسیب‌پذیری باید شامل کد اکسپلویت و یا سناریوی حمله مشخص باشد و گزارش آسیب‌پذیری بدون اکسپلویت و یا سناریو حمله ارزیابی نخواهد شد.
  • بارگذاری مستندات آسیب‌پذیری‌ها در سایت‌های اشتراکی، شبکه‌های اجتماعی و ... فقط با هماهنگی و تاییدیه کتبی امکان‌پذیر خواهد بود.
  • دریافت پاداش به معنی مجوز جهت افشای گزارش نمی‌باشد و هرگونه افشای گزارش فقط با هماهنگی و تاییدیه کتبی امکان‌پذیر خواهد بود.
  • هیچ‌یک از موازین قانونی کشور را زیر پا نگذاشته باشید.
  • به حریم شخصی افراد و کاربران احترام گذاشته شود و هیچگونه تعاملی با حساب کاربری افراد، بدون رضایت آن‌ها انجام ندهید، برای تست عملکرد آسیب‌پذیری‌های مربوط به حساب کاربری، باید از حساب کاربری خود استفاده کنید.
  • در هر گزارش فقط یک آسیب پذیری ارایه شود.
  • همه شواهد باید فقط در گزارش ارسالی گنجانده شود و هیچ بخشی از آن نباید در سرور دیگری بارگذاری شوند.
  • از آدرس IP مشخصی برای بررسی و ارزیابی استفاده کنید و IP آدرس مذکور را در گزارش اعلام کنید.
  • شرح آسیب‌پذیری به صورت کامل به همراه شدت و خطرات احتمالی توضیح داده شود.
  • اطلاعات محرمانه نباید افشا شود و پس تایید گزارش می‌بایست از نگهداری آن‌ها اجتناب کنید.
  • تمام فعالیت‌ها و دسترسی‌ها می‌بایست در گزارش قید شود.
  • مراحل باز‌ تولید آسیب‌پذیری به طور کامل شرح داده شود.
  • مستندات لازم (تصاویر، فیلم، کدها، PoC و...) جهت دسترسی و استفاده از آسیب‌پذیری به همراه ابزارهای لازم به‌طور کامل بارگذاری شود.
  • هرگونه تنظیم خاص مورد نیاز برای بازسازی حمله، باید ارایه شود.
  • از مشکلات امنیتی‌ که یافته‌اید، به هیچ عنوان، بهره‌برداری و سوءاستفاده نکنید.
  • به هیچ عنوان از اطلاعات افشاء شده در یک آسیب‌پذیری برای نفوذ به سایر سیستم‌ها استفاده نشود.
  • از انجام عملیاتی و آزمونی که اختلال در فرآیند‌ها و عملکرد سامانه‌ها دارد اجتناب کنید.
  • لطفاً در ساعات شلوغ شبانه روز از ابزارهای سنگین و روش‌هایی که ترافیک زیادی روی شبکه ایجاد می‌کنند، استفاده نکنید.
  • آسیب‌پذیری‌های گزارش شده می‌بایست تاثیر مشخصی بر کاربران، سامانه‌ها یا داده‌های ما داشته باشد.
  • ثبت گزارش آسیب‌پذیری به معنای مطالعه و پذیرش قوانین می‌باشد.

قلمرو کشف آسیب‌پذیری کجاست؟

  • پس از اعلام آسیب‌پذیری، آسیب‌پذیری توسط تیم ما تست شده و پس از انجام مراحل ابتدایی برای رفع آسیب‌پذیری مبلغ جایزه پرداخت خواهد شد.
  • لازم به ذکر است که منظور از اعلام آسیب‌پذیری یعنی گزارش ارسالی کامل و بدون هیچ کاستی باشد.
  • میزان پرداخت جایزه با توجه به سختی اکسپلویت سنجیده می‌شود.
  • امتیاز و مبلغ نهایی بر اساس شدت تاثیرگذاری و بر اساس قوانین هدف محاسبه خواهد شد.
  • به دلیل گستردگی باگ‌ها و روش‌های نفوذ، امکان اعلام تمامی مصادیق جهت قبول آسیب‌پذیری وجود ندارد و با توجه به گزارش اعلام شده آسیب‌پذیری مورد نظر بررسی می‌شود.
  • لطفا برای آسیب پذیری‌های گزارش شده PoC ارسال شود.
  • میزان پاداش نهایی به دامنه و CVSS V3 بستگی دارد و جدول زیر مقادیر نهایی نیست.
forbidden

