باگدشت "سامانه ارائه خدمات امنیتی" یا SECaaS است که هدف آن افزایش سطح امنیت و ایمنسازی سامانههای فناوری اطلاعات و ارتباطات سازمانها میباشد. شرکت دانشبنیان تحلیلگران امن آریانا، با ایجاد سامانه ارائه خدمات امنیتی باگدشت از سال 1397 بصورت عملیاتی، منجربه ایجاد کارآفرینی نیروی متخصص امنیتی کشور به روشی جدید، استفاده از پتانسیل آنها و اجرای پروژههای امنیتی شده است و سازمانهای کشور به خدمات متنوع امنیتی سامانه دسترسی دارند.
آخرین بهروزرسانی قوانین از طریق این صفحه قابل دسترس میباشد و در صورت تغییر در محتوای قوانین، اطلاعرسانی از طریق پنل کاربری به تمامی متخصصین انجام خواهد شد. لذا پیش از آغاز همکاری و استفاده از پلتفرم، شرح قوانین را مطالعه فرمایید.
متخصصین امنیتی میبایست به ارائه گزارش امنیتی در پلتفرم باگدشت بپردازند و صرفا ارائه وجود آسیبپذیری در سامانهها بدون شواهد امکان اجرای آن مورد پذیرش نیست.
گزارشهای امنیتی به زبان فارسی ارائه گردند.
گزارشهای اعلام شده توسط متخصصین میبایست قابل اثبات و تکرارپذیر باشند و با جزئیات قدم به قدم توضیح داده شوند.
در ویدیو ارسالی به عنوان PoC میبایست مراحل شناسایی باگ از ابتدا تا انتها ارائه شود.
در ابتدای هر ویدیو PoC وب سایت time.ir در یک مرورگر جدید باز شود و زمان ضبط ویدیو بصورت واضح نمایش داده شود.
تارگت مورد تست میبایست در دسترس برای عموم باشد و یا نحوه دسترسی به آن در گزارش و ویدیو ارائه شود.
هر گزارش میبایست اشاره به یک آسیبپذیری امنیتی داشته باشد.
تمام اعلام گزارشهای تنها میبایست از طریق پلتفرم باگدشت ارائه و پیگیری شود و اشتراک گذاری اطلاعات مرتبط با آنها در رسانههای اجتماعی، دیگر وبسایتهای اشتراکگذاری اطلاعات مانند Pastebin و پیگیری موازی با سازمان توسط متخصص مورد پذیرش نمیباشد و مشکلات احتمالی برای متخصص و پیگیری حقوقی سازمان به این دلیل، تحت مسئولیت متخصص قرار میگیرد.
همکاری باگدشت با متخصصین امنیتی شناسایی کننده آسیبپذیری انجام میشود و اعلام گزارشها توسط افراد و یا شرکتهای واسطه فروش باگ مورد پذیرش نمیباشد.
استفاده از کلمات و جملات توهین آمیز مرتبط با تخصص افراد، ملیت، جنسیت، مذهب و یا مباحث سیاسی و غیر فنی در هیچکدام از بخشهای پلتفرم مورد پذیرش نمیباشد.
در ارزیابی تنها میبایست به شناسایی گزارشهای امنیتی پرداخته و از اجرای حملاتی که منجربه نقض در یکپارچگی و یا اختلال در سرویس میشوند اجتناب شود و از نتایج اسکنرها و ابزارهای اتوماتیک برای ارائه گزارشها استفاده نشود.
آسیبپذیریهای روز صفر، تا پیش از ارائه راهکار امنیتی مناسب برای برطرف کردن باگ امنیتی از جانب توسعه دهنده محصول، مورد پذیرش باگدشت نمیباشند.
درج پیلود (کد، اسکریپت و ...) استفاده شده برای کشف گزارشهای امنیتی، در گزارش ارسالی الزامیست.
پس از ارسال گزارش امنیتی در پلتفرم باگدشت وضعیت گزارش به حالت "دریافت شده" تغییر میکند که در این حالت ارسالکننده امکان ویرایش گزارش خود را دارد.
