آسیبپذیریها و باگهای رمزیتو را بر اساس قوانین ذکر شده به آدرس زیر ارسال کنید و پس از داوری در تیم امنیت پلتفرم، پاداش نقدی دریافت کنید:
1.
حریم خصوصی تمام کاربران رمزیتو رعایت شود. از افشاء، تغییر، سرقت و نابودی اطلاعات جدا جلوگیری شود.
2.
فرآیند تست را تنها با اکانت رمزیتو و شماره همراه متعلق به خودتان انجام دهید.
3.
قبل از شروع تست با بررسی بخش محدوده برنامه از قرار گرفتن دامنه در حوزه باگ بانتی اطمینان پیدا کنید و اگر سوالی دارید با {supportEmail} در ارتباط باشید.
4.
از هرگونه انجام تست که در فرآیند کسب و کار رمزیتو خلل ایجاد می کند خودداری کنید.
5.
باگها باید در محدودههای مجاز ذکر شوند.
6.
هر گزارش باید شامل یک باگ امنیتی باشد.
7.
معیار مشخص کردن اهمیت باگها، استاندارد CVSS است.
8.
درج پیلود (کد، اسکریپت و ...) استفاده شده برای کشف باگ، در گزارش ارسالی الزامی است.
9.
باگهای اعلام شده توسط متخصصین امنیتی میبایست قابل اثبات و تکرارپذیر باشند و با جزئیات قدم به قدم توضیح داده شوند.
10.
از نتایج اسکنرها و ابزارهای اتوماتیک برای ارائه باگ استفاده نشود.
11.
هیچ آسیبپذیری یا اطلاعات مرتبط را بدون رضایت کتبی رمزیتو به اشخاص ثالث فاش نکنید. این شامل شبکههای اجتماعی، سایر شرکتها یا مطبوعات میشود، اما محدود به آن نمیشود.
12.
اگر به جای آسیبپذیری امنیتی، نقض داده یا نشت داده را گزارش میدهید، لطفاً مکان دادهها را ارائه کنید و مکان دادهها و جزئیات آن را با دیگران به اشتراک نگذارید.
13.
پس از ثبت و ارسال Bug Bounty در زمان ۱ روز کاری دریافت و یا رد آسیبپذیری اعلام میشود و پس از آن در حداکثر ۱۰ روز کاری بخش امنیت رمزیتو موارد ارسالی را بررسی و پاسخ ارسال خواهد کرد. اگر موارد ارسالی آسیبپذیری قابل قبول تلقی شود، ایمیل ارسالی شامل سطح شدت و مقدار پاداش است و همچنین ما اطلاعات حساب و یا آدرس رمزارز را درخواست خواهیم کرد. در نهایت پس از حداکثر ۱۴ روز کاری پاداش پرداخت میشود.
جعل درخواست سمت سرور (SSRF)
Server-Side Request Forgery (SSRF)افشای اطلاعات حساس
Information Disclosureکنترل دسترسی نامناسب
Improper Access Controlتزریق کد سمت کاربر (XSS)
Cross-site Scripting (XSS)احراز هویت نامناسب
Improper Authenticationتزریق کوئریهای مخرب (SQLi)
SQL Injectionارتقاء غیرمجاز سطح دسترسی
Privilege Escalationارجاع مستقیم و ناامن به اشیاء (IDOR)
Insecure Direct Object Reference (IDOR)Social Engineering, Physical Attacks, Spamming, SMS Bombing, DDoS Attacks, Non-Critical Rate Limiting, Any Brute Force Attacks, Malware Distribution, Phishing Attempts, Insider Threats
Social Engineering, Physical Attacks, Spamming, SMS Bombing, DDoS Attacks, Non-Critical Rate Limiting, Any Brute Force Attacks, Malware Distribution, Phishing Attempts, Insider Threatsعدم پیادهسازی کامل رکوردهای ایمیلی SPF، DKIM یا DMARC.
Lack of SPF, DKIM, or DMARC implementation.آسیبپذیری در سایتهای میزبانی شده توسط اشخاص ثالث، مگر اینکه تأثیر مستقیم روی دامنه اصلی یا کتابخانههای منسوخ شده داشته باشند.
Vulnerabilities on third-party-hosted sites, unless they directly impact the main website or involve deprecated open-source libraries.خروجی ابزارهای اتوماتیک، گزارشهای تولید شده توسط هوش مصنوعی، یا باگهایی که به راحتی بازتولید نمیشوند.
Automated tool or scanner outputs, AI-generated reports, or issues that aren't reproducible.آسیبپذیریهای عمومی فاش شده در کتابخانهها یا فناوریهای شخص ثالث ظرف مدت ۳۰ روز اول پس از انتشار عمومی.
Publicly disclosed vulnerabilities in third-party libraries or technologies within 30 days of disclosure.باگهایی که نیاز به تعامل غیرمحتمل کاربر دارند، یا مرورگرهای قدیمی و آپدیت نشده را هدف میگیرند، یا نیاز به روت/جیلبریک دستگاه موبایل دارند.
Vulnerabilities requiring improbable user interaction or affecting outdated or unpatched browsers, or those needing root or jailbreak on mobile devices.پیشنهادات پیکربندی رمزنگاری TLS، پیشنهادات عمومی در حوزه بهترین شیوهها (Best Practices)، باگهای UX بدون تأثیر امنیتی، یا self-XSS فاقد ایمپکت.
TLS cipher suite offerings, suggestions on best practices, non-security-impacting UX issues, or self-XSS with no security impact.گزارشهای فاقد دستورالعملهای دقیق گامبهگام یا فاقد سناریوی اثبات مفهوم (PoC)، یا مواردی که قبل از برطرف شدن کامل توسط ما، به صورت عمومی افشا شدهاند.
Reports lacking detailed instructions or proof of concept, or those disclosed publicly before a comprehensive fix is issued.حملات CSRF روی اکشنهایی که نیاز به سشن یا احراز هویت ندارند، و همچنین جمعآوری/اسکن یوزرهای فعال (User Enumeration).
CSRF-able actions that don't require authentication or a session, and user enumeration.