لوگو نشاط رخ

مهارتت در تست نفوذ رو به پول تبدیل کن!

تیم امنیت نشاط رخ با راه‌اندازی برنامه باگ بانتی، از همه متخصصان تست نفوذ دعوت می‌کند آسیب‌پذیری‌های سایت را شناسایی و گزارش کنند. پس از داوری، به باگ‌های پذیرفته‌شده طبق قوانین، پاداش نقدی تعلق می‌گیرد.

ارسال گزارشقوانین
درآمد بیشتر با یافتن آسیب‌پذیری‌ها
تقویت برند شخصی خود به عنوان متخصص امنیت
فرصت همکاری بلندمدت با نشاط رخ
دسترسی به اطلاعات و منابع آموزشی اختصاصی
ارتقای مهارت‌های فنی و یادگیری تکنیک‌های نوین
درآمد بیشتر با یافتن آسیب‌پذیری‌ها
تقویت برند شخصی خود به عنوان متخصص امنیت
فرصت همکاری بلندمدت با نشاط رخ
دسترسی به اطلاعات و منابع آموزشی اختصاصی
ارتقای مهارت‌های فنی و یادگیری تکنیک‌های نوین

سطح‌بندی شدت گزارش‌های امنیتی

شدت هر گزارش بر اساس اثر احتمالی، قابلیت بهره‌برداری، میزان دسترسی ایجادشده و تأثیر آن بر کاربران یا سرویس بررسی می‌شود.

بحرانی

دسترسی غیرمجاز به حساب کاربران، داده‌های حساس، دور زدن پرداخت یا امکان کنترل بخش‌های مهم سیستم.

بالا

آسیب‌پذیری قابل بهره‌برداری با اثر مستقیم روی امنیت حساب، سفارش، اطلاعات کاربر یا فرایند خرید.

متوسط

نقص امنیتی محدود که برای بهره‌برداری به شرایط خاص نیاز دارد یا اثر آن محدود به بخشی از سرویس است.

پایین

مشکلات کم‌اثر، misconfigurationهای محدود یا مواردی که اثر امنیتی مستقیم و فوری ندارند.

جایزه‌هانشاط رخ برای زمان و تخصص شما ارزش قائل است و با هدف تشویق مشارکت در برنامه یافتن مشکلات طراحی، جوایزی منصفانه و جذاب در نظر گرفته است. پاداش هر گزارش بر اساس اهمیت مشکل یا ایده تعیین می‌شود. پس از بررسی و تأیید گزارش توسط تیم طراحی، نتیجه و مبلغ پاداش از طریق ایمیل رسمی به شما اعلام خواهد شد.
درجه اهمیت
مبلغ جایزه
  • حیاتی
    تا ۵۰,۰۰۰,۰۰۰ تومان
  • بحرانی
    تا ۲۵,۰۰۰,۰۰۰ تومان
  • زیاد
    تا ۱۵,۰۰۰,۰۰۰ تومان
  • متوسط
    تا ۵,۰۰۰,۰۰۰ تومان
محدوده‌های مورد قبولهرگونه نقص امنیتی یا پیکربندی نادرست که محرمانگی، یکپارچگی یا دسترس پذیری داده ها و سرویس ها را تهدید کند و هر ایده ای برای ارتقای امنیت یک فروشگاه آنلاین مبتنی بر Next.js و TypeScript در این محدوده است. مثال هایی از محدوده های مرسوم:

حاکمیت امنیت و مدل سازی تهدید

  • تعریف دارایی ها، سناریوهای تهدید و سطح خطر برای صفحات فروشگاهی و درگاه پرداخت
  • تدوین خط مشی های امنیتی، مدیریت نقش ها و مسئولیت ها و گردش کار رسیدگی به رخداد
  • بازبینی دوره ای دسترسی ها و اصل حداقل دسترسی در تیم و سرویس ها
  • فهرست برداری سرویس ها، وابستگی ها و مدیریت صورت حساب ریسک
  • اجبار به به روز رسانی های امنیتی منظم برای کتابخانه ها و رانتایم
  • آموزش آگاهی امنیتی برای تیم توسعه، پشتیبانی و محتوا

احراز هویت، جلسات و کنترل دسترسی

  • ورود ایمن با محافظت در برابر حملات حدس رمز و اضافه کردن MFA اختیاری
  • مدیریت امن نشست ها با کوکی های HttpOnly و Secure و SameSite
  • پیاده سازی RBAC برای مدیریت، پشتیبانی و کاربران نهایی
  • جلوگیری از بازنشانی رمز ناایمن و تایید مالکیت حساب در فرایندهای حساس
  • اعتبارسنجی و امضای توکن ها در کلاینت و سرور و چرخش کلیدها
  • محافظت از مسیرهای حساس سرور و API با middleware و Rate Limit

حفاظت از داده و مدیریت اسرار

  • رمزنگاری در حالت سکون و حین انتقال TLS و مدیریت نسخه های کلید
  • حداقل نگهداری داده های شخصی، پاک سازی و ناشناس سازی در گزارش ها
  • ذخیره سازی ایمن اسرار در محیط سرور و ممنوعیت افشای کلاینت
  • اعتبارسنجی سختگیرانه ورودی و خروجی برای جلوگیری از تزریق
  • جداسازی داده های کاربر و جلوگیری از دسترسی افقی و عمودی نا مجاز
  • انطباق با قوانین حریم خصوصی و درخواست های حذف داده

آسیب پذیری های وب و منطق کسب و کار

  • پیشگیری از XSS با sanitize خروجی، CSP و اجتناب از dangerouslySetInnerHTML
  • پیشگیری از CSRF در اقدامات حساس مانند پرداخت و تغییر آدرس
  • جلوگیری از تزریق در کوئری ها، هدرها و قالب ها
  • محافظت از منطق سبد خرید و کوپن در برابر دستکاری قیمت و موجودی
  • جلوگیری از IDOR با بررسی مالکیت منابع سفارش و تیکت
  • اعتبارسنجی فایل های بارگذاری شده مانند آواتار و محدودیت نوع و اندازه

زیرساخت، استقرار و مرزبانی

  • پیکربندی صحیح هدرهای امنیتی CSP و HSTS و X Frame Options و X Content Type Options
  • تفکیک شبکه و استفاده از WAF و DDoS Protection برای لبه
  • حداقل دسترسی در CI CD و اسکن ایمیج ها و قفل کردن وابستگی ها
  • لاگ گیری امن و غیر حساس و نگهداری بر اساس سیاست حفظ داده
  • پیکربندی صحیح CORS و محدودسازی مبدا ها و روش ها
  • سخت سازی سرورها و سرویس ها و حذف پورت ها و سرویس های غیر ضروری

