لوگو قوانین

قوانین و مسئولیت‌ها

مقدمه

باگدشت "سامانه ارائه خدمات امنیتی" یا SECaaS است که هدف آن افزایش سطح امنیت و ایمن‌سازی سامانه‌های فناوری اطلاعات و ارتباطات سازمانها می‌باشد. شرکت دانش‌بنیان تحلیلگران امن آریانا، با ایجاد سامانه ارائه خدمات امنیتی باگدشت از سال 1397 بصورت عملیاتی، منجربه ایجاد کارآفرینی نیروی متخصص امنیتی کشور به روشی جدید، استفاده از پتانسیل آنها و اجرای پروژه‌های امنیتی شده است و سازمانهای کشور به خدمات متنوع امنیتی سامانه دسترسی دارند.

آخرین به‌روزرسانی قوانین از طریق این صفحه قابل دسترس می‌باشد و در صورت تغییر در محتوای قوانین، اطلاع‌رسانی از طریق پنل کاربری به تمامی متخصصین انجام خواهد شد. لذا پیش از آغاز همکاری و استفاده از پلتفرم، شرح قوانین را مطالعه فرمایید.

قوانین پلتفرم باگدشت

متخصصین امنیتی می‌بایست به ارائه گزارش امنیتی در پلتفرم باگدشت بپردازند و صرفا ارائه وجود آسیب‌پذیری در سامانه‌ها بدون شواهد امکان اجرای آن مورد پذیرش نیست.

گزارش‌های امنیتی به زبان فارسی ارائه گردند.

گزارش‌های اعلام شده توسط متخصصین می‌بایست قابل اثبات و تکرارپذیر باشند و با جزئیات قدم به قدم توضیح داده شوند.

در ویدیو ارسالی به عنوان PoC می‌بایست مراحل شناسایی باگ از ابتدا تا انتها ارائه شود.

در ابتدای هر ویدیو PoC وب سایت time.ir در یک مرورگر جدید باز شود و زمان ضبط ویدیو بصورت واضح نمایش داده شود.

تارگت مورد تست می‌بایست در دسترس برای عموم باشد و یا نحوه دسترسی به آن در گزارش و ویدیو ارائه شود.

هر گزارش می‌بایست اشاره به یک آسیب‌پذیری امنیتی داشته باشد.

تمام اعلام گزارش‌های تنها می‌بایست از طریق پلتفرم باگدشت ارائه و پیگیری شود و اشتراک گذاری اطلاعات مرتبط با آنها در رسانه‌های اجتماعی، دیگر وب‌سایتهای اشتراک‌گذاری اطلاعات مانند Pastebin و پیگیری موازی با سازمان توسط متخصص مورد پذیرش نمی‌باشد و مشکلات احتمالی برای متخصص و پیگیری حقوقی سازمان به این دلیل، تحت مسئولیت متخصص قرار می‌گیرد.

همکاری باگدشت با متخصصین امنیتی شناسایی کننده آسیب‌پذیری انجام می‌شود و اعلام گزارش‌ها توسط افراد و یا شرکتهای واسطه فروش باگ مورد پذیرش نمی‌باشد.

استفاده از کلمات و جملات توهین آمیز مرتبط با تخصص افراد، ملیت، جنسیت، مذهب و یا مباحث سیاسی و غیر فنی در هیچکدام از بخشهای پلتفرم مورد پذیرش نمی‌باشد.

در ارزیابی تنها می‌بایست به شناسایی گزارش‌های امنیتی پرداخته و از اجرای حملاتی که منجربه نقض در یکپارچگی و یا اختلال در سرویس می‌شوند اجتناب شود و از نتایج اسکنرها و ابزارهای اتوماتیک برای ارائه گزارش‌ها استفاده نشود.

آسیب‌پذیری‌های روز صفر، تا پیش از ارائه راهکار امنیتی مناسب برای برطرف کردن باگ امنیتی از جانب توسعه دهنده محصول، مورد پذیرش باگدشت نمی‌باشند.

