تغییرات اخیر

در اینجا اطلاعیه‌ها، نسخه‌ها و تغییرات جدید لیارا فهرست می‌شوند.

$ liara -- zsh - bug-bounty

<مسابقه کشف آسیب‌پذیری/>

ما در جستجوی محققان امنیتی با استعداد هستیم تا به ما در بهبود امنیت و کیفیت محصولات‌مان کمک کنند. اگر شما یک شکارچی باگ هستید یا علاقه‌مند به امنیت سایبری هستید، این یک فرصت عالی برای شماست تا مهارت‌های خود را به کار بگیرید و پاداش‌های جذابی دریافت کنید.

مراحل شرکت در مسابقه

گام اول

مطالعه و پذیرش قوانین

با دقت قوانین و شرایط را بررسی کن و وارد مسیر حرفه‌ای شکار باگ شو.

گام دوم

شناسایی آسیب‌پذیری

مهارتت رو نشون بده و آسیب‌پذیری رو پیدا کن.

گام سوم

ارسال گزارش

آسیب‌پذیری‌ت رو با دقت گزارش کن تا پاداشت رو دریافت کنی.

گام آخر

دریافت پاداش نقدی

وقتی آسیب‌پذیری‌ت تایید شد، جایزه نقدی به حسابت واریز می‌شه.

پاداش‌ها

گزارش آسیب‌پذیری ارسال شده توسط شما ابتدا باید به تایید داوران لیارا برسد و پس از آن، پاداش نقدی براساس شدت و اهمیت آن مطابق فهرست زیر تعیین می‌شود:

سطحمبلغ پاداش
Vitalتا سقف ۲۰۰ میلیون تومان
Critical تا سقف ۶۰ میلیون تومان
Highتا سقف ۴۰ میلیون تومان
Mediumتا سقف ۲۰ میلیون تومان
Lowتا سقف ۲ میلیون تومان

توجه لطفاً توجه داشته باشید که برای گزارش‌های تکراری پاداشی در نظر گرفته نمی‌شود.

معیار سنجش شدت آسیب‌پذیری‌ها پس از بررسی بر اساس استاندارد CVSS مشخص می‌شود.

محدوده‌ی کشف آسیب‌پذیری (Scope)

محدوده کشف آسیب‌پذیری لیارا شامل دامنه‌های زیر است. هرگونه فعالیت خارج از این محدوده مشمول مسابقه باگ‌بانتی نخواهد بود.

توجه در صورت کشف آسیب‌پذیری در خارج از این محدوده، ابتدا آن را به bugbounty@liara.ir گزارش دهید و در صورت تایید لیارا، ادامه دهید.

liara.ir*.liara.ir*.liara.space

آسیب‌پذیری‌های مورد قبول

هرگونه نقص امنیتی که بر محرمانگی و جامعیت اطلاعات کاربران تاثیر منفی بگذارد جزو حوزه این باگ بانتی است. مثال‌هایی از آسیب‌پذیری‌های مرسوم:

Server-side code execution
Authorization flaws
Authentication flaws
IDOR
Data leakage
SQL injection
SSRF
Cross-site scripting (XSS)
XML External Entity (XXE)
Open redirect
Business Logic
Other

آسیب‌پذیری‌های خارج از محدوده

فهرست زیر شامل مواردی است که از دامنه پذیرش این مسابقه خارج است و گزارش آن‌ها منجر به دریافت جایزه نخواهد شد:

$ liara -- terminal(zsh)
$ cat out_of_scope_vulnerabilities.txt
OUT OF SCOPE VULNERABILITIES
• Physical or social engineering attempts (including phishing attacks against Liara employees)
• Ability to send push notifications/SMS/emails without content modification capability
• Social media account takeover (Twitter, Facebook, LinkedIn, etc.)
• Negligible security impact vulnerabilities
• Unchained open redirects
• Software vulnerability reports without proof-of-concept
• Highly speculative theoretical damage reports
• Automated tool vulnerabilities without additional analysis
• Unvalidated automated scanner reports (Acunetix, Vega, etc.)
• SSL/TLS scan reports (SSL Labs output)
• Open ports without vulnerability proof-of-concept
• CSV injection vulnerabilities
• Best practices concerns
• Protocol mismatch issues
• Rate limiting bypasses
• Dangling IP addresses
• Self-exploitable vulnerabilities (self-XSS, console JavaScript)
• Missing cookie flags on non-authentication cookies
• Outdated browser compatibility issues
• Physical device access requirements
• Path disclosure vulnerabilities
• Banner grabbing and server fingerprinting
• Privacy policy compliance issues
• Account enumeration and oracles
• Account existence verification via phone/email/UUID
• Distributed Denial of Service (DDoS) attacks
$ ▊

