جـایــزه بــزرگ پـادویــش
بــاگها را شـــکـار کنــید و از پادویــش جـایــزه بـگـیریــد
در برنــامه شکــار باگ پادویــش، از متخصـصان پیشرو در امنیت سایبــری از سراسر جهان دعوت میشود تا ضعفهای پنـهان سیستمهای ما را شکار کنند. هر کشف معتـبر شما نه تنها امنیت دیجیتال را تقویت میکند، بلکه با جوایز سخاوتمندانهای تا میلیونها تومان همراه است
برنامه شکار باگ امن پرداز به چه صورت است؟
امن پرداز معدل ریالی 110.000 دلار را بهعنوان جایزه بزرگ شکار باگ در نظر گرفته است. این برنامه تا پیش از این به صورت خاص برای برخی محققان امنیت اجرا میشد که اکنون در راستای هدف همیشگی امن پرداز در ارتقای امنیت سایبری کاربران و اعتماد دیجیتال، و به منظور مشارکت همه کارشناسان امنیتی، جزئیات آن به صورت عمومی اعلام میشود. این برنامه در دو بخش محصولات امن پرداز و سامانهها اجرا میگردد.
برنامه شکار باگ محصولات
برنامه شکار باگ سامانه ها
محصولات و شرایط محصولات:
آخرین نسخه ضدباجگیر امن پرداز.- آخرین نسخه قابل دریافت از وبسایت در زمان گزارش، از آنتیویروسهای امن پرداز: نسخه امنیت کامل، Base یا Corporate.
- در صورت گزارش باگ روی نسخههای بتا (آزمایشی) باید آخرین نسخه بتا مورد تست قرار بگیرد.
- سیستم عامل ویندوز ۱۰ یا بالاتر (با آخرین آپدیتها) که دستکاری نشده باشد.
جایزه بزرگ 110.000 دلاری
باگهایی که از راه دور و خارج از شبکه هدف، بتواند از طریق حمله مرد میانی به سرویسهای پشتیبان و بدون متوجهشدن کاربر، کد بدافزاری خود را با دسترسی نامحدود اجرا کرده و در برابر ریست سیستم مقاوم باشند
نکات تکمیلی
- تعیین مبلغ به صورت خطی با توجه به امتیازی که آسیبپذیری در استاندارد CVSSv3 کسب میکند تعیین میشود.
- به گزارشهای با جزئیات کامل و دقیق فنی و شامل سورس کد PoC شفاف مبلغ بالاتری تعلق میگیرد.
- گزارشهای مربوط به تشخیص بدافزار جدید یا مواردی که از طریق امضا یا آنپکر جدید و مانند آن قابل رفع هستند شامل این برنامه نمیشوند.
- برای آشنایی با مفاهیم RCE، LPE و سایر اصطلاحات علمی مورد استفاده توصیه میکنیم مطلب زیر را مطالعه نمایید:
مراحل اجرایی:
گزارش باگ به bug@amnpardaz.com توسط شرکتکننده مطابق فرمت گزارش قیدشده در این برنامه.
باگ توسط تیم امنیت امن پرداز بررسی و در صورت نیاز به اطلاعات بیشتر درخواست میشود.
تایید باگ توسط تیم امنیت امن پرداز و اطلاعرسانی به شرکتکننده ظرف سه روز کاری.
رفع باگ و انتشار وصله - تا زمانیکه وصله مربوطه در تمامی محصولات مرتبط منتشر و در دسترس کاربران قرار گیرد نباید آسیبپذیری به هیچ طریقی افشا شود.
پس از انتشار وصله و گذشت مدت معقولی از آن، با دریافت مجوز کتبی از تیم امنیت امن پرداز امکان انتشار جزئیات فنی وجود دارد. کد اکسپلویت اجازه انتشار نخواهد داشت.
در صورت تمایل شرکتکننده، نام وی به عنوان گزارشدهنده آسیبپذیری از طرف تیم امن پرداز اعلام میشود.
فرمت ارسال گزارش
جهت ارتباط صحیح لازم است گزارشهای ارسالی در قالب های زیر تنظیم شوند
در خصوص گزارش باگ سامانهها، فایل HAR از اجرای اکسپلویت نیز پیوست گردد (راهنما)
الزامات شرکت در برنامه
- جهت شرکت در برنامه گزارشها (مطابق فرمت یاد شده) باید منحصراً به bug@amnpardaz.com ارسال شوند.
- گزارش ارسالی باید شامل یک کد PoC یا حداقل مراحل دقیق اجرای آسیبپذیری باشد، به نحوی که این مراحل به سادگی روی محصولی که نصب شده است قابل اجرا و تست باشد.
- باگ به صورت مسئولانه (Responsible Disclosure) گزارش شده باشد. در صورتیکه اطلاعاتی درباره باگ، با یا بدون جزئیات به شخص یا اشخاص ثالثی ارائه شده باشد شامل این برنامه نخواهد بود همچنین در هنگام پرداخت طرفین باید تعهدنامهای برای منع افشای اطلاعات مربوط به باگ امضا نمایند.
- اعضای تیم امن پرداز و کارمندان شرکت امنپرداز، و فامیل درجه یک آنها از این برنامه مستثنی هستند.
- قبل از ارسال لطفاً راهنمای برنامه جایزه شکار باگ را مطالعه نمایید: https://kb.amnpardaz.com/2018/507
موارد خارج از برنامه جایزه شکار باگ
تیم امنیت امن پرداز آماده دریافت هرگونه گزارش درباره امنیت سایر سامانهها و محصولات شرکت نرمافزاری امنپرداز نیز میباشد. متخصصین و علاقمندان میتوانند گزارشهای مرتبط خود را (خارج از برنامه شکار باگ) از طریق زیر اعلام نمایند: