مهارتت در تست نفوذ رو به پول تبدیل کن!

تیم امنیت نشاط رخ با راه‌اندازی برنامه باگ بانتی، از همه متخصصان تست نفوذ دعوت می‌کند آسیب‌پذیری‌های سایت را شناسایی و گزارش کنند. پس از داوری، به باگ‌های پذیرفته‌شده طبق قوانین، پاداش نقدی تعلق می‌گیرد.

ارسال گزارش قوانین

درآمد بیشتر با یافتن آسیب‌پذیری‌ها

تقویت برند شخصی خود به عنوان متخصص امنیت

احتمال همکاری بلندمدت با نشاط رخ

دسترسی به اطلاعات و منابع آموزشی اختصاصی

ارتقای مهارت‌های فنی و یادگیری تکنیک‌های نوین

درآمد بیشتر با یافتن آسیب‌پذیری‌ها

تقویت برند شخصی خود به عنوان متخصص امنیت

احتمال همکاری بلندمدت با نشاط رخ

دسترسی به اطلاعات و منابع آموزشی اختصاصی

ارتقای مهارت‌های فنی و یادگیری تکنیک‌های نوین

جایزه هانشاط رخ برای زمان و تخصص شما ارزش قائل است و با هدف تشویق مشارکت در برنامه یافتن مشکلات طراحی، جوایزی منصفانه و جذاب در نظر گرفته است. پاداش هر گزارش بر اساس اهمیت مشکل یا ایده تعیین می‌شود. پس از بررسی و تأیید گزارش توسط تیم طراحی، نتیجه و مبلغ پاداش از طریق ایمیل رسمی به شما اعلام خواهد شد.

درجه اهمیت

مبلغ جایزه

حیاتی
تا ۵۰,۰۰۰,۰۰۰ تومان
بحرانی
تا ۲۵,۰۰۰,۰۰۰ تومان
زیاد
تا ۱۵,۰۰۰,۰۰۰ تومان
متوسط
تا ۵,۰۰۰,۰۰۰ تومان

محدوده‌های مورد قبولهرگونه نقص امنیتی یا پیکربندی نادرست که محرمانگی، یکپارچگی یا دسترس پذیری داده ها و سرویس ها را تهدید کند و هر ایده ای برای ارتقای امنیت یک فروشگاه آنلاین مبتنی بر Next.js و TypeScript در این محدوده است. مثال هایی از محدوده های مرسوم:

حاکمیت امنیت و مدل سازی تهدید

تعریف دارایی ها، سناریوهای تهدید و سطح خطر برای صفحات فروشگاهی و درگاه پرداخت
تدوین خط مشی های امنیتی، مدیریت نقش ها و مسئولیت ها و گردش کار رسیدگی به رخداد
بازبینی دوره ای دسترسی ها و اصل حداقل دسترسی در تیم و سرویس ها
فهرست برداری سرویس ها، وابستگی ها و مدیریت صورت حساب ریسک
اجبار به به روز رسانی های امنیتی منظم برای کتابخانه ها و رانتایم
آموزش آگاهی امنیتی برای تیم توسعه، پشتیبانی و محتوا

احراز هویت، جلسات و کنترل دسترسی

ورود ایمن با محافظت در برابر حملات حدس رمز و اضافه کردن MFA اختیاری
مدیریت امن نشست ها با کوکی های HttpOnly و Secure و SameSite
پیاده سازی RBAC برای مدیریت، پشتیبانی و کاربران نهایی
جلوگیری از بازنشانی رمز ناایمن و تایید مالکیت حساب در فرایندهای حساس
اعتبارسنجی و امضای توکن ها در کلاینت و سرور و چرخش کلیدها
محافظت از مسیرهای حساس سرور و API با middleware و Rate Limit

حفاظت از داده و مدیریت اسرار

رمزنگاری در حالت سکون و حین انتقال TLS و مدیریت نسخه های کلید
حداقل نگهداری داده های شخصی، پاک سازی و ناشناس سازی در گزارش ها
ذخیره سازی ایمن اسرار در محیط سرور و ممنوعیت افشای کلاینت
اعتبارسنجی سختگیرانه ورودی و خروجی برای جلوگیری از تزریق
جداسازی داده های کاربر و جلوگیری از دسترسی افقی و عمودی نا مجاز
انطباق با قوانین حریم خصوصی و درخواست های حذف داده

