لوگو قوانین

قوانین و مسئولیت ها

مقدمه

باگدشت قصد دارد تا با تکیه بر توانایی متخصصین امنیت کشور، باگ های امنیتی سرویسهای فناوری اطلاعات و ارتباطات را شناسایی و با گزارش آنها به سازمان مخاطب، نسبت به ارتقا سطح ایمنی این اکوسیستم همکاری نماید.

آخرین به روز رسانی قوانین از طریق این صفحه قابل دسترس می باشد و در صورت تغییر در محتوای قوانین، اطلاع رسانی از طریق پنل کاربری به تمامی متخصصین امنیتی انجام خواهدشد. لذا پیش از آغاز همکاری و اعلام باگ از شرایط قوانین و موافقیت با آنها اطمینان حاصل فرمایید.

قوانین باگدشت

1. متخصصین امنیتی می بایست به ارایه باگ امنیتی در پلتفرم باگدشت بپردازند و صرفا ارایه وجود آسیب پذیری در سامانه ها بدون شواهد امکان اجرای آن مورد پذیرش نیست.

2. باگ های امنیتی به زبان فارسی ارایه می شوند.

3. باگ های اعلام شده توسط متخصصین امنیتی می بایست قابل اثبات و تکرارپذیر باشند و با جزئیات قدم به قدم باگ توضیح داده شوند.

5. متخصصین می بایست باگ های شناسایی شده را در باگ بانتی یا هانتینگ مرتبط با خود ارایه نمایند.

6. در ویدیو ارسالی به عنوان PoC می بایست مراحل شناسایی باگ از ابتدا تا انتها ارایه شود.

7. در ابتدای هر ویدیو PoC وب سایت time.ir در یک مرورگر جدید باز شده و زمان ضبط ویدیو بصورت واضح نمایش داده شود.

8. تارگت مورد تست می بایست در دسترس برای عموم باشد و یا نحوه دسترسی به آن در گزارش و ویدیو ارایه شود.

9. ویدیو ضبط شده نمی بایست دارای توقف در ضبط سناریو و ویرایش باشد.

10. هر گزارش می بایست اشاره به یک باگ امنیتی داشته باشد.

11. تمام اعلام باگ ها تنها می بایست از طریق اکوسیستم باگدشت ارایه و پیگیری شود و اشترک گذاری اطلاعات مرتبط آنها در رسانه های اجتماعی، دیگر وب سایتهای اشتراک گذاری اطلاعات مانند Pastebin و یا دیگر کانالهای ارتباطی مورد پذیرش نمی باشد.

12. همکاری باگدشت با متخصصین امنیتی شناسایی کننده باگ انجام می شود و اعلام باگ ها توسط افراد و یا شرکتهای واسطه فروش باگ مورد پذیرش نمی باشد.

13. استفاده از کلمات و جملات توهین آمیز مرتبط با تخصص افراد، ملیت، جنسیت، مذهب و یا مباحث سیاسی و غیر فنی در هیچ کدام از بخشهای پلتفرم مورد پذیرش نمی باشد.

14. در ارزیابی تنها می بایست به شناسایی باگ امنیتی پرداخته و از اجرای حملاتی که منجربه نقض در یکپارچگی و یا اختلال در سرویس می شوند اجتناب شود.

15. از نتایج اسکنرها و ابزارهای اتوماتیک برای ارایه باگ استفاده نشود.

16. آسیب پذیری های روز صفر، تا پیش از ارائه راهکار امنیتی مناسب برای برطرف کردن باگ امنیتی از جانب توسعه دهنده محصول مورد پذیرش باگدشت نمی باشند.

17. درج پیلود (کد، اسکریپت و ...) استفاده شده برای کشف باگ، در گزارش ارسالی الزامیست.

پیمان‌نامه عدم افشای اطلاعات:

این تفاهم نامه در راستای ماده 10 قانون مدنی درخصوص تعهد به محرمانگی اطلاعات از تاریخ تایید توسط کاربر، منعقد و اجرایی گردید.

ماده 1- طرفین تفاهم
الف) شرکت تحلیلگران امن آریانا به شماره ثبت 537232 که از این پس باگدشت خوانده می‌شود؛ و
ب) کاربر عضو در سامانه باگدشت که از این پس کاربر نامیده می‌شود.

ماده 2- مفهوم محرمانگی
موضوع تفاهم عبارتست از تعهد به حفظ محرمانگی اطلاعاتی که در قالب سامانه باگدشت به اشتراک گذاشته می شود و عبارتند از هرنوع اطلاعات مرتبط با باگ های امنیتی شناسایی شده در خصوص سازمانهای مورد تست باگ بانتی و یا اطلاعات باگ های مرتبط با باگ هانتینگ.

