گزارش باگ بانتی تپسی را باید از طریق پلتفرم باگدشت ثبت کنید.

فرمت گزارش و قوانین مربوط به آن را باید طبق قوانین باگدشت انجام دهید.

اگر شکارچی باگ تازه‌کار هستید یا قبلا در پلتفرم باگدشت عضو نبوده‌اید، باید ابتدا در پنل باگدشت ثبت‌نام کنید.

گزارش‌های باگ شما ابتدا توسط تیم فنی باگدشت و سپس توسط تیم امنیت تپسی بررسی خواهد شد.

گزارش باگ

حوزه باگ بانتی تپسی محدود به دامنه‌های مشخص شده زیر است. هر گونه گزارش خارج از محدوده ذکر شده قابل قبول نیست.

*.Tapsi.ir

*.Tapsi.cab

اپلیکیشن موبایلی سفیر و مسافر اندروید

اپلیکیشن موبایلی سفیر و مسافر iOS

محدوده برنامه

تیم امنیت تپسی با رویداد باگ بانتی، تمام «متخصصان تست نفوذ» را به چالش دعوت می‌کند. اگر شما هم در این زمینه تخصص دارید وعلاقه‌مند به کشف باگ‌های امنیتی اپلیکیشن‌ها و سامانه‌های تپسی هستید، این فرصت را از دست ندهید! آسیب‌پذیری‌ها و باگ‌های تپسی را بر اساس قوانین ذکر شده در پایین همین صفحه گزارش دهید و پس از داوری در تیم امنیت تپسی، پاداش نقدی دریافت کنید.

برنامه باگ بانتی تپسی!

موارد مربوط به رکوردهای DNS مرتبط با Email و نامه‌نگاری الکترونیکی جعلی (E-mail spoofing).

آسیب‌پذیری CORS misconfiguration بدون اکسپلویت.

حملات مهندسی اجتماعی که نیاز به تعامل با کاربران دارد.

SMS Bombing

پیداکردن IPهای پشت CDN بدون داشتن سناریو و اکسپلویت برای حمله‌ای تاثیرگذار یا اینکه در بخش قابل قبول نیامده باشد.

آسیب‌پذیری‌هایی که نیاز به دسترسی فیزیکی به دستگاه اندرویدی را دارد یا آسیب‌پذیری که خطری کاربران را تهدید نمی کند.(نرم‌افزار اندروید)

آسیب‌پذیری‌های مربوط به SSLو Best Practice های‌ مربوط به آن.

گزارش‌های ارائه شده توسط اسکنر‌ها و سایر ابزار‌های اتوماتیک، بدون ارائه اکسپلویت.

حملات از کاراندازی سرویس (DoS/DDoS). (این در واقع یعنی از ارسال درخواست به صورت انبوه خودداری کنند، با هر روال مشابهی که منجر به از کار انداختن سرویس می تواند بشود.)

آسیب‌پذیری‌هایی که در دامنه‌ها و آدرس‌های IP غیر از محدوده‌ مجاز هدف باشد.

باگ‌های خارج از محدوده

 تا ۱2۰٬۰۰۰٬۰۰۰ تومان

تا ۳۰٬۰۰۰٬۰۰۰ تومان

تا ۱۵٬۰۰۰٬۰۰۰ تومان

تا ۵٬۰۰۰٬۰۰۰ تومان

پاداش باگ بانتی تپسی

مطالعه قوانین

پیدا کردن باگ

ارسال گزارش باگ

دریافت پاداش نقدی

مراحل شرکت در باگ بانتی

در تمام مراحل باید به حریم خصوصی تمامی کاربران تپسی توجه داشته باشید و از افشا، تغییر، سرقت و نابودی اطلاعات جلوگیری کنید.

باگ‌ها باید در محدوده‌‌های مجاز ذکر شوند.

باگ‌های اعلام شده باید قابل اثبات و تکرارپذیر باشند و با جزئیات قدم به قدم توضیح داده شوند.

تارگت مورد تست می باید در دسترس عموم باشد و یا نحوه دسترسی به آن در گزارش و ویدیو ارائه شود.

هر گزارش باید شامل یک باگ امنیتی باشد.

تمام باگ‌ها فقط باید از طریق اکوسیستم باگدشت (‌Bugdasht.ir) اعلام و پیگیری شوند. اشترک گذاری اطلاعات مرتبط به باگ‌ها در رسانه‌های اجتماعی، وب‌سایتهای اشتراک‌گذاری اطلاعات مانند Pastebin و یا دیگر کانال‌های ارتباطی مورد قبول نیست.

در ارزیابی باید فقط به شناسایی باگ امنیتی پرداخته شود و حملاتی که منجربه نقض در یکپارچگی و یا اختلال در سرویس می‌شوند صورت نگیرد.

درج پیلود (کد، اسکریپت و ...) استفاده شده برای کشف باگ، در گزارش ارسالی الزامی است.

معیارمشخص کردن اهمیت باگ‌ها، استاندارد CVSS است.

باگ حیاتی(Vital) باگی است که از نظر استاندارد CVSS بحرانی است و منجر به نشت اطلاعات تعداد زیادی از کارکنان یا کاربران تپسی می‌شود. هر باگ بحرانی که با هماهنگی باگدشت، به‌همراه ویدیو PoC و به‌صورت عملی ثابت کند که امکان ایجاد اختلال گسترده را (به صورت منطقی) در سازوکار تپسی دارد، می‌تواند درصورت تایید، باگ حیاتی محسوب شود.

گزارش باگ‌ها باید مطابق با قوانین باگدشت (<a href="https://bugdasht.ir/rules" target="_blank">https://bugdasht.ir/rules</a> ) انجام شود.

برنامه باگ بانتی تپسی!

پاداش باگ بانتی تپسی

مراحل شرکت در باگ بانتی

قوانین و مقررات باگ بانتی

آسیب پذیری‌ها

باگ‌های خارج از محدوده

محدوده برنامه

دامنه‌های مجاز

گزارش باگ