برترین شکارچیان باگ

نمایش جزئیات آسیب‌پذیری‌ها، شدت و ویژگی‌های هر گزارش

رتبه 1

محمد درخشان

۲۶٬۰۰۰٬۰۰۰ تومان
۵ آسیب‌پذیری
آسیب‌پذیریسطحتاثیرگذاریپاداش
Authentication flaws
1-Click Account Takeover
High
نیازمند مهندسی اجتماعی
۱۰٬۰۰۰٬۰۰۰ تومان
Business Logic
Business Logic Flaw
Medium
-
۸٬۰۰۰٬۰۰۰ تومان
Business Logic
Business Logic Flaw
Low
-
۳٬۰۰۰٬۰۰۰ تومان
Business Logic
Business Logic Flaw
Low
-
۳٬۰۰۰٬۰۰۰ تومان
Other
Race Condition
Low
-
۲٬۰۰۰٬۰۰۰ تومان
Authentication flaws
1-Click Account Takeover
سطح:
High
تاثیرگذاری:
نیازمند مهندسی اجتماعی
پاداش:
۱۰٬۰۰۰٬۰۰۰ تومان
Business Logic
Business Logic Flaw
سطح:
Medium
تاثیرگذاری:
-
پاداش:
۸٬۰۰۰٬۰۰۰ تومان
Business Logic
Business Logic Flaw
سطح:
Low
تاثیرگذاری:
-
پاداش:
۳٬۰۰۰٬۰۰۰ تومان
Business Logic
Business Logic Flaw
سطح:
Low
تاثیرگذاری:
-
پاداش:
۳٬۰۰۰٬۰۰۰ تومان
Other
Race Condition
سطح:
Low
تاثیرگذاری:
-
پاداش:
۲٬۰۰۰٬۰۰۰ تومان
رتبه 2

محمدرضا عمرانی

۹٬۵۰۰٬۰۰۰ تومان
۵ آسیب‌پذیری
آسیب‌پذیریسطحتاثیرگذاریپاداش
Authorization flaws
Pre-Account Takeover
Medium
-
۳٬۰۰۰٬۰۰۰ تومان
Cross-site scripting (XSS)
Stored XSS via SVG
Low
-
۵۰۰٬۰۰۰ تومان
Other
Race Condition
Low
-
۳٬۰۰۰٬۰۰۰ تومان
Business Logic
Business Logic
Low
-
۱٬۰۰۰٬۰۰۰ تومان
Other
Race Condition
Low
-
۲٬۰۰۰٬۰۰۰ تومان
Authorization flaws
Pre-Account Takeover
سطح:
Medium
تاثیرگذاری:
-
پاداش:
۳٬۰۰۰٬۰۰۰ تومان
Cross-site scripting (XSS)
Stored XSS via SVG
سطح:
Low
تاثیرگذاری:
-
پاداش:
۵۰۰٬۰۰۰ تومان
Other
Race Condition
سطح:
Low
تاثیرگذاری:
-
پاداش:
۳٬۰۰۰٬۰۰۰ تومان
Business Logic
Business Logic
سطح:
Low
تاثیرگذاری:
-
پاداش:
۱٬۰۰۰٬۰۰۰ تومان
Other
Race Condition
سطح:
Low
تاثیرگذاری:
-
پاداش:
۲٬۰۰۰٬۰۰۰ تومان
رتبه 3

محمدحسین حیدری

۳٬۰۰۰٬۰۰۰ تومان
۲ آسیب‌پذیری
آسیب‌پذیریسطحتاثیرگذاریپاداش
Other
Rate Limit Bypass
Low
-
۱٬۰۰۰٬۰۰۰ تومان
Other
Rate Limit Bypass
Low
-
۲٬۰۰۰٬۰۰۰ تومان
Other
Rate Limit Bypass
سطح:
Low
تاثیرگذاری:
-
پاداش:
۱٬۰۰۰٬۰۰۰ تومان
Other
Rate Limit Bypass
سطح:
Low
تاثیرگذاری:
-
پاداش:
۲٬۰۰۰٬۰۰۰ تومان
۴