آسیب پذیری های وب و منطق کسب و کار

پیشگیری از XSS با sanitize خروجی، CSP و اجتناب از dangerouslySetInnerHTML
پیشگیری از CSRF در اقدامات حساس مانند پرداخت و تغییر آدرس
جلوگیری از تزریق در کوئری ها، هدرها و قالب ها
محافظت از منطق سبد خرید و کوپن در برابر دستکاری قیمت و موجودی
جلوگیری از IDOR با بررسی مالکیت منابع سفارش و تیکت
اعتبارسنجی فایل های بارگذاری شده مانند آواتار و محدودیت نوع و اندازه

زیرساخت، استقرار و مرزبانی

پیکربندی صحیح هدرهای امنیتی CSP و HSTS و X Frame Options و X Content Type Options
تفکیک شبکه و استفاده از WAF و DDoS Protection برای لبه
حداقل دسترسی در CI CD و اسکن ایمیج ها و قفل کردن وابستگی ها
لاگ گیری امن و غیر حساس و نگهداری بر اساس سیاست حفظ داده
پیکربندی صحیح CORS و محدودسازی مبدا ها و روش ها
سخت سازی سرورها و سرویس ها و حذف پورت ها و سرویس های غیر ضروری

تست، پایش و پاسخ به رخداد

تست های امنیتی خودکار SAST و ترکیب نرم افزار SCA در خط ساخت
DAST و اسکن دوره ای سرویس های بیرونی و صفحات حساس
تست نفوذ با مجوز و دامنه مشخص بدون ارائه جزئیات سوء استفاده
مانیتورینگ خطا و آلارم برای ورود مشکوک و الگوهای سوء استفاده
ثبت، مثلث بندی و پاسخ به رخداد با رویه شفاف و قابل تمرین
بازبینی پس از رخداد و بهبود مستمر کنترل ها و تست ها

قوانین

حوزه برنامه نقص‌یابی طراحی نشاط رخ محدود به دامنه‌ی neshatrokh.com است. هر گونه گزارش خارج از این دامنه قابل قبول نیست.

افشای هرگونه نقص یا باگ بدون هماهنگی و رضایت رسمی فروشگاه اینترنتی نشاط رخ، اکیداً ممنوع بوده و پیگرد قانونی دارد.

به یک نقص مشابه در دو یا چند صفحه متفاوت تنها یک پاداش تعلق می‌گیرد.

نقص‌های ارائه شده باید قابلیت بهره‌برداری داشته باشند و نحوه بهره‌برداری باید در گزارش به صورت PoC ارائه شود، در غیر اینصورت به گزارش جایزه‌ای تعلق نمی‌گیرد.

فرآیند پاسخگویی به ایمیل‌ها بین بازه 7 تا 14 روز کاری انجام خواهد شد.

پرسنل و تیم داخلی نشاط رخ مجاز به مشارکت یا ارائه هرگونه کمک در برنامه باگ بانتی نیستند.

قالب گزارش

گزارش ارسال شده باید با جزییات کامل آسیب‌پذیری را توضیح دهد و نحوه بهره‌برداری از باگ به صورت مرحله به مرحله همراه با شواهد کافی توضیح داده شود.

توضیحات باید به گونه‌ای بیان شده باشد که امکان بهره‌برداری دوباره از آسیب‌پذیری وجود داشته باشد.

ارسال ویدئو به تنهایی مورد قبول نیست و ارسال گزارش مکتوب در قالب POC الزامی است.

شاید سوال تو هم باشه

برای آشنایی سریع با روند ارسال گزارش، پاداش‌ها و پاسخ به سوالات رایج، این بخش را بخوان.

مهارتت در تست نفوذ رو به پول تبدیل کن!

