سازمان فناوری اطلاعات ایران


مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای

درگاه سازمان فناوری اطلاعات در مسابقه امنیتی کلاه سفید قرار گرفت


به گزارش درگاه مسابقه کلاه‌سفید مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای(ماهر) https://kolahsefid.cert.ir/، درگاه سازمان فناوری اطلاعات ایران به نشانی http://ito.gov.ir در لیست مسابقات فعال این درگاه قرار گرفت.


 هدف از این مسابقه، آزمون امنیتی وب‌سایت سازمان فناوری اطلاعات ایران (https://ito.gov.ir) توسط متخصصان امنیتی است تا در صورت کشف آسیب‌پذیری، گزارش مربوطه جهت بهبود و توسعه در اختیار تیم فنی سازمان قرار داده شود. شایان توجه است به منظور تشویق متخصصان و قدردانی از زحمات ایشان، برای کشف آسیب‌پذیری‌ها جوایزی در نظر گرفته شده است. گزارش‌های ارسالی شما طی 14 روز بررسی خواهد شد. کارشناسان مربوطه، مشتاقانه منتظر گزارش‌های امنیتی و باگ‌های کشف شده توسط شما هستند تا وب­سایت را بهبود داده و بهترین خدمات را در اختیار عموم قرار دهند.

 

نکات مهم

  • متخصصین گرامی حتماً به لیست آسیب‌پذیری‌های قابل قبول و غیرقابل قبول دقت نمایند.
  • متخصصین تنها مجاز به ارزیابی امنیتی دامنه‌ مشخص‌ شده در فهرست مسابقه هستند و دیگر سامانه‌ها، سرویس‌ها  و زیردامنه ها در حیطه مسابقه نیست لذا هیچ‌گونه جوایزی به آن‌ها تعلق نمی‌گیرد.
  • متخصصین در صورت کشف باگ‌، حق علنی کردن باگ (در شبکه‌­های اجتماعی و غیره) پیش از هماهنگی با کلاه سفید و سازمان را ندارند و مسئولیت حقوقی چنین اقدامی متوجه متخصص است.
  • متخصصین در صورت کشف باگ، حق صدمه زدن به سامانه یا سوءاستفاده از باگ را نداشته و صرفا مجاز به ارائه شواهد وجود باگ هستند.

 

ثبت گزارش

جهت پرداخت جایزه، مدارک قابل استناد که آسیب­‌پذیری را تائید کند (مانند فیلم، عکس از صفحه مانیتور و اسکریپت) مورد نیاز است.

برای بررسی فنی آسیب­‌پذیری گزارش شده، مراحل تولید مجدد آن لازم است. خواهشمند است مقادیر ورودی و عملیات انجام شده برای بهره­‌برداری از آسیب­‌پذیری را در گزارش قرار دهید.اگر تیم امنیتی نتواند آسیب‌­پذیری را مجدداً ایجاد و تایید کند، جایزه تعلق نخواهد گرفت.

در یک گزارش خوب انتظار می­رود که موارد زیر مشخص شده باشد:

  • نوع آسیب­‌پذیری ( SQL Injection، Cross-Site Scripting و ... )
  • نوع و نسخه سیستم عامل، مرورگر وسایر برنامه­‌های مورد استفاده
  • هرگونه تنظیم خاصی که مورد نیاز است تا حمله را بازسازی کند.
  • دستورالعمل مرحله به مرحله برای بازسازی حمله
  • آسیب‌­پذیری شرح داده شود و بیان کنید که این آسیب چگونه می تواند مورد سوء استفاده قرار گیرد.

 

آسیب‌پذیری‌های قابل قبول و جوایز

کلیه آسیب‌­پذیری­‌ها در سطوح برنامه کاربردی، سرویس دهنده وب، سیستم عامل، پایگاه داده و کلیه اجزای نرم افزاری وابسته به سایت فوق که قابل بهره­‌برداری هستند، مدنظر است. جوایز بر اساس توافق فی‌مابین کلاه سفید و سازمان و همچنین بر اساس نظر کارشناسان سایت کلاه سفید و بر اساس ضریبی از جدول زیر به متخصصین پرداخت خواهد شد.

