Tapsi

برنامه باگ بانتی تپسی!

پاداش باگ بانتی تپسی

تا ۱2۰٬۰۰۰٬۰۰۰ تومان
تا ۱2۰٬۰۰۰٬۰۰۰ تومان

Vital

تا ۳۰٬۰۰۰٬۰۰۰ تومان
تا ۳۰٬۰۰۰٬۰۰۰ تومان

Critical

تا ۱۵٬۰۰۰٬۰۰۰ تومان
تا ۱۵٬۰۰۰٬۰۰۰ تومان

High

تا ۵٬۰۰۰٬۰۰۰ تومان
تا ۵٬۰۰۰٬۰۰۰ تومان

Medium

مراحل شرکت در باگ بانتی

مطالعه قوانینمطالعه قوانین
->
پیدا کردن باگپیدا کردن باگ
->
ارسال گزارش باگارسال گزارش باگ
->
دریافت پاداش نقدیدریافت پاداش نقدی

قوانین و مقررات باگ بانتی

  • در تمام مراحل باید به حریم خصوصی تمامی کاربران تپسی توجه داشته باشید و از افشا، تغییر، سرقت و نابودی اطلاعات جلوگیری کنید.

  • باگ‌ها باید در محدوده‌‌های مجاز ذکر شوند.

  • باگ‌های اعلام شده باید قابل اثبات و تکرارپذیر باشند و با جزئیات قدم به قدم توضیح داده شوند.

  • تارگت مورد تست می باید در دسترس عموم باشد و یا نحوه دسترسی به آن در گزارش و ویدیو ارائه شود.

  • هر گزارش باید شامل یک باگ امنیتی باشد.

  • تمام باگ‌ها فقط باید از طریق اکوسیستم باگدشت (‌Bugdasht.ir) اعلام و پیگیری شوند. اشترک گذاری اطلاعات مرتبط به باگ‌ها در رسانه‌های اجتماعی، وب‌سایتهای اشتراک‌گذاری اطلاعات مانند Pastebin و یا دیگر کانال‌های ارتباطی مورد قبول نیست.

  • در ارزیابی باید فقط به شناسایی باگ امنیتی پرداخته شود و حملاتی که منجربه نقض در یکپارچگی و یا اختلال در سرویس می‌شوند صورت نگیرد.

  • درج پیلود (کد، اسکریپت و ...) استفاده شده برای کشف باگ، در گزارش ارسالی الزامی است.

  • معیارمشخص کردن اهمیت باگ‌ها، استاندارد CVSS است.

  • باگ حیاتی(Vital) باگی است که از نظر استاندارد CVSS بحرانی است و منجر به نشت اطلاعات تعداد زیادی از کارکنان یا کاربران تپسی می‌شود. هر باگ بحرانی که با هماهنگی باگدشت، به‌همراه ویدیو PoC و به‌صورت عملی ثابت کند که امکان ایجاد اختلال گسترده را (به صورت منطقی) در سازوکار تپسی دارد، می‌تواند درصورت تایید، باگ حیاتی محسوب شود.

  • گزارش باگ‌ها باید مطابق با قوانین باگدشت (https://bugdasht.ir/rules ) انجام شود.

آسیب پذیری‌ها

Server-Side Request Forgery (SSRF)

Server-Side Request Forgery (SSRF)

Information Disclosure

Information Disclosure

Improper Access Control

Improper Access Control

Cross-site Scripting (XSS)

Cross-site Scripting (XSS)

Improper Authentication

Improper Authentication

SQL Injection

SQL Injection

Privilege Escalation

Privilege Escalation

Insecure Direct Object Reference (IDOR)

Insecure Direct Object Reference (IDOR)

باگ‌های خارج از محدوده

  • موارد مربوط به رکوردهای DNS مرتبط با Email و نامه‌نگاری الکترونیکی جعلی (E-mail spoofing).

  • آسیب‌پذیری CORS misconfiguration بدون اکسپلویت.

  • حملات مهندسی اجتماعی که نیاز به تعامل با کاربران دارد.

  • SMS Bombing

  • پیداکردن IPهای پشت CDN بدون داشتن سناریو و اکسپلویت برای حمله‌ای تاثیرگذار یا اینکه در بخش قابل قبول نیامده باشد.

  • آسیب‌پذیری‌هایی که نیاز به دسترسی فیزیکی به دستگاه اندرویدی را دارد یا آسیب‌پذیری که خطری کاربران را تهدید نمی کند.(نرم‌افزار اندروید)

  • آسیب‌پذیری‌های مربوط به SSLو Best Practice های‌ مربوط به آن.

  • گزارش‌های ارائه شده توسط اسکنر‌ها و سایر ابزار‌های اتوماتیک، بدون ارائه اکسپلویت.

  • حملات از کاراندازی سرویس (DoS/DDoS). (این در واقع یعنی از ارسال درخواست به صورت انبوه خودداری کنند، با هر روال مشابهی که منجر به از کار انداختن سرویس می تواند بشود.)

  • آسیب‌پذیری‌هایی که در دامنه‌ها و آدرس‌های IP غیر از محدوده‌ مجاز هدف باشد.

محدوده برنامه

دامنه‌های مجاز

  • *.Tapsi.ir
  • *.Tapsi.cab
  • اپلیکیشن موبایلی سفیر و مسافر اندروید
  • اپلیکیشن موبایلی سفیر و مسافر iOS

گزارش باگ

  • گزارش باگ بانتی تپسی را باید از طریق پلتفرم باگدشت ثبت کنید.

  • فرمت گزارش و قوانین مربوط به آن را باید طبق قوانین باگدشت انجام دهید.

  • اگر شکارچی باگ تازه‌کار هستید یا قبلا در پلتفرم باگدشت عضو نبوده‌اید، باید ابتدا در پنل باگدشت ثبت‌نام کنید.

  • گزارش‌های باگ شما ابتدا توسط تیم فنی باگدشت و سپس توسط تیم امنیت تپسی بررسی خواهد شد.