پشتیبانی پذیرش۲۴

برنامه باگ بانتی پذیرش ۲۴

برنامه باگ بانتی پذیرش 24

برنامه باگ بانتی (شکارچی باگ) یعنی چه؟

برنامه باگ بانتی پذیرش 24، با همکاری کاربران پذیرش 24 به کشف باگ های پذیرش 24 می پردازد. در این برنامه کاربران می توانند باگ هایی که هنگام استفاده از پذیرش 24 با آن مواجه می شوند را گزارش کنند.

این برنامه محدود به متخصصین نیست و کلیه کاربران می توانند باگ های امنیتی، ظاهری و عملکردی پذیرش 24 را گزارش کنند.

با گزارش باگ های پذیرش 24 به کلیه کاربران این پلتفرم که بخش بزرگی از هموطنانمان را شامل می شوند کمک می کنید با اطمینان بیشتر و کیفیت بهتر از خدمات حوزه سلامت بهره مند شوند.

همچنین متخصصین و شکارچیان باگ می توانند با گزارش یک تا سه باگ امنیتی که به تایید تیم پذیرش 24 برسد، وارد برنامه خصوصی گزارش باگ پذیرش 24 شوند و در قبال گزارشات خود پاداش نقدی دریافت کنند.

کلیه باگ های امنیتی، ظاهری و عملکردی در محدوده زیر را می توانید گزارش کنید:

• آدرس‌های دامنه‌ مجاز

 https://www.paziresh24.com

https://paziresh24.com

support.paziresh24.com

(تمامی سرویس‌ها و خدمات سایر شرکت‌ها که در میدان مورد استفاده قرار گرفته است جز محدوده‌ی غیرمجاز محسوب می‌شود.)

محدوده غیرمجاز

https://panel.paziresh24.com

https://www.paziresh24.com/blog

https://www.paziresh24.com/qa

https://p24splk.paziresh24.com

در صورتی که شخصا در هنگام استفاده از پذیرش 24 با مشکلی مواجه شده اید و مایلید مشکل شما توسط تیم پشتیبانی بررسی شود، از بخش مربوط به خود (بیمار، پزشک یا مراکز درمانی) استفاده کنید.

دقت کنید که گزارشات ثبت شده در این بخش توسط تیم فنی بررسی شده و پاسخ به آن تا یک هفته زمانبر خواهد بود.

۱. تنها آسیب‌پذیری‌های شامل اکسپلویت بررسی خواهند شد.

۲. از اختلال در عملکرد و فرآیند‌های سامانه‌‎های میدان اجتناب کنید.

۳. در هر گزارش فقط یک آسیب‌‌‎پذیری ارایه شود.

۴. از آدرسIP مشخصی برای بررسی و ارزیابی استفاده کنید و IP آدرس مذکور را در گزارش اعلام کنید.

۵. تمام فعالیت‌‎ها و دسترسی‌ها می‌‎بایست در گزارش قید شود.

۶. مراحل باز‌تولید آسیب‌‎پذیری به طور کامل شرح داده شود.

۷. مستندات لازم (تصاویر، فیلم، کدها، PoC و…) جهت دسترسی و استفاده از آسیب‌‎پذیری به همراه ابزارهای لازم به‌ طور کامل بارگذاری شود.

۸. هرگونه تنظیم خاص مورد نیاز برای بازسازی حمله، باید ارایه شود.

۹. از بارگذاری مستندات آسیب‎‌پذیری‌‎ها در سایت‌های اشتراکی، شبکه‌های اجتماعی و … اجتناب شود.

۱۰. به حریم شخصی افراد و کاربران احترام گذاشته شود و هیچگونه تعاملی با حساب کاربری افراد، بدون رضایت آن‌ها انجام ندهید. برای تست عملکرد آسیب‌پذیری‌های مربوط به حساب کاربری، باید از حساب کاربری خود استفاده کنید.