 لازم به تاکید است به گزارش‌هایی جایزه داده خواهد شد که سناریوی حمله و نحوه بهره‌برداری از آسیب‌پذیری به صورت کامل شرح داده شده باشد و همچنین شواهد نفوذ به سیستم و یا دسترسی به داده‌های حساس به طور کامل گزارش شده باشند.

 

نوع آسیب‌پذیری میزان تشویقی(میلیون تومان)
Remote code execution 15
دسترسی به CMS و امکان حذف، ویرایش یا افزودن مطالب 12
Injections 8
Local files access and manipulation 5
Cross-Site Scripting (XSS) حداکثر 3 میلیون تومان
Other Low Risk حداکثر تا 800 هزار تومان
Other Medium Risk حداکثر تا 5 میلیون تومان
Other High Risk حداکثر تا 15 میلیون تومان

 

  • برای تشویقی­‌هایی که محدوده تعیین شده، داوران سامانه کلاه سفید بر اساس پارامترهای Exploitability و Impact تصمیم‌گیری خواهد کرد و صرفاً نظر این کارشناسان معیار خواهد بود.
  • آسیب‌پذیری­‌های مشابه که مثلاً مربوط به یک پارامتر خاص است و ممکن است در صفحات مختلفی دیده شود، یک‌بار محسوب می شود.
  • در صورتی واجد شرایط جایزه هستید که اولین نفری باشید که یک آسیب‌پذیری ناشناخته را گزارش کنید.
  • افشای آسیب­‌پذیری­‌ها فقط بر اساس قوانین سایت کلاه سفید و توسط این سایت انجام می­شود. هر گونه افشای اطلاعات توسط متخصص، مغایر با قوانین

آسیب‌­پذیری‌های غیر قابل قبول

آسیب­‌پذیری‌­های زیر پذیرفته نمی‌شوند:

  • Cross-Site Requests Forgery (CSRF/XSRF)
  • Click Jacking (X-Frame-Options)
  • SSL/TLS Misconfigurations
  • Host Header Injection
  • Tabnabbing
  • OWASP Secure Headers
  • انواع حملات منع سرویس
  • انواع حملات مهندسی اجتماعی و Phishing
  • آسیب پذیری در دامنه ها و آدرس های IP غیر از آدرس هدف
  • Best Practice ها، شامل حداقل طول کلمات عبور و غیره.
  • آسیب پذیری ها و Best Practice های مربوط به SSL
  • حمله Brute force
  • آسیب پذیری های مربوط به مرورگر های قدیمی
  • نامه نگاری الکترونیکی جعلی (E-mail spoofing)
  • حمله Self XSS
  • هر موردی مربوط به بدست آوردن نام های کاربری یا آدرس‌های ایمیل
    (Account/e-mail enumeration)
  • آسیب پذیری هایی که قبلاً توسط سایر متخصصین گزارش شده
  • آسیب پذیری های گزارش شده توسط اسکنر ها و سایر ابزار های اتوماتیک که قابل بهره‌برداری نیستند.
  • گزارش پایین بودن ورژن کتابخانه ها و نرم افزار های به کار برده شده در صورت عدم بهره برداری
  • آسیب‌پذیری‌های مربوط به نشت اطلاعات نوع و نسخه وب‌سرور یا اطلاعات نوع و نسخه زبان برنامه‌نویسی یا فعال بودن متودهای اضافی مثل OPTIONS
  • تنظیم نبودن فلگ‌های امنیتی کوکی ها (مثل Secure یا HttpOnly)
  • سایت است و مسئولیت حقوقی چنین اقدامی متوجه فرد افشاکننده است.