مسابقه باگبانتی یا کشف آسیبپذیری آروانکلاد که از سالها پیش در جریان است، سقف پاداشهای امسال خود را به ششصد میلیون تومان افزایش داد. در این مسابقه هکرهای کلاه سفید بسته به میزان حساسیت و بزرگی باگی که کشف میکنند از پاداشهای نقدی و غیرنقدی برخوردار خواهند شد. کشف آسیبپذیریها بسته به میزان حساسیت و خطر احتمالی تا ۶۰۰ میلیون تومان پاداش میتواند داشته باشد. همچنین در کنار پاداش نقدیای که دریافت میشود به تناسب کیفیت گزارش، اهمیت آسیبپذیری و... اعتبار حساب کاربری کاشفان افزایش داده خواهد شد.
قدم به قدم تا کشف آسیبپذیری، ارسال و دریافت پاداش از آروانکلاد
در نخستین قدم باید دانست که تنها برخی دامنهها و محدودهها برای کاوش و کشف باگ احتمالی میتواند مجاز باشد، قلمروهایی که به جزییات در سایت معرفی شدهاند. این آسیبپذیریها باید در دامنههای مجاز آروان شامل دامنههای زیر قرار داشته باشند و ارزش هر یک از دامنههای مجاز در تعیین میزان پاداش نهایی موثر است. پس با انتخاب دامنه و قلمروی مجاز میتوانید مسیر کشف آسیبپذیری را شروع کنید.
برخی آسیبپذیریها در قلمروهای ناپذیرفتنی قرار دارند و بهشکل مشخص، خارج از محدوهی مسابقه حساب میشوند.
Non-Exploitable Issues | Brute-Force | ClickJacking | Session Fixation (Local Attack Vector) |
CSV Injection | MITM | Social Engineering | DOS/DDOS |
SSL/TLS Issues | Self Issues | Missing DNSSEC | SMS-Bombing |
Weak Password Policy | User Enumeration | Missing Security Flags in the Cookie | Low-Impact Information Disclosure |
SPF, DKIM, DMARC Misconfigurations | Lack of Best Practices | Outdated Software/Library Versions | Rate-Limit Issues |
Upload of Unexpected File Types | Vulnerabilities in Beta or Test Services | Access Control Vulnerabilities within the Workspace |
|
در مرحلهی بعدی آسیبپذیری کشفشده را باید در قالب یک گزارش کامل با استانداردهای زیر در پلتفرم راورو برای داوران بفرستید. در این گزارش باید همه فعالیتها و دسترسیهای مورد نیاز برای مشاهده یا رفع آسیبپذیری شرح داده شده باشد.
- شما در هر گزارش میتوانید تنها یک آسیبپذیری را گزارش کنید.
- در گزارش، «میزان و شدت آسیبپذیری» و «خطرات احتمالی» آن را توضیح دهید.
- شما باید متریکهای CVSS را بهشکل دقیق و کامل محاسبه و بفرستید. پس از تایید متریکها از سوی داوران، پاداش مورد نظر محاسبه و پرداخت میشود.
- لازم است هرگونه تنظیم خاص و مورد نیاز برای بازسازی حمله را ارایه دهید.
- مستندات مورد نیاز مانند تصویر، فیلم، کدها، PoC و… را برای اثبات وجود آسیبپذیری در پیوست گزارش کنید.
پس از تایید گزارشتان میتوانید پاداش خود را محاسبه و جایزههای نقدی و غیرنقدی خود را از آروانکلاد دریافت کنید.
شیوهی محاسبهی پاداش
جایزهی مناسب هر آسیبپذیری با فرمول زیر محاسبه میشود:
ضریب سال برای حفظ ارزش جایزهها بهشکل سالانه تنظیم و افزایش داده میشود. این جایزه براساس استاندارد CVSS v3.1 محاسبه میشود که یک استاندارد جهانی برای تعیین شدت و اثر هر آسیبپذیری است. ضریب دارایی نیز بر اساس قلمرو و دامنهی مجاز هر باگ قرار گرفته است.