تغییرات اخیر

در اینجا اطلاعیه‌ها، نسخه‌ها و تغییرات جدید لیارا فهرست می‌شوند.

    مسابقه کشف آسیب‌پذیری

    ما در جستجوی محققان امنیتی با استعداد هستیم تا به ما در بهبود امنیت و کیفیت محصولات‌مان کمک کنند. اگر شما یک شکارچی باگ هستید یا علاقه‌مند به امنیت سایبری هستید، این یک فرصت عالی برای شماست تا مهارت‌های خود را به کار بگیرید و پاداش‌های جذابی دریافت کنید.

    پاداش‌ها

    گزارش آسیب‌پذیری ارسال شده توسط شما ابتدا باید به تایید داوران لیارا برسد و پس از آن، پاداش نقدی براساس شدت و اهمیت آن مطابق فهرست زیر تعیین می‌شود:

    سطحمبلغ پاداش
    Vitalتا سقف ۱۰۰ میلیون تومان
    Critical تا سقف ۳۰ میلیون تومان
    Highتا سقف ۲۰ میلیون تومان
    Mediumتا سقف ۱۰ میلیون تومان
    Lowتا سقف ۱ میلیون تومان

    محدوده‌ی کشف آسیب‌پذیری (Scope)

    لطفا در محدوده‌های زیر به جستجو و کشف آسیب‌پذیری بپردازید و در صورت کشف آسیب‌پذیری در محدوده‌ای خارج از فهرست زیر، ابتدا آن را گزارش دهید و در صورت تایید لیارا، ادامه دهید.

    • liara.ir
    • *.liara.ir
    • *.liara.space

    برنده‌های مسابقه

    کشف‌کنندهآسیب‌پذیریشدتپاداش
    محمد درخشان1-Click Account TakeoverHigh۱۰ میلیون تومان
    محمدرضا عمرانیPre-Account TakeoverMedium۳ میلیون تومان
    محمدرضا عمرانیStored XSS via SVG File UploadLow۵۰۰ هزار تومان
    amirpayamaniStored XSS via PDF File UploadLow۱ میلیون تومان
    محمدرضا عمرانیBusiness LogicLow۱ میلیون تومان
    سید امیر حسین رسولیBusiness LogicLow۵۰۰ هزار تومان
    محمدحسین حیدریRate Limit BypassLow۱ میلیون تومان
    محمد امین میرحسینیRate Limit BypassLow۲ میلیون تومان
    محمدجواد بناروئیRate Limit BypassLow۲ میلیون تومان

    بایدها

    1. به حریم شخصی کاربران احترام بگذارید و هیچ تلاشی در راستای دسترسی، پردازش و یا از بین بردن داده های شخصی نکنید.
    2. صبور باشید و نهایت تلاش خود را برای توضیح دادن به هر سوالی که ممکن است در مورد گزارش شما داشته باشیم، انجام دهید.
    3. در تعامل با تیم ما محترم برخورد کنید و تیم ما نیز همین کار را خواهد کرد.
    4. تست‌ها را فقط با استفاده از حساب‌های شخصی یا تستی خود انجام دهید.
    5. در هنگام انجام تست‌ها، مراقب باشید تا تست‌ها هیچ تأثیر منفی بر مشتریان و خدماتی که به آنها وابسته هستند، نداشته باشد.
    6. در صورت عدم اطمینان، لطفاً تست را متوقف کنید. اگر فکر می‌کنید با تست کردن یک آسیب‌پذیری ممکن است خسارتی ایجاد کنید یا قبلاً خسارتی ایجاد کرده‌اید، گزارش اولیه خود را ارائه داده و یک مجوز برای ادامه تست را درخواست کنید.

    نبایدها

    1. از روش Brute Force یا حدس زدن رمز عبور برای به دست آوردن دسترسی به سیستم‌ها استفاده نکنید.
    2. به طور مستقیم یا غیر مستقیم حملات Denial of Service انجام ندهید.
    3. هیچ نوع فایل shell بارگذاری نکنید و backdoor ایجاد نکنید.
    4. بدون بررسی و تایید شفاف ما، هیچ آسیب‌پذیری‌ را به صورت عمومی افشا نکنید.
    5. هیچ شکلی از مهندسی اجتماعی را در برابر کارمندان، مشتریان، شرکا یا همکاران لیارا انجام ندهید.
    6. در هنگام تست، هیچ کارمند، مشتری یا شریک لیارا را درگیر نکنید و یا هدف قرار ندهید.
    7. سعی نکنید اطلاعاتی که ممکن است حاوی اطلاعات شناسایی شخصی یا سایر اطلاعات حساس باشد را استخراج، دانلود یا به هر روش دیگری انتقال دهید، مگر اینکه این اطلاعات متعلق به خودتان باشند.
    8. رمز عبور هرحسابی را که متعلق به شما نیست یا مجوز صریحی برای تغییر آن ندارید، تغییر ندهید. اگر درخواست تغییر رمز عبور یک حساب را دریافت کردید که خودتان ثبت نام نکرده‌اید یا به شما ارائه نشده است، فوراً آن را متوقف کنید و یافته‌های خود را گزارش دهید.
    9. هیچ کاری انجام ندهید که به عنوان نقض حریم خصوصی، ایجاد خرابی در داده‌ها، متوقف کردن یا تضعیف خدمات ما تلقی شود.
    10. با حساب‌هایی که متعلق به شما نیستند، هیچ‌گونه تعاملی نداشته باشید.
    11. گزارش آسیب‌پذیری‌ها را در YouTube و سایت‌های اشتراکی آپلود نکنید.