M&A

۳٬۰۰۰٬۰۰۰ تومان
۱ آسیب‌پذیری
آسیب‌پذیریسطحتاثیرگذاریپاداش
Other
Rate Limit Bypass
Medium
-
۳٬۰۰۰٬۰۰۰ تومان
Other
Rate Limit Bypass
سطح:
Medium
تاثیرگذاری:
-
پاداش:
۳٬۰۰۰٬۰۰۰ تومان
۵

محمد امین میرحسینی

۲٬۰۰۰٬۰۰۰ تومان
۱ آسیب‌پذیری
آسیب‌پذیریسطحتاثیرگذاریپاداش
Other
Rate Limit Bypass
Low
-
۲٬۰۰۰٬۰۰۰ تومان
Other
Rate Limit Bypass
سطح:
Low
تاثیرگذاری:
-
پاداش:
۲٬۰۰۰٬۰۰۰ تومان
۶

محمدجواد بناروئی

۲٬۰۰۰٬۰۰۰ تومان
۱ آسیب‌پذیری
آسیب‌پذیریسطحتاثیرگذاریپاداش
Other
Rate Limit Bypass
Low
-
۲٬۰۰۰٬۰۰۰ تومان
Other
Rate Limit Bypass
سطح:
Low
تاثیرگذاری:
-
پاداش:
۲٬۰۰۰٬۰۰۰ تومان
۷

amirpayamani

۱٬۰۰۰٬۰۰۰ تومان
۱ آسیب‌پذیری
آسیب‌پذیریسطحتاثیرگذاریپاداش
Cross-site scripting (XSS)
Stored XSS via PDF
Low
-
۱٬۰۰۰٬۰۰۰ تومان
Cross-site scripting (XSS)
Stored XSS via PDF
سطح:
Low
تاثیرگذاری:
-
پاداش:
۱٬۰۰۰٬۰۰۰ تومان
۸

سید امیر حسین رسولی

۵۰۰٬۰۰۰ تومان
۱ آسیب‌پذیری
آسیب‌پذیریسطحتاثیرگذاریپاداش
Business Logic
Business Logic
Low
-
۵۰۰٬۰۰۰ تومان
Business Logic
Business Logic
سطح:
Low
تاثیرگذاری:
-
پاداش:
۵۰۰٬۰۰۰ تومان

قوانین و مقررات

rules_dos.sh
$ cat allowed_actions.txt
┌─ ✓ ALLOWED ACTIONS ─┐
[01]به حریم شخصی کاربران احترام بگذارید و هیچ تلاشی در راستای دسترسی، پردازش و یا از بین بردن داده های شخصی نکنید.
[02]صبور باشید و نهایت تلاش خود را برای توضیح دادن به هر سوالی که ممکن است در مورد گزارش شما داشته باشیم، انجام دهید.
[03]در تعامل با تیم ما محترم برخورد کنید و تیم ما نیز همین کار را خواهد کرد.
[04]تست‌ها را فقط با استفاده از حساب‌های شخصی یا تستی خود انجام دهید.
[05]در هنگام انجام تست‌ها، مراقب باشید تا تست‌ها هیچ تأثیر منفی بر مشتریان و خدماتی که به آنها وابسته هستند، نداشته باشد.
[06]در صورت عدم اطمینان، لطفاً تست را متوقف کنید. اگر فکر می‌کنید با تست کردن یک آسیب‌پذیری ممکن است خسارتی ایجاد کنید یا قبلاً خسارتی ایجاد کرده‌اید، گزارش اولیه خود را ارائه داده و یک مجوز برای ادامه تست را درخواست کنید.
$ ▊
rules_donts.sh
$ cat forbidden_actions.txt
┌─ ✗ FORBIDDEN ACTIONS ─┐
[01]از روش Brute Force یا حدس زدن رمز عبور برای به دست آوردن دسترسی به سیستم‌ها استفاده نکنید.
[02]به طور مستقیم یا غیر مستقیم حملات Denial of Service انجام ندهید.
[03]هیچ نوع فایل shell بارگذاری نکنید و backdoor ایجاد نکنید.
[04]بدون بررسی و تایید شفاف ما، هیچ آسیب‌پذیری‌ را به صورت عمومی افشا نکنید.
[05]هیچ شکلی از مهندسی اجتماعی را در برابر کارمندان، مشتریان، شرکا یا همکاران لیارا انجام ندهید.
[06]در هنگام تست، هیچ کارمند، مشتری یا شریک لیارا را درگیر نکنید و یا هدف قرار ندهید.
[07]سعی نکنید اطلاعاتی که ممکن است حاوی اطلاعات شناسایی شخصی یا سایر اطلاعات حساس باشد را استخراج، دانلود یا به هر روش دیگری انتقال دهید، مگر اینکه این اطلاعات متعلق به خودتان باشند.
[08]رمز عبور هرحسابی را که متعلق به شما نیست یا مجوز صریحی برای تغییر آن ندارید، تغییر ندهید. اگر درخواست تغییر رمز عبور یک حساب را دریافت کردید که خودتان ثبت نام نکرده‌اید یا به شما ارائه نشده است، فوراً آن را متوقف کنید و یافته‌های خود را گزارش دهید.
[09]هیچ کاری انجام ندهید که به عنوان نقض حریم خصوصی، ایجاد خرابی در داده‌ها، متوقف کردن یا تضعیف خدمات ما تلقی شود.
[10]با حساب‌هایی که متعلق به شما نیستند، هیچ‌گونه تعاملی نداشته باشید.
[11]گزارش آسیب‌پذیری‌ها را در YouTube و سایت‌های اشتراکی آپلود نکنید.
$ ▊

