برنامه باگ بانتی پذیرش 24
برنامه باگ بانتی (شکارچی باگ) یعنی چه؟
برنامه باگ بانتی پذیرش 24، با همکاری کاربران پذیرش 24 به کشف باگ های پذیرش 24 می پردازد. در این برنامه کاربران می توانند باگ هایی که هنگام استفاده از پذیرش 24 با آن مواجه می شوند را گزارش کنند.
این برنامه محدود به متخصصین نیست و کلیه کاربران می توانند باگ های امنیتی، ظاهری و عملکردی پذیرش 24 را گزارش کنند.
چرا باگ های پذیرش 24 را گزارش کنم؟
با گزارش باگ های پذیرش 24 به کلیه کاربران این پلتفرم که بخش بزرگی از هموطنانمان را شامل می شوند کمک می کنید با اطمینان بیشتر و کیفیت بهتر از خدمات حوزه سلامت بهره مند شوند.
همچنین متخصصین و شکارچیان باگ می توانند با گزارش یک تا سه باگ امنیتی که به تایید تیم پذیرش 24 برسد، وارد برنامه خصوصی گزارش باگ پذیرش 24 شوند و در قبال گزارشات خود پاداش نقدی دریافت کنند.
چه چیزهایی را به عنوان باگ گزارش کنم؟
کلیه باگ های امنیتی، ظاهری و عملکردی در محدوده زیر را می توانید گزارش کنید:
• آدرسهای دامنه مجاز
https://www.paziresh24.com
https://paziresh24.com
support.paziresh24.com
(تمامی سرویسها و خدمات سایر شرکتها که در میدان مورد استفاده قرار گرفته است جز محدودهی غیرمجاز محسوب میشود.)
• محدوده غیرمجاز
• https://panel.paziresh24.com
• https://www.paziresh24.com/blog
• https://www.paziresh24.com/qa
• https://p24splk.paziresh24.com
چه چیزهایی را به عنوان باگ گزارش نکنم؟
در صورتی که شخصا در هنگام استفاده از پذیرش 24 با مشکلی مواجه شده اید و مایلید مشکل شما توسط تیم پشتیبانی بررسی شود، از بخش مربوط به خود (بیمار، پزشک یا مراکز درمانی) استفاده کنید.
دقت کنید که گزارشات ثبت شده در این بخش توسط تیم فنی بررسی شده و پاسخ به آن تا یک هفته زمانبر خواهد بود.
گزارش من چه شرایطی باید داشته باشد؟
۱. تنها آسیبپذیریهای شامل اکسپلویت بررسی خواهند شد.
۲. از اختلال در عملکرد و فرآیندهای سامانههای میدان اجتناب کنید.
۳. در هر گزارش فقط یک آسیبپذیری ارایه شود.
۴. از آدرسIP مشخصی برای بررسی و ارزیابی استفاده کنید و IP آدرس مذکور را در گزارش اعلام کنید.
۵. تمام فعالیتها و دسترسیها میبایست در گزارش قید شود.
۶. مراحل بازتولید آسیبپذیری به طور کامل شرح داده شود.
۷. مستندات لازم (تصاویر، فیلم، کدها، PoC و…) جهت دسترسی و استفاده از آسیبپذیری به همراه ابزارهای لازم به طور کامل بارگذاری شود.
۸. هرگونه تنظیم خاص مورد نیاز برای بازسازی حمله، باید ارایه شود.
۹. از بارگذاری مستندات آسیبپذیریها در سایتهای اشتراکی، شبکههای اجتماعی و … اجتناب شود.
۱۰. به حریم شخصی افراد و کاربران احترام گذاشته شود و هیچگونه تعاملی با حساب کاربری افراد، بدون رضایت آنها انجام ندهید. برای تست عملکرد آسیبپذیریهای مربوط به حساب کاربری، باید از حساب کاربری خود استفاده کنید.
۱۱. اطلاعات محرمانه نباید افشا شود و پس از تایید گزارش میبایست از نگهداری آنها اجتناب کنید.
۱۲. قبل از زمان مشخص شده جهت بررسی و حل مشکل گزارش شده و بدون هماهنگی و کسب اجازه از میدان، هیچگونه اطلاعاتی در مورد مشکل را عمومی نکرده و با دیگران به اشتراک نگذارید.
۱۳. از مشکلات امنیتی که یافتهاید، به هیچ عنوان، بهرهبرداری و سوءاستفاده نکرده باشید/نکنید.
۱۴. هیچیک از موازین قانونی کشور را زیر پا نگذاشته باشید.
۱۵. آسیبپذیریهای گزارششده میبایست تاثیر مشخصی بر کاربران، سامانهها یا دادههای میدان داشته باشد.
۱۶. دریافت پاداش به معنی مجوز جهت افشای گزارش نمیباشد و هرگونه افشای گزارش منوط به هماهنگی با میدان میباشد.
۱۷. مبنای محاسبهی شدت آسیبپذیریها استاندارد CVSS v3 میباشد.
۱۸. جهت تست عملکرد آسیبپذیریهای مرتبط به حساب کاربری، تنها مجاز به استفاده از حساب کاربری خود هستید.
۱۹. ثبت گزارش آسیبپذیری به معنای مطالعه و پذیرش قوانین میباشد.
۲۰. آسیبپذیریها به صورت مجزا تست و بررسی شود و از اطلاعات یا دسترسیهای بدستآمده از یک آسیبپذیری در گزارش دیگری استفاده نشود.
۲۱. شرح آسیبپذیری به صورت کامل به همراه شدت و خطرات احتمالی توضیح داده شود.
چه آسیب پذیری هایی مورد پذیرش نیست؟
۱. هر نوع گزارش بدون داشتن اکسپلویت و سناریو قابل بهرهبرداری.
۲. آسیبپذیریهای MITM.
۳. آسیبپذیریهایی که قبلاً توسط سایر متخصصین گزارش شده باشد.
۴. آسیبپذیریهایی که از نظر Root Cause با باگهای گزارش شده قبلی در پلتفرم باگبانتی یکسان باشند.
۵. آسیبپذیریهایی که به ۳ مرحله یا بیشتر نیاز به تعامل با کاربر داشته باشند.
۶. صفحات ادمین قابل دسترس بدون نفوذ.
۷. حملات مهندسی اجتماعی و Phishing.
۸. حملات از کار اندازی سرویس (DoS/DDoS).
۹. آسیبپذیریهایی که در دامنهها و آدرسهای IP غیر از محدوده مجاز هدف باشد.
۱۰. گزارشهای ارائه شده توسط اسکنرها و سایر ابزارهای اتوماتیک، بدون ارایه اکسپلویت.
۱۱. آسیبپذیریهای مربوط به نشت اطلاعات سرور و پیکربندی نادرست آن، مثل نسخه و نوع وب سرور.
۱۲. آسیبپذیریهای مربوط به SSL و Best Practice های مربوط به آن.
۱۳. آسیبپذیریهای مربوط به مرورگرهای قدیمی.
۱۴. آسیبپذیریهای مربوط به حملات فیزیکی.
۱۵. آسیبپذیریهای Content Spoofing.
۱۶. آسیبپذیری SSRF بدون اکسپلویت و یا با داشتن صرفا DNS query.
۱۷. آسیبپذیریهای Clickjacking در صورتی که در صفحات حساس نباشد.
۱۸. آسیبپذیریهای self*.
۱۹. حملات Brute Force به غیر از موارد مربوط به Captcha، شناسایی کدهای OTP، پارامترهایی که بر اساس الگو (pattern) مانند datetime , id است.
۲۰. تمامی آسیبپذیریهای مربوط به وردپرس.
۲۱. Best Practiceها، شامل حداقل طول کلمات عبور و غیره.
۲۲. موارد مربوط به رکوردهای DNS مرتبط با Email و نامهنگاری الکترونیکی جعلی (E-mail spoofing).
۲۳. گزارش پایین بودن ورژن کتابخانهها و نرمافزارهای بهکار برده شده.
۲۴. آسیبپذیریهای مربوط به هدرها و header injection و پروتکل http و پارامترهای آن بدون ارایه سناریوی قابل بهره برداری.
۲۵. موارد Option Index اگر به داده حساس نرسد.
۲۶. هر مورد مربوط به بدست آوردن نامهای کاربری با استفاده از Enumeration (account/e-mail/phone).
۲۷. آسیب پذیری های CSRF مربوط به logout.
۲۸. تمامی آسیبپذیریهای مربوط به Email validation not enforced.
۲۹. آسیبپذیریهای مربوط به Cookie valid after password change/reset یا session fixation در صورتی که تاثیری حیاتی بر کاربران نداشته باشد.
۳۰. تمامی آسیبپذیریهای مربوط به Domain authentication.
۳۱. آسیبپذیری CORS misconfiguration بدون اکسپلویت.
۳۲. پیداکردن IPهای پشت CDN بدون داشتن سناریو و اکسپلویت برای حملهای تاثیرگذار یا اینکه در بخش قابل قبول نیامده باشد.
۳۳. آسیبپذیری Information Disclousre بدون داشتن سناریویی برای بهرهبرداری و اکسپلویت.
۳۴. آسیبپذیری Crossdomain.xml.
۳۵. آسیبپذیری تزریق csv.
۳۶. آسیبپذیریهایی که تاثیر آن تنها بر سمت دستگاه کاربر (Client) باشد.(نرمافزار اندروید)
۳۷. آسیبپذیریهایی که مهندسی معکوس،دیکامپایل و موارد مشابه باشد.(نرمافزار اندروید)
۳۸. آسیبپذیریهایی که نیاز به دسترسی فیزیکی به دستگاه اندرویدی را دارد یا آسیبپذیری که خطری کاربران را تهدید نمی کند.(نرمافزار اندروید)
۳۹. آسیبپذیری Open Redirect.
۴۰. آسیبپذیریهای Input Validation مربوط به منطق برنامه و نوع ورودی.
۴۱. فعال بودن حالت دیباگر.
۴۲. مشاهده شدن ایندکس فایل در صورتی که منجر به خطر خاصی نشود.
۴۳. مواردی که از مسیرهای مختلف منتهی به یک مقصد میشود، تکراری شمرده میشوند.
۴۴. تمامی مواردی که Rate Limit در ایجاد آن تاثیر دارد.
۴۵. تمامی مواردی که اختلال یا باگ با ابزارهای Load Test ایجاد شود.
۴۶. هرگونه اضافه شدن دیتای اضافی به دیتابیس که سناریوی مخربی نداشته باشد.
۴۷. آسیبپذیریهای XSS که فقط روی دستگاه مهاجم Render شود.
۴۸. سناریوهایی که پس از انجام فرایند سیستمی به صورت انسانی عملیاتی انجام میشود که همراه با چک کردن داده هاست (توسط ادمین، مدیر کمپین، واحد مالی و … )
می خواهم پاسخ گزارش قبلی خودم را ببینم
برای مشاهده پاسخ گزارش قبلی خود از دکمه زیر استفاده کنید:
می خواهم باگ جدیدی را گزارش کنم
برای ثبت گزارش باگ در پذیرش 24 بر روی دکمه زیر کلیک کنید.