    چه مواردی شامل این مسابقه نمی‌شود؟

    • @ Items Not Included in the Contest
    • Physical or social engineering attempts (this includes phishing attacks against Liara employees)
    • Ability to send push notifications/SMS messages/emails without the ability to change content
    • Ability to take over social media pages (Twitter, Facebook, LinkedIn, etc)
    • Negligible security impact
    • Unchained open redirects
    • Reports that state that software is out of date/vulnerable without a proof-of-concept
    • Highly speculative reports about theoretical damage
    • Vulnerabilities as reported by automated tools without additional analysis as to how they're an issue
    • Reports from automated web vulnerability scanners (Acunetix, Vega, etc.) that have not been validated
    • SSL/TLS scan reports (this means output from sites such as SSL Labs)
    • Open ports without an accompanying proof-of-concept demonstrating vulnerability
    • CSV injection
    • Best practices concerns
    • Protocol mismatch
    • Rate limiting
    • Dangling IPs
    • Vulnerabilities that cannot be used to exploit other users or Liara -- e.g. self-xss or having a user
    • paste JavaScript into the browser console
    • Missing cookie flags on non-authentication cookies
    • Reports that affect only outdated user agents or - we only consider exploits in the latest browser
    • versions for Safari, FireFox, Chrome, Edge, IE
    • Issues that require physical access to a victim's computer/device
    • Path disclosure
    • Banner grabbing issues (figuring out what web server we use, etc.)
    • If a site is abiding by the privacy policy, there is no vulnerability.
    • Enumeration/account oracles
    • Account oracles -- the ability to submit a phone number, email, UUID and receive back a message
    • indicating a Liara account exists
    • Distributed denial of service attacks (DDOS)

    نحوه‌ی ارسال گزارش

    پس از مطالعه‌ی شرایط فوق، گزارش خود را با عنوان کردن نکات زیر به آدرس bugbounty@liara.ir ارسال کنید:

    • شدت آسیب‌پذیری
    • مراحل بازتولید آسیب‌پذیری
    • هرگونه تنظیم لازم برای بازسازی حمله

    توجه:‌ لطفا اسناد ویدیویی را در یک باکت در سرویس ذخیره‌سازی ابری لیارا و یا Google Drive ذخیره کنید و لینک اشتراک‌گذاری آن را در ایمیل قرار دهید.

    ســــــــــــــــــــــال‌هاست که هستیم

    ۶ سال در کنار شما تجربه جمع کردیم. تازه در ابتدای مسیر هستیم، مسیر ساخت آینده.

    جمع‌مـــــــــــان، جمع است

    بیش از ۴۰ هزار توسعه‌دهنده و صاحبان کسب و کار در جمع ما هستند. جای شما خالی‌ست...

    خدمات رایگان لیارا

    ۲.۵ گیگابایت فضای ذخیره‌سازی ابری رایگان

    ۲.۵ گیگابایت Object Storage سازگار با پروتکل S3 با دیسک‌های SSD به‌صورت رایگان دریافت کنید.

    هاست رایگان برای دیتابیس‌

    دیتابیس‌های MariaDB، PostgreSQL و Redis را فقط با یک کلیک و به‌صورت رایگان تهیه کنید.

    سرویس DNS رایگان

    به سادگی دامنه‌تان را اضافه کنید و به صورت رایگان رکورد‌های آن را مدیریت کنید.

    ۱۰۰ هزار تومان اعتبار اولیه

    بعد از ثبت نام در لیارا مبلغ ۱۰۰ هزار تومان اعتبار هدیه دریافت می‌کنید که با توجه به ساعتی بودن هزینه سرویس‌ها، می‌توانید تمامی خدمات پولی را برای چندین هفته رایگان استفاده کنید.

    ارسال ۱۰۰ ایمیل تراکنشی رایگان در هر ماه

    در سرویس ایمیل لیارا شما می‌توانید تا ۱۰۰ ایمیل رایگان در هر ماه ارسال کنید. (به‌همراه دسترسی SMTP)

    هاست رایگان برای انواع وبسایت

    تفاوتی ندارد برای وبسایت خود از Node استفاده می‌کنید یا Laravel و Django، در لیارا می‌توانید به صورت کاملا رایگان آن را میزبانی کنید.

    همراه شما هستیم

    در خصوص سفارش یا استفاده از سرویس‌ها سوالی دارید؟
    تلفن واحد فروش:
    ۰۲۵-۳۳۵۵۷۶۱۹ (روزهای کاری ۹ الی ۱۷)
    تلفن واحد فروش: ۳۳۵۵۷۶۱۹-۰۲۵ (روزهای کاری ۹ الی ۱۷)