گزارش دریافتی به تیم تریاژ ارجاع داده میشود تا مطابقت آن با چارچوبهای ارسال گزارش که در بخش قوانین باگدشت به آنها اشاره شده، بررسی شود.
در صورت تایید گزارش توسط تیم تریاژ، وضعیت گزارش به "تایید تریاژ" تغییر میکند و گزارش به تیم کمیته فنی ارجاع داده میشود. کمیته فنی گزارش را از نظر امکان اکسپلویت و کامل بودن سناریوی اجرا بررسی و ارزشگذاری میکند.
در صورت تایید، وضعیت گزارش به "تایید کمیته فنی" تغییر پیدا میکند و گزارش برای تایید نهایی برای سوپروایزر ارسال میشود. در صورت تایید سوپروایزر، امتیازی متناسب با شدت باگ به متخصص تعلق میگیرد.
چنانچه در هر مرحله نیاز به توضیح یا تغییر توسط فرد گزارشدهنده وجود داشته باشد، گزارش به متخصص بازگردانده میشود و مراحل فوق مجدد تکرار میگردد.
در مرحله بعد در صورتی که باگ ارسال شده در قالب "باگ بانتی" یا "باگ هانتینگ" باشد مبلغ بانتی به متخصص تعلق میگیرد و در طول یک ماه تسویه حساب بر اساس اطلاعات مالی گزارشدهنده در پلتفرم انجام میشود.
در صورتی که گزارش ارسالی متعلق به سازمانی باشد که طرف قرارداد با باگدشت نیست، فرآیند اطلاعرسانی و پیگیری گزارش آغاز میشود و با توجه به نبودن تفاهم قبلی با آن سازمان در خصوص دریافت باگ، پرداخت یا عدم پرداخت گزارش بر عهده سازمان میباشد.
کاربران پلتفرم ملزم به تعهد در اجرای اقدامات خود در قالب قوانین اعلام شده باگدشت میباشند و آخرین بهروزرسانی قوانین از طریق پلتفرم باگدشت قابل دسترس میباشد و در صورت تغییر در محتوای قوانین، اطلاع رسانی انجام خواهدشد.
کاربر تمام اطلاعات مرتبط با و موجود در پلتفرم را با سطح محرمانه حفظ خواهد نمود و آنها را در هیچ صورت به غیر، افشا و منتشر نمیکند.
کاربر اذعان میدارد که تمام اطلاعات مرتبط با و موجود در پلتفرم را بصورت حقیقی یا حقوقی و یا در ارتباط با سازمانها، شرکتهای دیگر و اشخاص ثالث و یا در شبکههای اجتماعی و دیگر وبسایتها و کانالهای ارتباطی به هر نوع کپی و یا استفاده نمینماید.
اعلام عمومی اطلاعات قابل دسترسی در پلتفرم باگدشت توسط کاربر در فضای اینترنت مورد پذیرش نمیباشد.
کاربر، میبایست تمام اقدامات لازم برای حفظ اطلاعات محرمانه خود را بکار ببندد و در صورت قصور، اشتراکگذاری و افشای اطلاعات مذکور، مسئول شناخته خواهد شد.
تلاش برای دسترسی به حساب کاربری دیگر اعضای پلتفرم مورد پایش قرار میگیرد و منجربه سلب دسترسی کاربر در پلتفرم میشود.
کاربر به محض مشخص شدن هرگونه افشای بی مورد و استفاده غیرمجاز از اطلاعات، بی درنگ تدابیر منطقی لازم را برای پیشگیری و ادامه آن اتخاذ و باگدشت را از موضوع افشاء مطلع نماید.
کاربر مجاز به استفاده شخصی از گزارشهای امنیتی شناسایی شده و یا ارتباط مستقیم با سازمان مربوطه و یا ارائه اطلاعات به سازمانها و اشخاص ثالث نمیباشد.
کاربر مسئولیت تبعیت از قوانین سایبری کشور و عدم ایجاد اختلال و یا وقفه در سرویسهای مورد ارزیابی را دارد.
