باگ بانتی گاما: کشف کنید، گزارش دهید و جایزه بگیرید!

باگ بانتی گاما برنامه‌ای برای بهتر کردن تجربه کاربری و از بین بردن همه چالش‌هایی است که شاید در کار با پلتفرم ما احساس کنید.

ما شما را به همکاری دعوت می‌کنیم تا با کمک هم، به بهبود امنیت و کارکرد گاما کمک کنید. همکاری‌های شما نه‌تنها تجربه کاربران را بهتر می‌کند، بلکه پاداش‌های جذابی هم برای‌تان در نظر گرفته‌ایم.

پاداش‌های باگ بانتی گاما

گاما برای همراهان تیزبین خود دو نوع جایزه در نظر گرفته است. با پیدا کردن مشکلات کاربردی و فنی در پلتفرم ما، می‌توانید این جایزه‌ها را دریافت کنید.

1- اعتبار هدیه برای گزارش مشکلات فنی

اگر کاربر گاما هستید و مشکلات فنی و تجربه کاربری پیدا کرده‌اید، برای ما بفرستید. در صورت تایید تیم فنی جایزه ای بین ۵۰ تا ۵۰۰ هزار تومان به‌صورت شارژ هدیه روی بسته‌های شارژ کیف پول پرداخت می‌شود.

مشکلاتی که می‌توانید گزارش کنید:

خطاهای سیستمی: مثلا بعد از ارسال یک فرم، محتوا ثبت نشده ولی پیام موفق بودن دریافت شده است.

عملکرد اشتباه نرم افزار: مثلا آپلود فایل، بدون خطای پیش‌بینی شده انجام نمی‌شود.

عدم نمایش صحیح صفحات در دستگاه های مختلف: مثلا در تبلت، ظاهر خود صفحه‌ای را نامناسب می‌بینید یا یک قابلیت قابل استفاده نیست.

و موارد دیگه‌ای که به نظرتون یک اشکال فنی است.

2- پاداش برای گزارش باگ‌های امنیتی

هکرها دوستان گاما هستند!

اگر هکر و هانتر حرفه‌ای باگ‌های امنیتی و فنی هستید، گاما برای شما هم پاداش در نظر دارد. ما با استفاده از استاندارد CVSS 3.1، به گزارش‌های مشکلات امنیتی تایید شده پاداش پرداخت می‌کنیم.

میزان پاداش شما بر اساس جدول زیر و اهمیت مشکل تعیین می‌شود:

پس جوایز متنوعی از ۵۰۰ هزار تومان تا ۶۰ میلیون تومان منتظر شما هستند.

شرط تایید گزارش های آسیب پذیری، ارائه POC و یا اکسپلویت کامل حمله است و صرف استناد به وجود پتانسیل یک آسیب پذیری هرچند بسیار مورد قدردانی تیم فنی گاما خواهد بود، متاسفانه در برنامه باگ بانتی مورد تایید نیست.
به شکل کلی برای تایید گزارش باید اثبات کنید توسط این آسیب مهاجم قادر به حمله (از هر نوع) به کاربران یا کسب و کار گاما خواهد بود.

مثال مواردی که مورد تایید است:
- دسترسی به اکانت کاربران
- بایپس کردن سطح دسترسی کاربران
- انواع XSS یا حمله CSRF روی فرم ها
- دسترسی به سرورها یا دیتابیس‌های گاما
- دسترسی به ایمیل‌های ورودی یا خروجی گاما

مثال مواردی که مورد تایید نیست:
- گزارش ورژن نرم افزارها یا لایبرری های مورد استفاده گاما بدون گزارش آسیب پذیری و اکسپلویت روی نسخه مورد اشاره
- گزارش آسیب پذیری بدون سناریوی حمله پیاده سازی شده (صرفا با فرض اینکه شاید در حالتی یا توسط مهاجمی امکان نفوذ وجود داشته باشد)
- گزارش های غیرفعال (با فرض اینکه با حاصل شدن شرایط در آینده ممکن است از این نقطه آسیب رخ دهد)

پیشنهاد می‌کنیم حتی در مواردی که احتمال می‌دهید آسیب پذیری در برنامه بانتی تایید نشود آن‌ را برای ما ارسال کنید و شانس خود را امتحان کنید. :)
با این کار هم ارزش وقتتان حفظ شده است هم احتمال اینکه در مواردی به تشخیص تیم فنی مورد شامل استثنا شود وجود دارد.