درج پیلود (کد، اسکریپت و ...) استفاده شده برای کشف گزارش‌های امنیتی، در گزارش ارسالی الزامیست.

پس از ارسال گزارش امنیتی در پلتفرم باگدشت وضعیت گزارش به حالت "دریافت شده" تغییر می‌کند که در این حالت ارسال‌کننده امکان ویرایش گزارش خود را دارد.

گزارش دریافتی به تیم تریاژ ارجاع داده می‌شود تا مطابقت آن با چارچوب‌های ارسال گزارش که در بخش قوانین باگدشت به آنها اشاره شده، بررسی شود.

در صورت تایید گزارش توسط تیم تریاژ، وضعیت گزارش به "تایید تریاژ" تغییر می‌کند و گزارش به تیم کمیته فنی ارجاع داده می‌شود. کمیته فنی گزارش را از نظر امکان اکسپلویت و کامل بودن سناریوی اجرا بررسی و ارزشگذاری می‌کند.

در صورت تایید، وضعیت گزارش به "تایید کمیته فنی" تغییر پیدا می‌کند و گزارش برای تایید نهایی برای سوپروایزر ارسال می‌شود. در صورت تایید سوپروایزر، امتیازی متناسب با شدت باگ به متخصص تعلق می‌گیرد.

چنانچه در هر مرحله نیاز به توضیح یا تغییر توسط فرد گزارش‌دهنده وجود داشته باشد، گزارش به متخصص بازگردانده می‌شود و مراحل فوق مجدد تکرار می‌گردد.

در مرحله بعد در صورتی که باگ ارسال شده در قالب "باگ بانتی" یا "باگ هانتینگ" باشد مبلغ بانتی به متخصص تعلق می‌گیرد و در طول یک ماه تسویه حساب بر اساس اطلاعات مالی گزارش‌دهنده در پلتفرم انجام می‌شود.

در صورتی که گزارش ارسالی متعلق به سازمانی باشد که طرف قرارداد با باگدشت نیست، فرآیند اطلاع‌رسانی و پیگیری گزارش آغاز می‌شود و با توجه به نبودن تفاهم قبلی با آن سازمان در خصوص دریافت باگ، پرداخت یا عدم پرداخت گزارش بر عهده سازمان می‌باشد.

کاربران پلتفرم ملزم به تعهد در اجرای اقدامات خود در قالب قوانین اعلام شده باگدشت می‌باشند و آخرین به‌روزرسانی قوانین از طریق پلتفرم باگدشت قابل دسترس می‌باشد و در صورت تغییر در محتوای قوانین، اطلاع رسانی انجام خواهدشد.

کاربر تمام اطلاعات مرتبط با و موجود در پلتفرم را با سطح محرمانه حفظ خواهد نمود و آنها را در هیچ صورت به غیر، افشا و منتشر نمی‌کند.

کاربر اذعان میدارد که تمام اطلاعات مرتبط با و موجود در پلتفرم را بصورت حقیقی یا حقوقی و یا در ارتباط با سازمانها، شرکتهای دیگر و اشخاص ثالث و یا در شبکه‌های اجتماعی و دیگر وب‌سایتها و کانال‌های ارتباطی به هر نوع کپی‌ و یا استفاده نمی‌نماید.

اعلام عمومی اطلاعات قابل دسترسی در پلتفرم باگدشت توسط کاربر در فضای اینترنت مورد پذیرش نمی‌باشد.

کاربر، می‌بایست تمام اقدامات لازم برای حفظ اطلاعات محرمانه خود را بکار ببندد و در صورت قصور، اشتراک‌گذاری و افشای اطلاعات مذکور، مسئول شناخته خواهد شد.

تلاش برای دسترسی به حساب کاربری دیگر اعضای پلتفرم مورد پایش قرار می‌گیرد و منجربه سلب دسترسی کاربر در پلتفرم می‌شود.

