شرکت سفرهای علی‌بابا (alibaba)
زمان باقی مانده
71 روز
نوع مسابقه
بانتی
وضعیت مسابقه
فعال
هدف‌ها

علی‌بابا برندی از هلدینگ پرافتخار توشا (توسعه تجربه شایسته سفر) است، سامانه‌ای که به‌واسطه پشتیبانی و حمایت شما در سکوی اول گردشگری کشور ایستاده. در این برنامه نحوه ارایه گزارش امنیتی، دامنه مورد پذیرش و فرآیند تحلیل و بررسی و نهایی سازی باگ اعلام شده است.

قوانین بانتی حتما مطالعه شود:

  • Stress test و حملات DOS که منجر به ایجاد اختلال در عملکرد سامانه می گردد مجاز نمی باشد.
  • ارزیابی تا مرحله ای مجاز می باشد که وجود آسیب پذیری قابل استناد باشد اما عملکرد سامانه مختل نگردد و تغییری ایجاد نشود.
  • در ابتدای هر poc آدرس IP کاربر (what is my ip) و زمان تست (time.ir) در همان لحظه نمایش داده شود و در غیر ینصورت گزارش بازگشت داه میشود.
  • تغییری در سامانه و یا اطلاعات ایجاد نگردد.
  • در صورت وقوع هرگونه خسارت ناشی از حملات گسترده به سامانه‌های مورد تست، کاربر مربوطه به کارفرما معرفی میگردد.
  • تمهیدات لازم برای جلوگیری از وقوع اختلال و خسارت در سامانه‌های معرفی شده توسط سازمان برای ارزیابی امنیتی در حین تست در نظر گرفته شود، در صورتیکه ضرر و زیانی متوجه سازمان گردد متناسب با خسارت وارده و با تایید ناظر قرارداد، مبلغ جریمه در نظر گرفته خواهد شد.
  • متخصص تعهد می­نماید کلیه اطلاعات را که در راستای اجرای این قرارداد به آنها دسترسی پیدا می­کند محرمانه تلقی نموده و کلیه اقدامات لازم برای جلوگیری از تکثیر و یا افشا تمامی از آنها را با کمال دقت به عمل آورد.
  • به محض شناسایی باگ های امنیتی در محدوده کسب و کار کارفرما موارد شناسایی شده را به سرعت از طریق پلتفرم باگدشت به آدرس Bugdasht.ir اعلام نمایید.
  • جزییات باگ های امنیتی شناسایی شده در هیچ مرحله ای نمی بایست افشا و عمومی شود.
  • باگ های اعلام شده تنها از طریق پلتفرم باگدشت به عنوان واسط فنی اعلام گردد و از طریق کانالهای دیگر و یا شبکه های اجتماعی اشتراک گذاری نگردد.
  • در ارزیابی تنها می بایست به شناسایی باگ امنیتی پرداخته و از اجرای حملاتی که منجر به نقض در یکپارچگی و تغییر داده ها و یا اختلال در سرویس می شوند اجتناب شود.
  • از اجرای کدهای اکسپلویت تنها برای ارایه شواهد فنی وجود باگ امنیتی به باگدشت استفاده شود و اجرای این کدها با پیامد منفی بر روی کسب و کار مجاز نمی باشد.
  • کابران پلتفرم موظف اند در زمانیکه به داده حساس کسب و کار مانند داده های مالی و یا اطلاعات محرمانه کاربران و کارکنان دسترسی یافتند فرآیند شناسایی باگ را متوقف نموده و باگ را به سرعت به باگدشت گزارش نمایند.
  • کانال ارتباطی پذیرش و پیگیری باگ های امنیتی و همچنین پرداخت به ازای همکاری صورت گرفته از طریق پلتفرم باگدشت می باشد.
  • متخصصین امنیتی و کاربران پلتفرم مجری مسوولیت تبعیت از قوانین سایبری کشور و عدم ایجاد اختلال و یا وقفه در سرویسهای مورد ارزیابی را دارند.
  • متخصص امنیتی و کاربران پلتفرم مجری در صورت دسترسی به اطلاعات سازمان مورد بررسی نمی‌بایست آنها را در فرآیند شخصی و غیر از پلتفرم باگدشت استفاده نماید. ​​​​​​​
  • ارزش باگها پس از کسر کسورات قانونی در مجموعه 10 درصد به متخصص صورت میگیرد.