نکاتی در مورد ارسال گزارش‌ها:

1. در هر تیکت فقط یک گزارش ارسال کنید.

۲. برای عنوان تیکت بهتر است از فرمت زیر استفاده کنید:

گزارش آسیب پذیری [نوع آسیب] در [اسکوپ آسیب پذیر]
مثال: گزارش آسیب پذیری CSRF در ثبت نمونه سوال جدید
گزارش آسیب پذیری XSS در صفحه لیست محتوای آموزشی

۳. برای گزارش خود حتما مستندات فنی اکسپلویت و اثبات در فرمت های PDF, MP4 ارسال کنید.
۴. در صورتی که فایل آلوده ای در قسمت فایل‌ها ارسال شده است حتما به شکل مشخص اشاره کنید که فایل آلوده با نام ... در پیام ارسال شده است. حتی اگر این آلودگی در حد نمایش یک آلرت است.
۵. در ویدیوهای POC روند شروع گزارش باید به این ترتیب باشد و همه مراحل در حین رکورد انجام شود و صفحات از پیش باز نباشند.
- بازکردن یک صفحه جدید مرورگر (بدون intercept یا پروکسی یا VPN فعال)
- بازکردن لینک https://ifconfig.io و نمایش تمام صفحه 
- بازکردن لینک https://time.ir مکث به مدت ۲ تا ۳ ثانیه
- شروع گزارش آسیب پذیری
- نمایش مجدد صفحه time.ir 

۶. در صورتی که احتمال می‌دهید نوع حمله یا اسکوپ حمله می‌تواند به شکل مستقل تایید شود در گزارش فقط به یک اسکوپ اشاره کنید و درصورت تایید گزارش اول مجددا اسکوپ دیگر را بررسی کنید و در صورتی که آسیب همچنان وجود داشت در گزارشی مستقل ارسال کنید.
* گزارش های منتقل شده به تیم فنی معمولا از شروع بررسی تا ۴ هفته در وضعیت هولد هستند و ممکن است گزارش جدید به دلیل تکراری بودن تایید نشود.
۷. ارسال وکتور CVSS پیشنهادی برای گزارش کاملا بلامانع است ولی تاثیر مستقیمی روی روند تعیین حساسیت و وکتور توسط تیم فنی را نخواهد داشت.
8. بهتر است همه گزارش را در قالب یک تیکت و به شکل منسجم ارسال کنید.

فرایند بعد از ارسال گزارش:

پس از ارسال گزارش و بررسی توسط بخش پشتیبانی تیکت شما به واحد فنی منتقل شده و وضعیت آن به "درحال بررسی" تغییر می‌کند.
در این وضعیت گزارش شما طبق الگوریتم FIFO بررسی خواهد شد که این می‌تواند بسته به حجم گزارشات دریافتی متفاوت باشد، ولی به شکل معمول ۱ هفته زمان برای بررسی و اعلام بازخورد نیاز است.
بهتر است مگر در موارد ضروری که نیاز است توضیح یا فایلی به گزارش اضافه کنید تیکت را آپدیت نکنید تا در سورت جابجا نشود.
در این زمان ممکن است از شما سوالاتی پرسیده شود یا درخواست اطلاعات یا شواهد بیشتری شود که در این صورت تیکت به صورت مکالمه محور خواهد شد.

در نهایت پس از بررسی کامل گزارش شما، تیم فنی بازخورد را از طریق یک پیام به شما اطلاع می‌دهد.
- در صورت تایید گزارش امتیاز بین ۱ تا ۱۰ به همراه وکتور CVSS و مبلغ بانتی تایید شده به شما اعلام و از شما درخواست می شود پچ ارائه شده برای آسیب را بررسی و رفع اشکال را تایید کنید.
- در صورت رد گزارش حتما علت این موضوع به شما اعلام خواهیم کرد.