آسیب‌پذیری‌های غیرقابل قبول

  • هر نوع گزارش بدون داشتن اکسپلویت و سناریو
  • آسیب‌پذیری‌های MITM
  • آسیب‌پذیری‌هایی که قبلاً توسط سایر متخصصین گزارش شده باشد
  • آسیب‌پذیری‌هایی که از نظر Root Cause (ریشه یکسان) با باگ‌های گزارش شده باگ‌بانتی قبلی یکسان باشند
  • آسیب‌پذیری‌هایی که به ۲ مرحله یا بیشتر نیاز به تعامل با کاربر داشته باشند
  • صفحات ادمین قابل دسترس بدون نفوذ
  • حملات مهندسی اجتماعی و Phishing
  • حملات از كار اندازی سرویس (DoS/DDoS)
  • آسيب‌پذيری‌هایی که در دامنه‌ها و آدرس‌های IP غير از محدوده‌ مجاز هدف باشد
  • گزارش‌های ارائه شده توسط اسکنر‌ها و سایر ابزار‌های اتوماتیک، بدون ارایه اکسپلویت
  • آسیب‌پذیری‌های مربوط به نشت اطلاعات سرور و پیکربندی نادرست آن، مثل نسخه و نوع وب سرور
  • آسیب‌پذیری‌های مربوط به SSL و Best Practice های مربوط به آن
  • آسیب‌پذیری‌های مربوط به مرورگرهای قدیمی
  • آسیب‌پذیری‌های مربوط به حملات فیزیکی
  • آسیب‌پذیری‌های Content Spoofing
  • آسیب‌پذیری‌ SSRF بدون اکسپلویت و یا با داشتن صرفا dns query
  • آسیب‌پذیری‌های Clickjacking در صورتی که در صفحات حساس نباشد
  • آسیب‌پذیری‌های self*
  • حملات Brute Force به غیر از موارد مربوط به Captcha، شناسایی کدهای OTP، پارامترهایی که بر اساس الگو (pattern) مانند datetime ,id می‌باشند
  • آسیب‌پذیری تزریق csv
  • Best Practiceها، شامل حداقل طول كلمات عبور و غيره
  • موارد مربوط به رکوردهای DNS مرتبط با Email و نامه‌نگاری الکترونیکی جعلی (E-mail spoofing)
  • گزارش پایین بودن ورژن کتابخانه‌ها و نرم‌افزار‌های به‌کار برده شده
  • بررسی هدرها و header injection و پروتکل http و پارامتر‌های آن
  • موارد Option Index اگر به داده حساس نرسد
  • هر مورد مربوط به بدست آوردن نام‌های کاربری با استفاده از (account/e-mail/phone enumeration)
  • آسیب پذیری های CSRF مربوط به logout
  • تمامی آسیب‌پذیری‌های مربوط به Email validation not enforced
  • تمامی آسیب‌پذیری‌های مربوط به Cookie valid after password change/reset یا session fixation
  • تمامی آسیب‌پذیری‌های مربوط به Domain authentication
  • آسیب‌پذیری CORS misconfiguration بدون اکسپلویت
  • پیدا کردن IP های پشت CDN بدون داشتن سناریو و اکسپلویت برای حمله‌ای تاثیرگذار یا اینکه در بخش قابل قبول نیامده باشد
  • آسیب‌پذیری Information Disclousre بدون داشتن سناریویی برای بهره‌برداری و اکسپلویت
  • آسیب‌پذیری Crossdomain.xml
  • سناریوهایی که پس از انجام فرایند سیستمی به صورت انسانی عملیاتی انجام می‌شود که همراه با چک کردن داده هاست (توسط ادمین، مدیر کمپین، واحد مالی و ...)
  • آپلود کردن فایل غیر مجاز و مخرب بدون توانایی فراخوانی آن
sms

قالب گزارش

  • گزارش‌ را با جزییات کامل بنویسید تا تیم داوری بتواند به سرعت آسیب‌پذیری را اجرا و بررسی کنند.
  • ارسال ویدئو همراه با گزارش متنی به سرعت و دقت بررسی تیم داوری کمک می‌کند.
  • در گزارش متنی آسیب پذیری را مرحله به مرحله شرح دهید و در صورتی که از ابزار یا پیلود خاصی استفاده کرده‌اید؛ حتما به آن اشاره کنید.
  • برای داوری بهتر هر آسیب پذیری را در یک گزارش مجزا ارسال کنید.
  • نسخه مرورگر و سیستم عاملی که از آن استفاده کرده را اعلام کنید.

لطفا گزارش آسیب پذیری را از طریق لینک زیر ارسال کنید (ارسال گزارش به معنای پذیرفتن قوانین است)