.png)
درگاه سازمان فناوری اطلاعات در مسابقه امنیتی کلاه سفید قرار گرفت
به گزارش درگاه مسابقه کلاهسفید مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای(ماهر) https://kolahsefid.cert.ir/، درگاه سازمان فناوری اطلاعات ایران به نشانی http://ito.gov.ir در لیست مسابقات فعال این درگاه قرار گرفت.
هدف از این مسابقه، آزمون امنیتی وبسایت سازمان فناوری اطلاعات ایران (https://ito.gov.ir) توسط متخصصان امنیتی است تا در صورت کشف آسیبپذیری، گزارش مربوطه جهت بهبود و توسعه در اختیار تیم فنی سازمان قرار داده شود. شایان توجه است به منظور تشویق متخصصان و قدردانی از زحمات ایشان، برای کشف آسیبپذیریها جوایزی در نظر گرفته شده است. گزارشهای ارسالی شما طی 14 روز بررسی خواهد شد. کارشناسان مربوطه، مشتاقانه منتظر گزارشهای امنیتی و باگهای کشف شده توسط شما هستند تا وبسایت را بهبود داده و بهترین خدمات را در اختیار عموم قرار دهند.
نکات مهم
- متخصصین گرامی حتماً به لیست آسیبپذیریهای قابل قبول و غیرقابل قبول دقت نمایند.
- متخصصین تنها مجاز به ارزیابی امنیتی دامنه مشخص شده در فهرست مسابقه هستند و دیگر سامانهها، سرویسها و زیردامنه ها در حیطه مسابقه نیست لذا هیچگونه جوایزی به آنها تعلق نمیگیرد.
- متخصصین در صورت کشف باگ، حق علنی کردن باگ (در شبکههای اجتماعی و غیره) پیش از هماهنگی با کلاه سفید و سازمان را ندارند و مسئولیت حقوقی چنین اقدامی متوجه متخصص است.
- متخصصین در صورت کشف باگ، حق صدمه زدن به سامانه یا سوءاستفاده از باگ را نداشته و صرفا مجاز به ارائه شواهد وجود باگ هستند.
ثبت گزارش
جهت پرداخت جایزه، مدارک قابل استناد که آسیبپذیری را تائید کند (مانند فیلم، عکس از صفحه مانیتور و اسکریپت) مورد نیاز است.
برای بررسی فنی آسیبپذیری گزارش شده، مراحل تولید مجدد آن لازم است. خواهشمند است مقادیر ورودی و عملیات انجام شده برای بهرهبرداری از آسیبپذیری را در گزارش قرار دهید.اگر تیم امنیتی نتواند آسیبپذیری را مجدداً ایجاد و تایید کند، جایزه تعلق نخواهد گرفت.
در یک گزارش خوب انتظار میرود که موارد زیر مشخص شده باشد:
- نوع آسیبپذیری ( SQL Injection، Cross-Site Scripting و ... )
- نوع و نسخه سیستم عامل، مرورگر وسایر برنامههای مورد استفاده
- هرگونه تنظیم خاصی که مورد نیاز است تا حمله را بازسازی کند.
- دستورالعمل مرحله به مرحله برای بازسازی حمله
- آسیبپذیری شرح داده شود و بیان کنید که این آسیب چگونه می تواند مورد سوء استفاده قرار گیرد.
آسیبپذیریهای قابل قبول و جوایز
کلیه آسیبپذیریها در سطوح برنامه کاربردی، سرویس دهنده وب، سیستم عامل، پایگاه داده و کلیه اجزای نرم افزاری وابسته به سایت فوق که قابل بهرهبرداری هستند، مدنظر است. جوایز بر اساس توافق فیمابین کلاه سفید و سازمان و همچنین بر اساس نظر کارشناسان سایت کلاه سفید و بر اساس ضریبی از جدول زیر به متخصصین پرداخت خواهد شد.
لازم به تاکید است به گزارشهایی جایزه داده خواهد شد که سناریوی حمله و نحوه بهرهبرداری از آسیبپذیری به صورت کامل شرح داده شده باشد و همچنین شواهد نفوذ به سیستم و یا دسترسی به دادههای حساس به طور کامل گزارش شده باشند.
| نوع آسیبپذیری | میزان تشویقی(میلیون تومان) |
|---|---|
| Remote code execution | 15 |
| دسترسی به CMS و امکان حذف، ویرایش یا افزودن مطالب | 12 |
| Injections | 8 |
| Local files access and manipulation | 5 |
| Cross-Site Scripting (XSS) | حداکثر 3 میلیون تومان |
| Other Low Risk | حداکثر تا 800 هزار تومان |
| Other Medium Risk | حداکثر تا 5 میلیون تومان |
| Other High Risk | حداکثر تا 15 میلیون تومان |
- برای تشویقیهایی که محدوده تعیین شده، داوران سامانه کلاه سفید بر اساس پارامترهای Exploitability و Impact تصمیمگیری خواهد کرد و صرفاً نظر این کارشناسان معیار خواهد بود.
- آسیبپذیریهای مشابه که مثلاً مربوط به یک پارامتر خاص است و ممکن است در صفحات مختلفی دیده شود، یکبار محسوب می شود.
- در صورتی واجد شرایط جایزه هستید که اولین نفری باشید که یک آسیبپذیری ناشناخته را گزارش کنید.
- افشای آسیبپذیریها فقط بر اساس قوانین سایت کلاه سفید و توسط این سایت انجام میشود. هر گونه افشای اطلاعات توسط متخصص، مغایر با قوانین
آسیبپذیریهای غیر قابل قبول
آسیبپذیریهای زیر پذیرفته نمیشوند:
- Cross-Site Requests Forgery (CSRF/XSRF)
- Click Jacking (X-Frame-Options)
- SSL/TLS Misconfigurations
- Host Header Injection
- Tabnabbing
- OWASP Secure Headers
- انواع حملات منع سرویس
- انواع حملات مهندسی اجتماعی و Phishing
- آسیب پذیری در دامنه ها و آدرس های IP غیر از آدرس هدف
- Best Practice ها، شامل حداقل طول کلمات عبور و غیره.
- آسیب پذیری ها و Best Practice های مربوط به SSL
- حمله Brute force
- آسیب پذیری های مربوط به مرورگر های قدیمی
- نامه نگاری الکترونیکی جعلی (E-mail spoofing)
- حمله Self XSS
- هر موردی مربوط به بدست آوردن نام های کاربری یا آدرسهای ایمیل
(Account/e-mail enumeration) - آسیب پذیری هایی که قبلاً توسط سایر متخصصین گزارش شده
- آسیب پذیری های گزارش شده توسط اسکنر ها و سایر ابزار های اتوماتیک که قابل بهرهبرداری نیستند.
- گزارش پایین بودن ورژن کتابخانه ها و نرم افزار های به کار برده شده در صورت عدم بهره برداری
- آسیبپذیریهای مربوط به نشت اطلاعات نوع و نسخه وبسرور یا اطلاعات نوع و نسخه زبان برنامهنویسی یا فعال بودن متودهای اضافی مثل OPTIONS
- تنظیم نبودن فلگهای امنیتی کوکی ها (مثل Secure یا HttpOnly)
- سایت است و مسئولیت حقوقی چنین اقدامی متوجه فرد افشاکننده است.
.jpg&width=&height= "برگزاری کارگاه تخصصی هوش مصنوعی و دولت الکترونیکی")