کاربر به محض مشخص شدن هرگونه افشای بی مورد و استفاده غیرمجاز از اطلاعات، بی درنگ تدابیر منطقی لازم را برای پیشگیری و ادامه آن اتخاذ و باگدشت را از موضوع افشاء مطلع نماید.

کاربر مجاز به استفاده شخصی از گزارش‌های امنیتی شناسایی شده و یا ارتباط مستقیم با سازمان مربوطه و یا ارائه اطلاعات به سازمان‌ها و اشخاص ثالث نمی‌باشد.

کاربر مسئولیت تبعیت از قوانین سایبری کشور و عدم ایجاد اختلال و یا وقفه در سرویس‌های مورد ارزیابی را دارد.

در صورت نقض هریک از قوانین توضیح داده شده در پلتفرم باگدشت، اخطار و هشدار مربوطه به کاربر ارسال می‌شود و کاربر با تایید این تفاهم قبول نموده است که هر نوع خسارتی که از سوی او پدید آید، قابل مطالبه است و متعهد به جبران خسارت می‌باشد و باگدشت و سازمان پیگیری‌های حقوقی و قضایی را دنبال خواهد نمود.

باگدشت، مسئولیتی در قبال اقدامات متخصصین امنیتی بر خلاف قوانین اعلام شده در پلتفرم باگدشت، نخواهد داشت و به عنوان واسط متخصص در حوزه شناسایی و ایمن‌سازی گزارش‌های امنیتی ایفای نقش می‌نماید.

این تفاهم تمام مکاتبات و ارتباطات میان طرفین را دربرمی‌گیرد. طرفین علم دارند که تعهدات آنان بدون محدودیت زمانی معتبر و لازم‌الاتباع است.

این تفاهم در تمام ابعاد و جوانب، مشمول قوانین و مقررات لازم‌ الاتباع و لازم ‌الاجرا در جمهوری اسلامی ایران است.

کلیه اختلافات ناشی از این تفاهم و یا راجع به آن، از جمله انعقاد، اعتبار، فسخ، نقض، تفسیر یا اجرای آن، در صورت عدم رفع با هماهنگی طرفین، به مراجع رسمی قضایی جمهوری اسلامی ایران، ارجاع می‌گردد که حکم مربوطه لازم الاجراء خواهد بود.

نمونه سطوح باگ امنیتی:

سطوح مختلف باگ ها به همراه نمونه هایی از هر سطح (این موارد بر اساس مشخصات هر سازمان به روز و تصمیم گیری میشود)