در صورت نقض هریک از قوانین توضیح داده شده در پلتفرم باگدشت، اخطار و هشدار مربوطه به کاربر ارسال میشود و کاربر با تایید این تفاهم قبول نموده است که هر نوع خسارتی که از سوی او پدید آید، قابل مطالبه است و متعهد به جبران خسارت میباشد و باگدشت و سازمان پیگیریهای حقوقی و قضایی را دنبال خواهد نمود.
باگدشت، مسئولیتی در قبال اقدامات متخصصین امنیتی بر خلاف قوانین اعلام شده در پلتفرم باگدشت، نخواهد داشت و به عنوان واسط متخصص در حوزه شناسایی و ایمنسازی گزارشهای امنیتی ایفای نقش مینماید.
این تفاهم تمام مکاتبات و ارتباطات میان طرفین را دربرمیگیرد. طرفین علم دارند که تعهدات آنان بدون محدودیت زمانی معتبر و لازمالاتباع است.
این تفاهم در تمام ابعاد و جوانب، مشمول قوانین و مقررات لازم الاتباع و لازم الاجرا در جمهوری اسلامی ایران است.
کلیه اختلافات ناشی از این تفاهم و یا راجع به آن، از جمله انعقاد، اعتبار، فسخ، نقض، تفسیر یا اجرای آن، در صورت عدم رفع با هماهنگی طرفین، به مراجع رسمی قضایی جمهوری اسلامی ایران، ارجاع میگردد که حکم مربوطه لازم الاجراء خواهد بود.
سطوح مختلف باگ ها به همراه نمونه هایی از هر سطح (این موارد بر اساس مشخصات هر سازمان به روز و تصمیم گیری میشود)
| Technical severity | VRT category | Specific vulnerability name | Variant / Affected function |
|---|---|---|---|
| P1 | Server Security Misconfiguration | Using Default Credentials | |
| P1 | Server-Side Injection | File Inclusion | Local |
| P1 | Server-Side Injection | Remote Code Execution (RCE) | |
| P1 | Server-Side Injection | SQL Injection | |
| P1 | Server-Side Injection | XML External Entity Injection (XXE) | |
| P1 | Broken Authentication and Session Management | Authentication Bypass | |
| P1 | Sensitive Data Exposure | Disclosure of Secrets | For Publicly Accessible Asset |
| P1 | Insecure OS/Firmware | Command Injection | |
| P1 | Insecure OS/Firmware | Hardcoded Password | Privileged User |
| P1 | Broken Cryptography | Cryptographic Flaw | Incorrect Usage |
| P1 | Automotive Security Misconfiguration | Infotainment, Radio Head Unit | PII Leakage |
| P1 | Automotive Security Misconfiguration | RF Hub | Key Fob Cloning |
| P2 | Server Security Misconfiguration | Misconfigured DNS | High Impact Subdomain Takeover |
| P2 | Server Security Misconfiguration | OAuth Misconfiguration | Account Takeover |
| P2 | Sensitive Data Exposure | Weak Password Reset Implementation | Token Leakage via Host Header Poisoning |
| P2 | Cross-Site Scripting (XSS) | Stored | Non-Privileged User to Anyone |
| P2 | Broken Access Control (BAC) | Server-Side Request Forgery (SSRF) | Internal High Impact |
| P2 | Cross-Site Request Forgery (CSRF) | Application-Wide | |
| P2 | Application-Level Denial-of-Service (DoS) | Critical Impact and/or Easy Difficulty | |
| P2 | Insecure OS/Firmware | Hardcoded Password | Non-Privileged User |
| P2 | Automotive Security Misconfiguration | Infotainment, Radio Head Unit | OTA Firmware Manipulation |
| P2 | Automotive Security Misconfiguration | Infotainment, Radio Head Unit | Code Execution (CAN Bus Pivot) |
| P2 | Automotive Security Misconfiguration | RF Hub | CAN Injection / Interaction |
| P3 | Server Security Misconfiguration | Misconfigured DNS | Basic Subdomain Takeover |
| P3 | Server Security Misconfiguration | Mail Server Misconfiguration | No Spoofing Protection on Email Domain |
| P3 | Server-Side Injection | HTTP Response Manipulation | Response Splitting (CRLF) |
| P3 | Server-Side Injection | Content Spoofing | iframe Injection |
| P3 | Broken Authentication and Session Management | Second Factor Authentication (2FA) Bypass | |
| P3 | Broken Authentication and Session Management | Session Fixation | Remote Attack Vector |
