مسابقه کشف آسیب‌پذیری

ما در جستجوی محققان امنیتی با استعداد هستیم تا به ما در بهبود امنیت و کیفیت محصولات‌مان کمک کنند. اگر شما یک شکارچی باگ هستید یا علاقه‌مند به امنیت سایبری هستید، این یک فرصت عالی برای شماست تا مهارت‌های خود را به کار بگیرید و پاداش‌های جذابی دریافت کنید.

پاداش‌ها

گزارش آسیب‌پذیری ارسال شده توسط شما ابتدا باید به تایید داوران لیارا برسد و پس از آن، پاداش نقدی براساس شدت و اهمیت آن مطابق فهرست زیر تعیین می‌شود:

سطح	مبلغ پاداش
Vital	تا سقف ۱۰۰ میلیون تومان
Critical	تا سقف ۳۰ میلیون تومان
High	تا سقف ۲۰ میلیون تومان
Medium	تا سقف ۱۰ میلیون تومان
Low	تا سقف ۱ میلیون تومان

محدوده‌ی کشف آسیب‌پذیری (Scope)

لطفا در محدوده‌های زیر به جستجو و کشف آسیب‌پذیری بپردازید و در صورت کشف آسیب‌پذیری در محدوده‌ای خارج از فهرست زیر، ابتدا آن را گزارش دهید و در صورت تایید لیارا، ادامه دهید.

• liara.ir
• *.liara.ir
• *.liara.space

برنده‌های مسابقه

کشف‌کننده	آسیب‌پذیری	شدت	پاداش
محمد درخشان	1-Click Account Takeover	High	۱۰ میلیون تومان
محمدرضا عمرانی	Pre-Account Takeover	Medium	۳ میلیون تومان
M&A	Rate Limit Bypass	Medium	۳ میلیون تومان
محمد درخشان	Race Condition	Low	۲ میلیون تومان
محمدرضا عمرانی	Stored XSS via SVG File Upload	Low	۵۰۰ هزار تومان
amirpayamani	Stored XSS via PDF File Upload	Low	۱ میلیون تومان
محمدرضا عمرانی	Business Logic	Low	۱ میلیون تومان
سید امیر حسین رسولی	Business Logic	Low	۵۰۰ هزار تومان
محمدحسین حیدری	Rate Limit Bypass	Low	۱ میلیون تومان
محمد امین میرحسینی	Rate Limit Bypass	Low	۲ میلیون تومان
محمدجواد بناروئی	Rate Limit Bypass	Low	۲ میلیون تومان
محمدحسین حیدری	Rate Limit Bypass	Low	۲ میلیون تومان
محمدرضا عمرانی	Race Condition	Low	۲ میلیون تومان

بایدها

1. به حریم شخصی کاربران احترام بگذارید و هیچ تلاشی در راستای دسترسی، پردازش و یا از بین بردن داده های شخصی نکنید.
2. صبور باشید و نهایت تلاش خود را برای توضیح دادن به هر سوالی که ممکن است در مورد گزارش شما داشته باشیم، انجام دهید.
3. در تعامل با تیم ما محترم برخورد کنید و تیم ما نیز همین کار را خواهد کرد.
4. تست‌ها را فقط با استفاده از حساب‌های شخصی یا تستی خود انجام دهید.
5. در هنگام انجام تست‌ها، مراقب باشید تا تست‌ها هیچ تأثیر منفی بر مشتریان و خدماتی که به آنها وابسته هستند، نداشته باشد.
6. در صورت عدم اطمینان، لطفاً تست را متوقف کنید. اگر فکر می‌کنید با تست کردن یک آسیب‌پذیری ممکن است خسارتی ایجاد کنید یا قبلاً خسارتی ایجاد کرده‌اید، گزارش اولیه خود را ارائه داده و یک مجوز برای ادامه تست را درخواست کنید.