Technical severity VRT category Specific vulnerability name Variant / Affected function
P1 Server Security Misconfiguration Using Default Credentials
P1 Server-Side Injection File Inclusion Local
P1 Server-Side Injection Remote Code Execution (RCE)
P1 Server-Side Injection SQL Injection
P1 Server-Side Injection XML External Entity Injection (XXE)
P1 Broken Authentication and Session Management Authentication Bypass
P1 Sensitive Data Exposure Disclosure of Secrets For Publicly Accessible Asset
P1 Insecure OS/Firmware Command Injection
P1 Insecure OS/Firmware Hardcoded Password Privileged User
P1 Broken Cryptography Cryptographic Flaw Incorrect Usage
P1 Automotive Security Misconfiguration Infotainment, Radio Head Unit PII Leakage
P1 Automotive Security Misconfiguration RF Hub Key Fob Cloning
P2 Server Security Misconfiguration Misconfigured DNS High Impact Subdomain Takeover
P2 Server Security Misconfiguration OAuth Misconfiguration Account Takeover
P2 Sensitive Data Exposure Weak Password Reset Implementation Token Leakage via Host Header Poisoning
P2 Cross-Site Scripting (XSS) Stored Non-Privileged User to Anyone
P2 Broken Access Control (BAC) Server-Side Request Forgery (SSRF) Internal High Impact
P2 Cross-Site Request Forgery (CSRF) Application-Wide
P2 Application-Level Denial-of-Service (DoS) Critical Impact and/or Easy Difficulty
P2 Insecure OS/Firmware Hardcoded Password Non-Privileged User
P2 Automotive Security Misconfiguration Infotainment, Radio Head Unit OTA Firmware Manipulation
P2 Automotive Security Misconfiguration Infotainment, Radio Head Unit Code Execution (CAN Bus Pivot)
P2 Automotive Security Misconfiguration RF Hub CAN Injection / Interaction
P3 Server Security Misconfiguration Misconfigured DNS Basic Subdomain Takeover
P3 Server Security Misconfiguration Mail Server Misconfiguration No Spoofing Protection on Email Domain
P3 Server-Side Injection HTTP Response Manipulation Response Splitting (CRLF)
P3 Server-Side Injection Content Spoofing iframe Injection
P3 Broken Authentication and Session Management Second Factor Authentication (2FA) Bypass
P3 Broken Authentication and Session Management Session Fixation Remote Attack Vector
P3 Sensitive Data Exposure Disclosure of Secrets For Internal Asset
P3 Sensitive Data Exposure EXIF Geolocation Data Not Stripped From Uploaded Images Automatic User Enumeration
P3 Cross-Site Scripting (XSS) Stored Privileged User to Privilege Elevation
P3 Cross-Site Scripting (XSS) Stored CSRF/URL-Based
P3 Cross-Site Scripting (XSS) Reflected Non-Self
P3 Broken Access Control (BAC) Server-Side Request Forgery (SSRF) Internal Scan and/or Medium Impact
P3 Application-Level Denial-of-Service (DoS) High Impact and/or Medium Difficulty
P3 Client-Side Injection Binary Planting Default Folder Privilege Escalation
P3 Automotive Security Misconfiguration Infotainment, Radio Head Unit Code Execution (No CAN Bus Pivot)
P3 Automotive Security Misconfiguration Infotainment, Radio Head Unit Unauthorized Access to Services (API / Endpoints)
P3 Automotive Security Misconfiguration RF Hub Data Leakage / Pull Encryption Mechanism
P3 Automotive Security Misconfiguration CAN Injection (Battery Management System)
P3 Automotive Security Misconfiguration CAN Injection (Steering Control)
P3 Automotive Security Misconfiguration CAN Injection (Pyrotechnical Device Deployment Tool)
P3 Automotive Security Misconfiguration CAN Injection (Headlights)
P3 Automotive Security Misconfiguration CAN Injection (Sensors)
P3 Automotive Security Misconfiguration CAN Injection (Vehicle Anti-theft Systems)
P3 Automotive Security Misconfiguration CAN Injection (Powertrain)
P3 Automotive Security Misconfiguration CAN Injection (Basic Safety Message)
P3 Automotive Security Misconfiguration Battery Management System Firmware Dump
P3 Automotive Security Misconfiguration Immobilizer Engine Start
P3 Automotive Security Misconfiguration Automatic Braking System (ABS) Unintended Acceleration / Brake
P4 Server Security Misconfiguration Misconfigured DNS Zone Transfer
P4 Server Security Misconfiguration Mail Server Misconfiguration Email Spoofing to Inbox due to Missing or Misconfigured DMARC on Email Domain
P4 Server Security Misconfiguration Database Management System (DBMS) Misconfiguration Excessively Privileged User / DBA