در صورت تایید گزارش در این مرحله لطفا قبل از هرچیز گزارش را بررسی و پچ را تایید یا در صورت وجود مشکل اعلام کنید.

پس از اعلام امتیاز و وکتور در صورت اعتراض به اسکور انتخابی شما می‌توانید با ارائه مستندات یا توضیحاتی درخواست افزایش امتیاز داشته باشید.
در نظر داشته باشید که این درخواست مجددا در لیست بررسی تیم فنی قرار گرفته و طی پروسه ای بازخورد داده خواهد شد.
* این پروسه به علت بررسی مجدد گزارش، پچ اصلاحیه، گفتگو با متخصصان فنی، بخش مالی و بخش حقوقی، بسیار وقت گیر و متاسفانه بیش از یکبار امکان پذیر نیست.

در صورت تایید پچ از شما اطلاعات هویتی و بانکی درخواست و پس از ارائه اطلاعات پرداخت بانتی معمولا طی ۷ روز کاری انجام خواهد شد.

امضای قرارداد NDA در موارد خاص:
درصورتی که در پروسه کشف آسیب پذیری به اطلاعات حیاتی شامل دیتابیس‌ها، ایمیل‌ها، فایل‌ها (حساس یا عمده) یا سایر موارد حساس برای کسب و کار یا کاربران گاما دسترسی پیدا کردید بعد از تایید گزارش نیاز است پیش از دریافت بانتی یک قرارداد منع افشای اطلاعات امضا کنید.

علت‌های رایج رد گزارش ها:

برنامه باگ بانتی گاما مثل یک مسابقه است که شما باید از بقیه جلو بزنید و سعی کنید امتیاز بیشتری بگیرید و البته که اخلاق برد و باخت رو هم داشته باشی :)
خیلی مواقع گزارش شما با اینکه درست و کمک کننده است به دلایلی واجد شرایط مسابقه نمیشه. چند موردشو این پایین گفتیم:
 

1. تکراری بودن: این گزارش قبلا توسط خودتان یا دیگران ثبت شده و هنوز در هولد تیم فنی قرار دارد. اولویت با اولین گزارش دریافت شده است.
    
2. عدم قابلیت تکرار: آسیب یا اشکال گزارش شده قابل بازسازی یا تکرار نبوده است. ممکن است به علت ارائه مستندات ناکافی این گزارش رد شود.
    
3. خارج از برنامه گاما: آسیب مورد اشاره به شکل مستقیم کاربران یا کسب و کار گاما را تهدید نمی‌کند.
    
4. خارج از اسکوپ عملیاتی گاما: آسیب توسط گاما ایجاد نشده و یا قابل رفع توسط گاما نیست.
    
5. رشته ناقص حمله: این آسیب پذیری در صورت محقق بودن چند آسیب دیگر عملیاتی است که در حال حاضر وجود ندارد (یا توسط هانتر اشاره نشده است).
   • آسیب پذیری در صورتی کامل می‌شود که یک آسیب CSRF هم در قسمتی وجود داشته باشد.
   • آسیب پذیری در صورتی کامل می‌شود که در نسخه مورد اشاره حفره ای در آینده کشف شود.
   • آسیب پذیری در صورتی کامل می‌شود که دسترسی به بخشی از شبکه یا یک پورت یا ... در آینده سهوا یا عمدا باز شود.
      
6. اکسپلویت یا اثبات نشده: هانتر گزارشی بودن ارسال اکسپلویت یا PoC ارسال می‌کند و حمله ای قابل پیاده سازی نیست.

همه هزینه‌ها با گاما!

اگر در ماجراجویی تست امنیتی، هزینه‌ای پرداخت کردید، گاما کل آن را پرداخت می‌کند.  هزینه‌هایی مانند پرداخت آنلاین، استفاده از ابزارهای پولی و موارد این‌چنینی محاسبه و در پاداش در نظر گرفته می‌شود.

امیدواریم با کمک شما بتوانیم تجربه کاربران در گاما را بهتر کنیم و مثل همیشه، با کیفیت بالا در خدمت شما باشیم.

ارسال گزارش