حاکمیت امنیت و مدل سازی تهدید

تعریف دارایی ها، سناریوهای تهدید و سطح خطر برای صفحات فروشگاهی و درگاه پرداخت

تدوین خط مشی های امنیتی، مدیریت نقش ها و مسئولیت ها و گردش کار رسیدگی به رخداد

بازبینی دوره ای دسترسی ها و اصل حداقل دسترسی در تیم و سرویس ها

فهرست برداری سرویس ها، وابستگی ها و مدیریت صورت حساب ریسک

اجبار به به روز رسانی های امنیتی منظم برای کتابخانه ها و رانتایم

آموزش آگاهی امنیتی برای تیم توسعه، پشتیبانی و محتوا

احراز هویت، جلسات و کنترل دسترسی

ورود ایمن با محافظت در برابر حملات حدس رمز و اضافه کردن MFA اختیاری

مدیریت امن نشست ها با کوکی های HttpOnly و Secure و SameSite

پیاده سازی RBAC برای مدیریت، پشتیبانی و کاربران نهایی

جلوگیری از بازنشانی رمز ناایمن و تایید مالکیت حساب در فرایندهای حساس

اعتبارسنجی و امضای توکن ها در کلاینت و سرور و چرخش کلیدها

محافظت از مسیرهای حساس سرور و API با middleware و Rate Limit

حفاظت از داده و مدیریت اسرار

رمزنگاری در حالت سکون و حین انتقال TLS و مدیریت نسخه های کلید

حداقل نگهداری داده های شخصی، پاک سازی و ناشناس سازی در گزارش ها

ذخیره سازی ایمن اسرار در محیط سرور و ممنوعیت افشای کلاینت

اعتبارسنجی سختگیرانه ورودی و خروجی برای جلوگیری از تزریق

جداسازی داده های کاربر و جلوگیری از دسترسی افقی و عمودی نا مجاز

انطباق با قوانین حریم خصوصی و درخواست های حذف داده

آسیب پذیری های وب و منطق کسب و کار

پیشگیری از XSS با sanitize خروجی، CSP و اجتناب از dangerouslySetInnerHTML

پیشگیری از CSRF در اقدامات حساس مانند پرداخت و تغییر آدرس

جلوگیری از تزریق در کوئری ها، هدرها و قالب ها

محافظت از منطق سبد خرید و کوپن در برابر دستکاری قیمت و موجودی

جلوگیری از IDOR با بررسی مالکیت منابع سفارش و تیکت

اعتبارسنجی فایل های بارگذاری شده مانند آواتار و محدودیت نوع و اندازه

زیرساخت، استقرار و مرزبانی

پیکربندی صحیح هدرهای امنیتی CSP و HSTS و X Frame Options و X Content Type Options

تفکیک شبکه و استفاده از WAF و DDoS Protection برای لبه

حداقل دسترسی در CI CD و اسکن ایمیج ها و قفل کردن وابستگی ها

لاگ گیری امن و غیر حساس و نگهداری بر اساس سیاست حفظ داده

پیکربندی صحیح CORS و محدودسازی مبدا ها و روش ها

سخت سازی سرورها و سرویس ها و حذف پورت ها و سرویس های غیر ضروری

تست، پایش و پاسخ به رخداد

تست های امنیتی خودکار SAST و ترکیب نرم افزار SCA در خط ساخت

DAST و اسکن دوره ای سرویس های بیرونی و صفحات حساس

تست نفوذ با مجوز و دامنه مشخص بدون ارائه جزئیات سوء استفاده

مانیتورینگ خطا و آلارم برای ورود مشکوک و الگوهای سوء استفاده

ثبت، مثلث بندی و پاسخ به رخداد با رویه شفاف و قابل تمرین

بازبینی پس از رخداد و بهبود مستمر کنترل ها و تست ها

مهارتت در تست نفوذ رو به پول تبدیل کن!

حاکمیت امنیت و مدل سازی تهدید

احراز هویت، جلسات و کنترل دسترسی

حفاظت از داده و مدیریت اسرار

آسیب پذیری های وب و منطق کسب و کار

زیرساخت، استقرار و مرزبانی

تست، پایش و پاسخ به رخداد

گزارشت رو برامون بفرست

مهارتت در تست نفوذ رو به پول تبدیل کن!

حاکمیت امنیت و مدل سازی تهدید

احراز هویت، جلسات و کنترل دسترسی

حفاظت از داده و مدیریت اسرار

آسیب پذیری های وب و منطق کسب و کار

زیرساخت، استقرار و مرزبانی

تست، پایش و پاسخ به رخداد

گزارشت رو برامون بفرست