P4 Server Security Misconfiguration Lack of Password Confirmation Delete Account
P4 Server Security Misconfiguration No Rate Limiting on Form Registration
P4 Server Security Misconfiguration No Rate Limiting on Form Login
P4 Server Security Misconfiguration No Rate Limiting on Form Email-Triggering
P4 Server Security Misconfiguration No Rate Limiting on Form SMS-Triggering
P4 Server Security Misconfiguration Missing Secure or HTTPOnly Cookie Flag Session Token
P4 Server Security Misconfiguration Clickjacking Sensitive Click-Based Action
P4 Server Security Misconfiguration OAuth Misconfiguration Account Squatting
P4 Server Security Misconfiguration CAPTCHA Implementation Vulnerability
P4 Server Security Misconfiguration Lack of Security Headers Cache-Control for a Sensitive Page
P4 Server Security Misconfiguration Web Application Firewall (WAF) Bypass Direct Server Access
P4 Server-Side Injection Content Spoofing Impersonation via Broken Link Hijacking
P4 Server-Side Injection Content Spoofing External Authentication Injection
P4 Server-Side Injection Content Spoofing Email HTML Injection
P4 Server-Side Injection Server-Side Template Injection (SSTI) Basic
P4 Broken Authentication and Session Management Cleartext Transmission of Session Token
P4 Broken Authentication and Session Management Weak Login Function Other Plaintext Protocol with no Secure Alternative
P4 Broken Authentication and Session Management Weak Login Function Over HTTP
P4 Broken Authentication and Session Management Failure to Invalidate Session On Logout (Client and Server-Side)
P4 Broken Authentication and Session Management Failure to Invalidate Session On Password Reset and/or Change
P4 Broken Authentication and Session Management Weak Registration Implementation Over HTTP
P4 Sensitive Data Exposure Disclosure of Secrets Pay-Per-Use Abuse
P4 Sensitive Data Exposure EXIF Geolocation Data Not Stripped From Uploaded Images Manual User Enumeration
P4 Sensitive Data Exposure Visible Detailed Error/Debug Page Detailed Server Configuration
P4 Sensitive Data Exposure Token Leakage via Referer Untrusted 3rd Party
P4 Sensitive Data Exposure Token Leakage via Referer Over HTTP
P4 Sensitive Data Exposure Sensitive Token in URL User Facing
P4 Sensitive Data Exposure Weak Password Reset Implementation Password Reset Token Sent Over HTTP
P4 Sensitive Data Exposure Via localStorage/sessionStorage Sensitive Token
P4 Cross-Site Scripting (XSS) Stored Privileged User to No Privilege Elevation
P4 Cross-Site Scripting (XSS) IE-Only IE11
P4 Cross-Site Scripting (XSS) Referer
P4 Cross-Site Scripting (XSS) Universal (UXSS)
P4 Cross-Site Scripting (XSS) Off-Domain Data URI
P4 Broken Access Control (BAC) Server-Side Request Forgery (SSRF) External
P4 Broken Access Control (BAC) Username/Email Enumeration Non-Brute Force
P4 Unvalidated Redirects and Forwards Open Redirect GET-Based
P4 Insufficient Security Configurability No Password Policy
P4 Insufficient Security Configurability Weak Password Reset Implementation Token is Not Invalidated After Use
P4 Insufficient Security Configurability Weak 2FA Implementation 2FA Secret Cannot be Rotated
P4 Insufficient Security Configurability Weak 2FA Implementation 2FA Secret Remains Obtainable After 2FA is Enabled
P4 Insecure Data Storage Sensitive Application Data Stored Unencrypted On External Storage
P4 Insecure Data Storage Server-Side Credentials Storage Plaintext
P4 Insecure Data Transport Executable Download No Secure Integrity Check
P4 Privacy Concerns Unnecessary Data Collection WiFi SSID+Password
P4 Automotive Security Misconfiguration Infotainment, Radio Head Unit Source Code Dump
P4 Automotive Security Misconfiguration Infotainment, Radio Head Unit Denial of Service (DoS / Brick)
P4 Automotive Security Misconfiguration Infotainment, Radio Head Unit Default Credentials
P4 Automotive Security Misconfiguration RF Hub Unauthorized Access / Turn On
P4 Automotive Security Misconfiguration CAN Injection (Disallowed Messages)
P4 Automotive Security Misconfiguration CAN Injection (DoS)
P4 Automotive Security Misconfiguration Battery Management System Fraudulent Interface
P4 Automotive Security Misconfiguration GNSS / GPS Spoofing
P4 Automotive Security Misconfiguration Roadside Unit (RSU) Sybil Attack