| P3 | Sensitive Data Exposure | Disclosure of Secrets | For Internal Asset |
| P3 | Sensitive Data Exposure | EXIF Geolocation Data Not Stripped From Uploaded Images | Automatic User Enumeration |
| P3 | Cross-Site Scripting (XSS) | Stored | Privileged User to Privilege Elevation |
| P3 | Cross-Site Scripting (XSS) | Stored | CSRF/URL-Based |
| P3 | Cross-Site Scripting (XSS) | Reflected | Non-Self |
| P3 | Broken Access Control (BAC) | Server-Side Request Forgery (SSRF) | Internal Scan and/or Medium Impact |
| P3 | Application-Level Denial-of-Service (DoS) | High Impact and/or Medium Difficulty | |
| P3 | Client-Side Injection | Binary Planting | Default Folder Privilege Escalation |
| P3 | Automotive Security Misconfiguration | Infotainment, Radio Head Unit | Code Execution (No CAN Bus Pivot) |
| P3 | Automotive Security Misconfiguration | Infotainment, Radio Head Unit | Unauthorized Access to Services (API / Endpoints) |
| P3 | Automotive Security Misconfiguration | RF Hub | Data Leakage / Pull Encryption Mechanism |
| P3 | Automotive Security Misconfiguration | CAN | Injection (Battery Management System) |
| P3 | Automotive Security Misconfiguration | CAN | Injection (Steering Control) |
| P3 | Automotive Security Misconfiguration | CAN | Injection (Pyrotechnical Device Deployment Tool) |
| P3 | Automotive Security Misconfiguration | CAN | Injection (Headlights) |
| P3 | Automotive Security Misconfiguration | CAN | Injection (Sensors) |
| P3 | Automotive Security Misconfiguration | CAN | Injection (Vehicle Anti-theft Systems) |
| P3 | Automotive Security Misconfiguration | CAN | Injection (Powertrain) |
| P3 | Automotive Security Misconfiguration | CAN | Injection (Basic Safety Message) |
| P3 | Automotive Security Misconfiguration | Battery Management System | Firmware Dump |
| P3 | Automotive Security Misconfiguration | Immobilizer | Engine Start |
| P3 | Automotive Security Misconfiguration | Automatic Braking System (ABS) | Unintended Acceleration / Brake |
| P4 | Server Security Misconfiguration | Misconfigured DNS | Zone Transfer |
| P4 | Server Security Misconfiguration | Mail Server Misconfiguration | Email Spoofing to Inbox due to Missing or Misconfigured DMARC on Email Domain |
| P4 | Server Security Misconfiguration | Database Management System (DBMS) Misconfiguration | Excessively Privileged User / DBA |
| P4 | Server Security Misconfiguration | Lack of Password Confirmation | Delete Account |
| P4 | Server Security Misconfiguration | No Rate Limiting on Form | Registration |
| P4 | Server Security Misconfiguration | No Rate Limiting on Form | Login |
| P4 | Server Security Misconfiguration | No Rate Limiting on Form | Email-Triggering |
| P4 | Server Security Misconfiguration | No Rate Limiting on Form | SMS-Triggering |
| P4 | Server Security Misconfiguration | Missing Secure or HTTPOnly Cookie Flag | Session Token |
| P4 | Server Security Misconfiguration | Clickjacking | Sensitive Click-Based Action |
| P4 | Server Security Misconfiguration | OAuth Misconfiguration | Account Squatting |
| P4 | Server Security Misconfiguration | CAPTCHA | Implementation Vulnerability |
| P4 | Server Security Misconfiguration | Lack of Security Headers | Cache-Control for a Sensitive Page |
| P4 | Server Security Misconfiguration | Web Application Firewall (WAF) Bypass | Direct Server Access |
| P4 | Server-Side Injection | Content Spoofing | Impersonation via Broken Link Hijacking |
| P4 | Server-Side Injection | Content Spoofing | External Authentication Injection |
| P4 | Server-Side Injection | Content Spoofing | Email HTML Injection |