۱۱. اطلاعات محرمانه نباید افشا شود و پس از تایید گزارش می‌‌‎بایست از نگهداری آن‌ها اجتناب کنید.

۱۲. قبل از زمان مشخص شده جهت بررسی و حل مشکل گزارش شده و بدون هماهنگی و کسب اجازه از میدان، هیچ‌گونه اطلاعاتی در مورد مشکل را عمومی نکرده و با دیگران به اشتراک نگذارید.

۱۳. از مشکلات امنیتی‌ که یافته‌اید، به هیچ عنوان، بهره‌برداری و سوءاستفاده نکرده‌ باشید/نکنید.

۱۴. هیچ‌یک از موازین قانونی کشور را زیر پا نگذاشته باشید.

۱۵. آسیب‌پذیر‌ی‌‎های گزارش‌شده می‎‌بایست تاثیر مشخصی بر کاربران، سامانه‌‎ها یا داده‌‎های میدان داشته باشد.

۱۶. دریافت پاداش به معنی مجوز جهت افشای گزارش نمی‌باشد و هرگونه افشای گزارش منوط به هماهنگی با میدان می‌باشد.

۱۷. مبنا‌ی محاسبه‌ی شدت آسیب‌پذیری‌ها استاندارد CVSS v3 می‌باشد.

۱۸. جهت تست عملکرد آسیب‌پذیر‌ی‌های مرتبط به حساب کاربری، تنها مجاز به استفاده از حساب کاربری خود هستید.

۱۹. ثبت گزارش آسیب‌پذیری به معنای مطالعه‌ و پذیرش قوانین می‌باشد.

۲۰. آسیب‌پذیری‌ها به صورت مجزا تست و بررسی شود و از اطلاعات یا دسترسی‌های بدست‌آمده از یک آسیب‌پذیری در گزارش دیگری استفاده نشود.

۲۱. شرح آسیب‌‎پذیری به صورت کامل به همراه شدت و خطرات احتمالی توضیح داده شود.

۱. هر نوع گزارش بدون داشتن اکسپلویت و سناریو قابل بهره‌برداری.

۲. آسیب‌پذیری‌های MITM.

۳. آسیب‌پذیری‌هایی که قبلاً توسط سایر متخصصین گزارش شده باشد.

۴. آسیب‌پذیری‌هایی که از نظر Root Cause با باگ‌های گزارش شده قبلی در پلتفرم باگ‌بانتی یکسان باشند.

۵. آسیب‌پذیری‌هایی که به ۳ مرحله یا بیشتر نیاز به تعامل با کاربر داشته باشند.

۶. صفحات ادمین قابل دسترس بدون نفوذ.

۷. حملات مهندسی اجتماعی و Phishing.

۸. حملات از کار اندازی سرویس (DoS/DDoS).

۹. آسیب‌پذیری‌هایی که در دامنه‌ها و آدرس‌های IP غیر از محدوده‌ مجاز هدف باشد.

۱۰. گزارش‌های ارائه شده توسط اسکنر‌ها و سایر ابزار‌های اتوماتیک، بدون ارایه اکسپلویت.

۱۱. آسیب‌پذیری‌های مربوط به نشت اطلاعات سرور و پیکربندی نادرست آن، مثل نسخه و نوع وب سرور.

۱۲. آسیب‌پذیری‌های مربوط به SSL و Best Practice های‌ مربوط به آن.

۱۳. آسیب‌پذیری‌های مربوط به مرورگرهای قدیمی.

۱۴. آسیب‌پذیری‌های مربوط به حملات فیزیکی.

۱۵. آسیب‌پذیری‌های Content Spoofing.

۱۶. آسیب‌پذیری‌ SSRF بدون اکسپلویت و یا با داشتن صرفا DNS query.

۱۷. آسیب‌پذیری‌های Clickjacking در صورتی که در صفحات حساس نباشد.

۱۸. آسیب‌پذیری‌های self*.

۱۹. حملات Brute Force به غیر از موارد مربوط به Captcha، شناسایی کدهای OTP، پارامترهایی که بر اساس الگو (pattern) مانند datetime , id است.