نحوه‌ی ارسال گزارش

پس از مطالعه‌ی شرایط فوق، گزارش خود را با عنوان کردن نکات زیر به آدرس bugbounty@liara.ir ارسال کنید:

توجه لطفاً اسناد ویدیویی را در لیارا یا Google Drive بارگذاری و لینک آن را در ایمیل درج کنید.

توجه تیم فنی لیارا در کمتر از ۷۲ ساعت پاسخگوی گزارشات شما خواهد بود.

شدت آسیب‌پذیری
مراحل بازتولید آسیب‌پذیری
هرگونه تنظیم لازم برای بازسازی حمله

ســــــــــــــــــــــال‌هاست که هستیم

۶ سال در کنار شما تجربه جمع کردیم. تازه در ابتدای مسیر هستیم، مسیر ساخت آینده.

sixth

جمع‌مـــــــــــان، جمع است

بیش از ۶۰ هزار توسعه‌دهنده و صاحبان کسب و کار در جمع ما هستند. جای شما خالی‌ست...

usersnumberusers

خدمات رایگان لیارا

۲.۵ گیگابایت فضای ذخیره‌سازی ابری رایگان۲.۵ گیگابایت فضای ذخیره‌سازی ابری رایگان

۲.۵ گیگابایت Object Storage سازگار با پروتکل S3 با دیسک‌های SSD به‌صورت رایگان دریافت کنید.

هاست رایگان برای دیتابیس‌هاست رایگان برای دیتابیس‌

دیتابیس‌های MariaDB، PostgreSQL و Redis را فقط با یک کلیک و به‌صورت رایگان تهیه کنید.

سرویس DNS رایگانسرویس DNS رایگان

به سادگی دامنه‌تان را اضافه کنید و به صورت رایگان رکورد‌های آن را مدیریت کنید.

۲۰۰ هزار تومان اعتبار اولیه۲۰۰ هزار تومان اعتبار اولیه

بعد از ثبت نام در لیارا مبلغ ۲۰۰ هزار تومان اعتبار هدیه دریافت می‌کنید که با توجه به ساعتی بودن هزینه سرویس‌ها، می‌توانید تمامی خدمات پولی را برای چندین هفته رایگان استفاده کنید.

ارسال ۱۰۰ ایمیل تراکنشی رایگان در هر ماهارسال ۱۰۰ ایمیل تراکنشی رایگان در هر ماه

در سرویس ایمیل لیارا شما می‌توانید تا ۱۰۰ ایمیل رایگان در هر ماه ارسال کنید. (به‌همراه دسترسی SMTP)

هاست رایگان برای انواع وبسایتهاست رایگان برای انواع وبسایت

تفاوتی ندارد برای وبسایت خود از Node استفاده می‌کنید یا Laravel و Django، در لیارا می‌توانید به صورت کاملا رایگان آن را میزبانی کنید.

همراه شما هستیم

در خصوص سفارش یا استفاده از سرویس‌ها سوالی دارید؟
تلفن واحد فروش:
۰۲۵-۳۲۰۹۸۰۰۰