نبایدها

1. از روش Brute Force یا حدس زدن رمز عبور برای به دست آوردن دسترسی به سیستم‌ها استفاده نکنید.
2. به طور مستقیم یا غیر مستقیم حملات Denial of Service انجام ندهید.
3. هیچ نوع فایل shell بارگذاری نکنید و backdoor ایجاد نکنید.
4. بدون بررسی و تایید شفاف ما، هیچ آسیب‌پذیری‌ را به صورت عمومی افشا نکنید.
5. هیچ شکلی از مهندسی اجتماعی را در برابر کارمندان، مشتریان، شرکا یا همکاران لیارا انجام ندهید.
6. در هنگام تست، هیچ کارمند، مشتری یا شریک لیارا را درگیر نکنید و یا هدف قرار ندهید.
7. سعی نکنید اطلاعاتی که ممکن است حاوی اطلاعات شناسایی شخصی یا سایر اطلاعات حساس باشد را استخراج، دانلود یا به هر روش دیگری انتقال دهید، مگر اینکه این اطلاعات متعلق به خودتان باشند.
8. رمز عبور هرحسابی را که متعلق به شما نیست یا مجوز صریحی برای تغییر آن ندارید، تغییر ندهید. اگر درخواست تغییر رمز عبور یک حساب را دریافت کردید که خودتان ثبت نام نکرده‌اید یا به شما ارائه نشده است، فوراً آن را متوقف کنید و یافته‌های خود را گزارش دهید.
9. هیچ کاری انجام ندهید که به عنوان نقض حریم خصوصی، ایجاد خرابی در داده‌ها، متوقف کردن یا تضعیف خدمات ما تلقی شود.
10. با حساب‌هایی که متعلق به شما نیستند، هیچ‌گونه تعاملی نداشته باشید.
11. گزارش آسیب‌پذیری‌ها را در YouTube و سایت‌های اشتراکی آپلود نکنید.

چه مواردی شامل این مسابقه نمی‌شود؟

• @ Items Not Included in the Contest
• Physical or social engineering attempts (this includes phishing attacks against Liara employees)
• Ability to send push notifications/SMS messages/emails without the ability to change content
• Ability to take over social media pages (Twitter, Facebook, LinkedIn, etc)
• Negligible security impact
• Unchained open redirects
• Reports that state that software is out of date/vulnerable without a proof-of-concept
• Highly speculative reports about theoretical damage
• Vulnerabilities as reported by automated tools without additional analysis as to how they're an issue
• Reports from automated web vulnerability scanners (Acunetix, Vega, etc.) that have not been validated
• SSL/TLS scan reports (this means output from sites such as SSL Labs)
• Open ports without an accompanying proof-of-concept demonstrating vulnerability
• CSV injection
• Best practices concerns
• Protocol mismatch
• Rate limiting
• Dangling IPs
• Vulnerabilities that cannot be used to exploit other users or Liara -- e.g. self-xss or having a user
paste JavaScript into the browser console
• Missing cookie flags on non-authentication cookies
• Reports that affect only outdated user agents or - we only consider exploits in the latest browser
versions for Safari, FireFox, Chrome, Edge, IE
• Issues that require physical access to a victim's computer/device
• Path disclosure
• Banner grabbing issues (figuring out what web server we use, etc.)
• If a site is abiding by the privacy policy, there is no vulnerability.
• Enumeration/account oracles
• Account oracles -- the ability to submit a phone number, email, UUID and receive back a message
indicating a Liara account exists
• Distributed denial of service attacks (DDOS)

نحوه‌ی ارسال گزارش

پس از مطالعه‌ی شرایط فوق، گزارش خود را با عنوان کردن نکات زیر به آدرس bugbounty@liara.ir ارسال کنید:

• شدت آسیب‌پذیری
• مراحل بازتولید آسیب‌پذیری
• هرگونه تنظیم لازم برای بازسازی حمله

توجه:‌ لطفا اسناد ویدیویی را در یک باکت در سرویس ذخیره‌سازی ابری لیارا و یا Google Drive ذخیره کنید و لینک اشتراک‌گذاری آن را در ایمیل قرار دهید.