ماده 3- تعهدات ناظر به عدم افشاء و عدم استفاده
3-1- کاربر ملزم به تعهد در اجرای اقدامات خود در قالب قوانین اعلام شده باگدشت می باشد و آخرین به روز رسانی قوانین از طریق سامانه باگدشت قابل دسترس می باشد و در صورت تغییر در محتوای قوانین، اطلاع رسانی انجام خواهدشد.
3-2- کاربر تمام اطلاعات محرمانه ذکر شده را حفظ خواهد نمود و آنها را در هیچ صورت به غیر، افشا و منتشر نمی‌کند و از آنها بصورت شخصی یا در ارتباط با سازمانها، شرکتهای دیگر و اشخاص ثالث و یا در شبکه های اجتماعی و دیگر وب سایتها و کانال های ارتباطی به هر نوع استفاده نمی‌نماید.
3-3- اعلام عمومی اطلاعات قابل دسترسی در پرتال باگدشت توسط کاربر در فضای اینترنت مورد پذیرش نمی باشد.
3-4- کاربر مجاز به انتشار و اعلام اطلاعات باگ شناسایی شده در فضای اینترنت و همچنین هر نوع سیستمی غیر از پلتفرم باگدشت نمی باشد.
3-5- کاربر، می بایست تمام اقدامات لازم برای حفظ اطلاعات محرمانه خود را بکار ببندد و در صورت قصور، اشتراک گذاری و افشای اطلاعات مذکور، مسوول شناخته خواهد شد.
3-6- تلاش برای دسترسی به حساب کاربری دیگر اعضا مورد پایش قرار می گیرد و منجربه قطع همکاری می شود.
3-7- کاربر تعهد می نماید به محض مشخص شدن هرگونه افشای بی مورد و استفاده غیرمجاز از اطلاعات، بی درنگ تدابیر منطقی لازم را برای پیشگیری و ادامه آن اتخاذ و باگدشت را از موضوع افشاء مطلع نماید.
3-8- کاربر مجاز به استفاده شخصی از باگ پیدا شده و یا ارتباط مستقیم با سازمان مربوطه و یا ارائه اطلاعات به سازمان‌ها و اشخاص ثالث نمی‌باشد.
3-9- کاربر مسوولیت تبعیت از قوانین سایبری کشور و عدم ایجاد اختلال و یا وقفه در سرویسهای مورد ارزیابی را دارد.
3-10- در صورت نقض هریک از قوانین توضیح داده شده در باگدشت، اخطار و هشدار مربوطه به کاربر ارسال می شود و کاربر با تایید این تفاهم قبول نموده است که هر نوع خسارتی که از سوی او پدید آید، قابل مطالبه است و متعهد به جبران خسارت میباشد و باگدشت و سازمان پیگیری های حقوقی و قضایی را دنبال خواهد نمود.
3-11- باگدشت، مسئولیتی در قبال اقدامات متخصصین امنیتی بر خلاف قوانین اعلام شده باگدشت، نخواهد داشت و به عنوان واسط متخصص در حوزه شناسایی و ایمن سازی باگ های امنیتی ایفای نقش می نماید.

ماده 4- شمول تفاهم
این تفاهم تمام مکاتبات و ارتباطات میان طرفین را دربرمی‌گیرد. طرفین علم دارند که تعهدات آنان بدون محدودیت زمانی معتبر و لازم‌الاتباع است.

ماده 5- قانون حاکم
این تفاهم در تمام ابعاد و جوانب، مشمول قوانین و مقررات لازم‌ الاتباع و لازم ‌الاجرا در جمهوری اسلامی ایران است.

ماده 6- حل و فصل اختلافات
کلیه اختلافات و دعاوی ناشی از این تفاهم و یا راجع به آن از جمله انعقاد، اعتبار، فسخ، نقض، تفسیر یا اجرای آن به مرکز داوری رسمی جمهوری اسلامی ایران، ارجاع می‌گردد که حکم مربوطه لازم الاجراء خواهد بود.