تست، پایش و پاسخ به رخداد

  • تست های امنیتی خودکار SAST و ترکیب نرم افزار SCA در خط ساخت
  • DAST و اسکن دوره ای سرویس های بیرونی و صفحات حساس
  • تست نفوذ با مجوز و دامنه مشخص بدون ارائه جزئیات سوء استفاده
  • مانیتورینگ خطا و آلارم برای ورود مشکوک و الگوهای سوء استفاده
  • ثبت، مثلث بندی و پاسخ به رخداد با رویه شفاف و قابل تمرین
  • بازبینی پس از رخداد و بهبود مستمر کنترل ها و تست ها
قوانین
حوزه برنامه نقص‌یابی امنیت نشاط رخ محدود به دامنه‌ی neshatrokh.com و زیرمسیرهای رسمی اعلام‌شده در همین صفحه است. هرگونه تست خارج از این محدوده قابل قبول نیست.
اگر گزارشگر با حسن‌نیت، در محدوده‌های مجاز این برنامه، بدون آسیب به داده کاربران، بدون اختلال در سرویس و بدون افشای عمومی آسیب‌پذیری اقدام به بررسی و ارسال گزارش کند، نشاط رخ بابت همان فعالیت مجاز و مطابق این قوانین، پیگیری حقوقی علیه گزارشگر انجام نخواهد داد. این حمایت شامل فعالیت‌های خارج از محدوده، سوءاستفاده، دسترسی غیرمجاز به داده‌ها، تخریب، اختلال در سرویس یا افشای عمومی بدون مجوز نمی‌شود.
نقص‌های ارائه‌شده باید قابلیت بهره‌برداری داشته باشند و نحوه بهره‌برداری باید در گزارش به‌صورت PoC، مراحل بازتولید، مسیر آسیب‌پذیر و اثر احتمالی توضیح داده شود؛ در غیر این صورت ممکن است گزارش واجد دریافت جایزه نباشد.
اگر آسیب‌پذیری قبلاً توسط فرد دیگری گزارش شده باشد، به گزارش تکراری جایزه تعلق نخواهد گرفت.
گزارش‌های امنیتی نباید بدون رضایت کتبی نشاط رخ در هیچ پلتفرم عمومی منتشر شوند. افشای عمومی شواهد آسیب‌پذیری در سایت‌ها، شبکه‌های اجتماعی یا سرویس‌های اشتراک‌گذاری ویدئو بدون مجوز، خارج از قواعد برنامه است و می‌تواند پیگیری قانونی داشته باشد.
استفاده از ابزارهای خودکارسازی، اسکن سنگین یا هر روشی که باعث ارسال درخواست‌های زیاد، افت کیفیت سرویس یا اختلال در زیرساخت شرکت شود، مجاز نیست.
از انجام هرگونه بهره‌برداری از آسیب‌پذیری که باعث اختلال در فرایند کسب‌وکار، تغییر یا حذف داده، دسترسی به اطلاعات کاربران، دور زدن پرداخت یا آسیب به سرویس شود، خودداری کنید.
مواردی مانند حملات DDoS، brute force، social engineering، phishing، spam، تست روی حساب دیگران، دسترسی یا تغییر داده کاربران، آپلود فایل مخرب، تخریب داده و ایجاد اختلال در فرایند خرید خارج از محدوده برنامه هستند.
پرسنل و تیم داخلی نشاط رخ مجاز به مشارکت یا ارائه هرگونه کمک در برنامه باگ‌بانتی نیستند.
فرایند پاسخ‌گویی اولیه به گزارش‌های امنیتی معمولاً طی ۷ تا ۱۴ روز کاری انجام می‌شود. زمان بررسی نهایی، بسته به شدت، پیچیدگی و قابلیت بازتولید گزارش متفاوت است.
قالب گزارش
حوزه برنامه نقص‌یابی طراحی نشاط رخ محدود به دامنه‌ی neshatrokh.com است. هر گونه گزارش خارج از این دامنه قابل قبول نیست.
گزارش ارسالی باید شامل جزئیات کامل باشد و نحوه بهره‌برداری از آسیب‌پذیری به‌صورت مرحله‌به‌مرحله، همراه با شواهد و مستندات کافی، توضیح داده شود.
توضیحات باید به گونه‌ای بیان شده باشد که امکان بهره‌برداری دوباره از باگ وجود داشته باشد.
ارسال ویدئو به تنهایی مورد قبول نیست و ارسال گزارش مکتوب در قالب POC الزامی است.
قالب گزارش باگ بانتی

ارسال گزارش

همکاران ما به زودی گزارش شما را بررسی خواهند کرد و پاداش خود را دریافت خواهید کرد.

شاید سوال تو هم باشه
برای آشنایی سریع با روند ارسال گزارش، پاداش‌ها و پاسخ به سوالات رایج، این بخش را بخوان.

هر فرد متخصص در حوزه‌های تکنولوژی مثل امنیت، بک‌اند، فرانت‌اند، سئو، uiux و... می‌تونه شرکت کنه.

هر نوع ایراد یا باگی که تجربه کاربری، عملکرد یا امنیت سیستم رو تحت تاثیر قرار بده. از باگ‌های ظاهری و طراحی گرفته تا مشکلات فنی و امنیتی.

گزارش به صورت POC ارائه شود، در غیر این صورت به گزارش جایزه‌ای تعلق نمی‌گیرد.

بسته به شدت و تاثیر باگ روی سیستم یا کاربران. مشکلات حیاتی یا امنیتی بیشترین پاداش رو دارن، و مشکلات کم‌اهمیت‌تر هم متناسب با تاثیرشون امتیاز یا پاداش می‌گیرن.

بعد از ثبت، تیم بررسی می‌کنه و نتیجه معمولاً ظرف ۷ تا ۱۴ روز اعلام میشه. در صورت تایید، پاداش تعلق می‌گیره.