تاکید می گردد سامانه به صورت عملیاتی بوده و می بایست تمام الزامات برای جلوگیری از بروز اختلال در سامانه لحاظ و رعایت گردد.

 

  • محدوده زیردامنه های مورد پذیرش: (وبسایت-میزبان-مهمان)
    • jabama.com
    • taraazws.jabama.com
    • cdn.jabama.com
    • jabamacdn.com
    • pg.jabama.com

 

  • خارج از محدوده:
    • jabama.com/mag/*
    • jabama.com/help/*
    • مجله
    • پرسش‌ها
    • زیردامنه‌هایی که در محدوده تعریف نشده است مثل mail، webmail، ...

 

آسیب پذیری های قابل قبول برای محدوده‌های تست به‌شرح زیر است:

 

  • Critical and high severity vulnerabilities (CVSS v3.0 score 7~10)
  • RCE
  • Injections
  • XXE
  • SSRF
  • IDOR
  • Command Injection
  • File Inclusion
  • Improper Access Control
  • Privilege Escalation
  • Improper Authentication
  • Business logic vulnerabilities
  • Sensitive Data Exposure

 

 آسیب پذیری های غیر قابل قبول برای محدوده‌های تست به‌شرح زیر است:

  • UI and UX bugs and spelling or localization mistakes.
  • Open redirect / Lack of security speedbump when leaving the site.
  • HTTP 404 codes/pages or other HTTP non-200 codes/pages.
  • Disclosure of known public files or directories, (e.g. README.TXT, CHANGES.TXT, robots.txt, .gitignore, etc.).
  • Presence of application or web browser ‘autocomplete’ or ‘save password’ functionality.
  • Lack of Secure/HTTPOnly flags on non-sensitive Cookies.
  • Descriptive error messages (e.g. stack traces, application or server errors, path disclosure).
  • Fingerprinting/banner disclosure on common/public services.
  • Clickjacking and issues only exploitable through clickjacking.
  • CSRF issues that don't impact the integrity of an account (e.g. log in or out, contact forms and other publicly accessible forms)
  • Lack of rate limiting / Weak Captcha / Captcha Bypass
  • Login or Forgot Password page brute force, account lockout not enforced, or insufficient password strength requirements
  • HTTPS mixed content scripts.
  • Username / email enumeration by brute forcing / error messages (e.g. login / signup / forgotten password).
  • Exceptional cases may still be in scope (e.g. ability to enumerate email addresses via incrementing a numeric parameter).
  • Use of a known-vulnerable component (exceptional cases, such as where you are able to provide proof of exploitation, may still be in scope)
  • OPTIONS HTTP method enabled
  • Missing HTTP security headers, e.g.
  • Strict-Transport-Security
  • X-Frame-Options
  • X-XSS-Protection
  • X-Content-Type-Options
  • Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
  • Content-Security-Policy-Report-Only
  • SSL Issues, e.g.
  • SSL Attacks such as BEAST, BREACH, Renegotiation attack
  • SSL Forward secrecy not enabled
  • SSL weak / insecure cipher suites
  • Self XSS / XSS issues that affect only outdated browsers (like Internet Explorer)
  • Text injection.
  • Spamming.
  • Best practices.
  • WAF bypass
  • Internal IP address disclosure.
  • Denial of Service attacks.
  • Out-of-date software.
  • DNS issues (i.e. mx records, SPF records, etc.)
  • Social engineering / phishing attacks / Email spoofing, and related issues.
  • Physical attacks against Alibaba’s Facilities / Property.

 

آدرس IP
دامنه
https://jabama.com
نام کاربری
رمزعبور
لینک
بودجه
50,000,000 تومان
تاریخ شروع
1401/03/16
تاریخ پایان
1401/06/16

جایزه به ازای هر شدت:

بحرانی
9,600,000 تومان
خطرناک
4,800,000 تومان
متوسط
0 تومان