نمونه سطوح باگ امنیتی:

سطوح مختلف باگ ها به همراه نمونه هایی از هر سطح (این موارد بر اساس مشخصات هر سازمان به روز و تصمیم گیری میشود)

Technical severity VRT category Specific vulnerability name Variant / Affected function
Critical Server Security Misconfiguration Using Default Credentials
Critical Server-Side Injection File Inclusion Local
Critical Server-Side Injection Remote Code Execution (RCE)
Critical Server-Side Injection SQL Injection
Critical Server-Side Injection XML External Entity Injection (XXE)
Critical Broken Authentication and Session Management Authentication Bypass
Critical Sensitive Data Exposure Critically Sensitive Data Password Disclosure
Critical Sensitive Data Exposure Critically Sensitive Data Private API Keys
Critical Insecure OS/Firmware Command Injection
Critical Insecure OS/Firmware Hardcoded Password Privileged User
Critical Broken Cryptography Cryptographic Flaw Incorrect Usage
Critical Automotive Security Misconfiguration Infotainment PII Leakage
Critical Automotive Security Misconfiguration RF Hub Key Fob Cloning
High Server Security Misconfiguration Misconfigured DNS High Impact Subdomain Takeover
High Server Security Misconfiguration OAuth Misconfiguration Account Takeover
High Sensitive Data Exposure Weak Password Reset Implementation Token Leakage via Host Header Poisoning
High Cross-Site Scripting (XSS) Stored Non-Privileged User to Anyone
High Broken Access Control (BAC) Server-Side Request Forgery (SSRF) Internal High Impact
High Cross-Site Request Forgery (CSRF) Application-Wide
High Application-Level Denial-of-Service (DoS) Critical Impact and/or Easy Difficulty
High Insecure OS/Firmware Hardcoded Password Non-Privileged User
High Automotive Security Misconfiguration Infotainment Code Execution (CAN Bus Pivot)
High Automotive Security Misconfiguration RF Hub CAN Injection / Interaction
Medium Server Security Misconfiguration Misconfigured DNS Basic Subdomain Takeover
Medium Server Security Misconfiguration Mail Server Misconfiguration No Spoofing Protection on Email Domain
Medium Server-Side Injection HTTP Response Manipulation Response Splitting (CRLF)
Medium Server-Side Injection Content Spoofing iframe Injection
Medium Broken Authentication and Session Management Second Factor Authentication (2FA) Bypass
Medium Broken Authentication and Session Management Weak Login Function HTTPS not Available or HTTP by Default
Medium Broken Authentication and Session Management Session Fixation Remote Attack Vector
Medium Sensitive Data Exposure EXIF Geolocation Data Not Stripped From Uploaded Images Automatic User Enumeration
Medium Cross-Site Scripting (XSS) Stored Privileged User to Privilege Elevation
Medium Cross-Site Scripting (XSS) Stored CSRF/URL-Based
Medium Cross-Site Scripting (XSS) Reflected Non-Self
Medium Broken Access Control (BAC) Server-Side Request Forgery (SSRF) Internal Scan and/or Medium Impact
Medium Application-Level Denial-of-Service (DoS) High Impact and/or Medium Difficulty
Medium Client-Side Injection Binary Planting Default Folder Privilege Escalation
Medium Automotive Security Misconfiguration Infotainment Code Execution (No CAN Bus Pivot)
Medium Automotive Security Misconfiguration Infotainment Unauthorized Access to Services (API / Endpoints)
Medium Automotive Security Misconfiguration RF Hub Data Leakage / Pull Encryption Mechanism
Low Server Security Misconfiguration Misconfigured DNS Zone Transfer
Low Server Security Misconfiguration Mail Server Misconfiguration Email Spoofing to Inbox due to Missing or Misconfigured DMARC on Email Domain
Low Server Security Misconfiguration Database Management System (DBMS) Misconfiguration Excessively Privileged User / DBA
Low Server Security Misconfiguration Lack of Password Confirmation Delete Account
Low Server Security Misconfiguration No Rate Limiting on Form Registration
Low Server Security Misconfiguration No Rate Limiting on Form Login
Low Server Security Misconfiguration No Rate Limiting on Form Email-Triggering
Low Server Security Misconfiguration No Rate Limiting on Form SMS-Triggering
Low Server Security Misconfiguration Missing Secure or HTTPOnly Cookie Flag Session Token
Low Server Security Misconfiguration Clickjacking Sensitive Click-Based Action
Low Server Security Misconfiguration CAPTCHA Implementation Vulnerability
Low Server Security Misconfiguration Lack of Security Headers Cache-Control for a Sensitive Page
Low Server Security Misconfiguration Web Application Firewall (WAF) Bypass Direct Server Access
Low Server-Side Injection Content Spoofing External Authentication Injection
Low Server-Side Injection Content Spoofing Email HTML Injection
Low Broken Authentication and Session Management Cleartext Transmission of Session Token
Low Broken Authentication and Session Management Weak Login Function Other Plaintext Protocol with no Secure Alternative
Low Broken Authentication and Session Management Weak Login Function LAN Only
Low Broken Authentication and Session Management Weak Login Function HTTP and HTTPS Available
Low Broken Authentication and Session Management Failure to Invalidate Session On Logout (Client and Server-Side)
Low Broken Authentication and Session Management Failure to Invalidate Session On Password Reset and/or Change
Low Broken Authentication and Session Management Weak Registration Implementation Over HTTP
Low Sensitive Data Exposure EXIF Geolocation Data Not Stripped From Uploaded Images Manual User Enumeration
Low Sensitive Data Exposure Visible Detailed Error/Debug Page Detailed Server Configuration
Low Sensitive Data Exposure Token Leakage via Referer Untrusted 3rd Party
Low Sensitive Data Exposure Token Leakage via Referer Over HTTP
Low Sensitive Data Exposure Sensitive Token in URL User Facing
Low Sensitive Data Exposure Weak Password Reset Implementation Password Reset Token Sent Over HTTP
Low Cross-Site Scripting (XSS) Stored Privileged User to No Privilege Elevation
Low Cross-Site Scripting (XSS) Flash-Based
Low Cross-Site Scripting (XSS) IE-Only IE11
Low Cross-Site Scripting (XSS) Referer
Low Cross-Site Scripting (XSS) Universal (UXSS)
Low Cross-Site Scripting (XSS) Off-Domain Data URI
Low Broken Access Control (BAC) Server-Side Request Forgery (SSRF) External
Low Broken Access Control (BAC) Username/Email Enumeration Non-Brute Force
Low Unvalidated Redirects and Forwards Open Redirect GET-Based
Low Insufficient Security Configurability No Password Policy
Low Insufficient Security Configurability Weak Password Reset Implementation Token is Not Invalidated After Use
Low Insufficient Security Configurability Weak 2FA Implementation 2FA Secret Cannot be Rotated
Low Insufficient Security Configurability Weak 2FA Implementation 2FA Secret Remains Obtainable After 2FA is Enabled
Low Using Components with Known Vulnerabilities Rosetta Flash
Low Insecure Data Storage Sensitive Application Data Stored Unencrypted On External Storage
Low Insecure Data Storage Server-Side Credentials Storage Plaintext
Low Insecure Data Transport Executable Download No Secure Integrity Check
Low Privacy Concerns Unnecessary Data Collection WiFi SSID+Password
Low Automotive Security Misconfiguration Infotainment Source Code Dump
Low Automotive Security Misconfiguration Infotainment Denial of Service (DoS / Brick)
Low Automotive Security Misconfiguration Infotainment Default Credentials
Low Automotive Security Misconfiguration RF Hub Unauthorized Access / Turn On
Low Automotive Security Misconfiguration CAN Injection (Disallowed Messages)
Low Automotive Security Misconfiguration CAN Injection (DoS)
چرخه عمر باگ:

1- پس از ارسال باگ در پلتفرم باگدشت وضعیت گزارش به حالت "دریافت شده" تغییر میکند. که در این حالت ارسال کننده امکان ویرایش گزارش خود را دارد

2- باگ دریافتی به تیم تریاژ ارجاع داده میشود تا مطابقت آن با چهارچوب های ارسال گزارش که در بخش قوانین باگدشت به آنها اشاره شده، بررسی شود

3- در صورت تایید گزارش توسط تیم تریاژ وضعیت گزارش به "تایید تریاژ" تغییر میکند و گزارش به تیم کمیته فنی ارجاع داده میشود

4- کمیته فنی گزارش را از نظر امکان اکسپلویت و کامل بودن سناریو اجرا بررسی میکند

5- در صورت تایید، وضعیت باگ به "تایید کمیته فنی" تغییر پیدا میکند و گزارش برای تایید نهایی برای سوپروایزر ارسال میشود

6- در صورت تایید سوپروایزر، امتیازی متناسب با شدت باگ به متخصص تعلق میگیرد

7- در مرحله بعد در صورتی که باگ ارسال شده در قالب "باگ بانتی" یا "باگ هانتینگ" باشد مبلغ بانتی به متخصص تعلق میگیرد و در پایان هر ماه تسویه میشود

8- در صورتی که باگ ارسالی متعلق به سازمانی باشد که طرف قرارداد با باگدشت نیست ، فرآیند اطلاع رسانی و پیگیری باگ آغاز میشود و در صورت تایید سازمان روال پرداخت بانتی انجام میپذیرد

© BugDasht - 2022