| P4 | Server-Side Injection | Server-Side Template Injection (SSTI) | Basic |
| P4 | Broken Authentication and Session Management | Cleartext Transmission of Session Token | |
| P4 | Broken Authentication and Session Management | Weak Login Function | Other Plaintext Protocol with no Secure Alternative |
| P4 | Broken Authentication and Session Management | Weak Login Function | Over HTTP |
| P4 | Broken Authentication and Session Management | Failure to Invalidate Session | On Logout (Client and Server-Side) |
| P4 | Broken Authentication and Session Management | Failure to Invalidate Session | On Password Reset and/or Change |
| P4 | Broken Authentication and Session Management | Weak Registration Implementation | Over HTTP |
| P4 | Sensitive Data Exposure | Disclosure of Secrets | Pay-Per-Use Abuse |
| P4 | Sensitive Data Exposure | EXIF Geolocation Data Not Stripped From Uploaded Images | Manual User Enumeration |
| P4 | Sensitive Data Exposure | Visible Detailed Error/Debug Page | Detailed Server Configuration |
| P4 | Sensitive Data Exposure | Token Leakage via Referer | Untrusted 3rd Party |
| P4 | Sensitive Data Exposure | Token Leakage via Referer | Over HTTP |
| P4 | Sensitive Data Exposure | Sensitive Token in URL | User Facing |
| P4 | Sensitive Data Exposure | Weak Password Reset Implementation | Password Reset Token Sent Over HTTP |
| P4 | Sensitive Data Exposure | Via localStorage/sessionStorage | Sensitive Token |
| P4 | Cross-Site Scripting (XSS) | Stored | Privileged User to No Privilege Elevation |
| P4 | Cross-Site Scripting (XSS) | IE-Only | IE11 |
| P4 | Cross-Site Scripting (XSS) | Referer | |
| P4 | Cross-Site Scripting (XSS) | Universal (UXSS) | |
| P4 | Cross-Site Scripting (XSS) | Off-Domain | Data URI |
| P4 | Broken Access Control (BAC) | Server-Side Request Forgery (SSRF) | External |
| P4 | Broken Access Control (BAC) | Username/Email Enumeration | Non-Brute Force |
| P4 | Unvalidated Redirects and Forwards | Open Redirect | GET-Based |
| P4 | Insufficient Security Configurability | No Password Policy | |
| P4 | Insufficient Security Configurability | Weak Password Reset Implementation | Token is Not Invalidated After Use |
| P4 | Insufficient Security Configurability | Weak 2FA Implementation | 2FA Secret Cannot be Rotated |
| P4 | Insufficient Security Configurability | Weak 2FA Implementation | 2FA Secret Remains Obtainable After 2FA is Enabled |
| P4 | Insecure Data Storage | Sensitive Application Data Stored Unencrypted | On External Storage |
| P4 | Insecure Data Storage | Server-Side Credentials Storage | Plaintext |
| P4 | Insecure Data Transport | Executable Download | No Secure Integrity Check |
| P4 | Privacy Concerns | Unnecessary Data Collection | WiFi SSID+Password |
| P4 | Automotive Security Misconfiguration | Infotainment, Radio Head Unit | Source Code Dump |
| P4 | Automotive Security Misconfiguration | Infotainment, Radio Head Unit | Denial of Service (DoS / Brick) |
| P4 | Automotive Security Misconfiguration | Infotainment, Radio Head Unit | Default Credentials |
| P4 | Automotive Security Misconfiguration | RF Hub | Unauthorized Access / Turn On |
| P4 | Automotive Security Misconfiguration | CAN | Injection (Disallowed Messages) |
| P4 | Automotive Security Misconfiguration | CAN | Injection (DoS) |
| P4 | Automotive Security Misconfiguration | Battery Management System | Fraudulent Interface |
| P4 | Automotive Security Misconfiguration | GNSS / GPS | Spoofing |
| P4 | Automotive Security Misconfiguration | Roadside Unit (RSU) | Sybil Attack |