۲۰. تمامی آسیب‌پذیری‌های مربوط به وردپرس.

۲۱. Best Practiceها، شامل حداقل طول کلمات عبور و غیره.

۲۲. موارد مربوط به رکوردهای DNS مرتبط با Email و نامه‌نگاری الکترونیکی جعلی (E-mail spoofing).

۲۳. گزارش پایین بودن ورژن کتابخانه‌ها و نرم‌افزار‌های به‌کار برده شده.

۲۴. آسیب‌پذیری‌های مربوط به هدرها و header injection و پروتکل http و پارامترهای آن بدون ارایه سناریوی قابل بهره برداری.

۲۵. موارد Option Index اگر به داده حساس نرسد.

۲۶. هر مورد مربوط به بدست آوردن نام‌های کاربری با استفاده از Enumeration (account/e-mail/phone).

۲۷. آسیب پذیری های CSRF مربوط به logout.

۲۸. تمامی آسیب‌پذیری‌های مربوط به Email validation not enforced.

۲۹. آسیب‌پذیری‌های مربوط به Cookie valid after password change/reset یا session fixation در صورتی که تاثیری حیاتی بر کاربران نداشته باشد.

۳۰. تمامی آسیب‌پذیری‌های مربوط به Domain authentication.

۳۱. آسیب‌پذیری CORS misconfiguration بدون اکسپلویت.

۳۲. پیداکردن IPهای پشت CDN بدون داشتن سناریو و اکسپلویت برای حمله‌ای تاثیرگذار یا اینکه در بخش قابل قبول نیامده باشد.

۳۳. آسیب‌پذیری Information Disclousre بدون داشتن سناریویی برای بهره‌برداری و اکسپلویت.

۳۴. آسیب‌پذیری Crossdomain.xml.

۳۵. آسیب‌پذیری تزریق csv.

۳۶. آسیب‌پذیری‌هایی که تاثیر آن تنها بر سمت دستگاه کاربر (Client) باشد.(نرم‌افزار اندروید)

۳۷. آسیب‌پذیری‌هایی که مهندسی معکوس،دیکامپایل و موارد مشابه باشد.(نرم‌افزار اندروید)

۳۸. آسیب‌پذیری‌هایی که نیاز به دسترسی فیزیکی به دستگاه اندرویدی را دارد یا آسیب‌پذیری که خطری کاربران را تهدید نمی کند.(نرم‌افزار اندروید)

۳۹. آسیب‌پذیری Open Redirect.

۴۰. آسیب‌پذیری‌های Input Validation مربوط به منطق برنامه و نوع ورودی.

۴۱. فعال بودن حالت دیباگر.

۴۲. مشاهده شدن ایندکس فایل در صورتی که منجر به خطر خاصی نشود.

۴۳. مواردی که از مسیرهای مختلف منتهی به یک مقصد می‌شود، تکراری شمرده می‌شوند.

۴۴. تمامی مواردی که Rate Limit در ایجاد آن تاثیر دارد.

۴۵. تمامی مواردی که اختلال یا باگ با ابزارهای Load Test ایجاد شود.

۴۶. هرگونه اضافه شدن دیتای اضافی به دیتابیس که سناریوی مخربی نداشته باشد.

۴۷. آسیب‌پذیری‌های XSS که فقط روی دستگاه مهاجم Render شود.

۴۸. سناریوهایی که پس از انجام فرایند سیستمی به صورت انسانی عملیاتی انجام می‌شود که همراه با چک کردن داده هاست (توسط ادمین، مدیر کمپین، واحد مالی و … )

برای مشاهده پاسخ گزارش قبلی خود از دکمه زیر استفاده کنید:

مشاهده لیست گفتگوها

برای ثبت گزارش باگ در پذیرش 24 بر روی دکمه زیر کلیک کنید.

گزارش باگ در پذیرش 24

بازگشت به صفحه اول پشتیبانی