قدم به قدم تا کشف آسیبپذیری، ارسال و دریافت پاداش از آروانکلاد
به گزارش کافه مدیران و به نقل از دنیای اقتصاد در نخستین قدم باید دانست که تنها برخی دامنهها و محدودهها برای کاوش و کشف باگ احتمالی میتواند مجاز باشد، قلمروهایی که به جزییات در سایت معرفی شدهاند. این آسیبپذیریها باید در دامنههای مجاز آروان شامل دامنههای زیر قرار داشته باشند و ارزش هر یک از دامنههای مجاز در تعیین میزان پاداش نهایی موثر است. پس با انتخاب دامنه و قلمروی مجاز میتوانید مسیر کشف آسیبپذیری را شروع کنید.
برخی آسیبپذیریها در قلمروهای ناپذیرفتنی قرار دارند و بهشکل مشخص، خارج از محدوهی مسابقه حساب میشوند.
|
Non-Exploitable Issues |
Brute-Force |
ClickJacking |
Session Fixation (Local Attack Vector) |
|
CSV Injection |
MITM |
Social Engineering |
DOS/DDOS |
|
SSL/TLS Issues |
Self Issues |
Missing DNSSEC |
SMS-Bombing |
|
Weak Password Policy |
User Enumeration |
Missing Security Flags in the Cookie |
Low-Impact Information Disclosure |
|
SPF, DKIM, DMARC Misconfigurations |
Lack of Best Practices |
Outdated Software/Library Versions |
Rate-Limit Issues |
|
Upload of Unexpected File Types |
Vulnerabilities in Beta or Test Services |
Access Control Vulnerabilities within the Workspace |
|
در مرحلهی بعدی آسیبپذیری کشفشده را باید در قالب یک گزارش کامل با استانداردهای زیر در پلتفرم راورو برای داوران بفرستید. در این گزارش باید همه فعالیتها و دسترسیهای مورد نیاز برای مشاهده یا رفع آسیبپذیری شرح داده شده باشد.
- شما در هر گزارش میتوانید تنها یک آسیبپذیری را گزارش کنید.
- در گزارش، «میزان و شدت آسیبپذیری» و «خطرات احتمالی» آن را توضیح دهید.
- شما باید متریکهای CVSS را بهشکل دقیق و کامل محاسبه و بفرستید. پس از تایید متریکها از سوی داوران، پاداش مورد نظر محاسبه و پرداخت میشود.
- لازم است هرگونه تنظیم خاص و مورد نیاز برای بازسازی حمله را ارایه دهید.
- مستندات مورد نیاز مانند تصویر، فیلم، کدها، PoC و… را برای اثبات وجود آسیبپذیری در پیوست گزارش کنید.
پس از تایید گزارشتان میتوانید پاداش خود را محاسبه و جایزههای نقدی و غیرنقدی خود را از آروانکلاد دریافت کنید.
شیوهی محاسبهی پاداش
جایزهی مناسب هر آسیبپذیری با فرمول زیر محاسبه میشود:
ضریب سال برای حفظ ارزش جایزهها بهشکل سالانه تنظیم و افزایش داده میشود. این جایزه براساس استاندارد CVSS v3.1 محاسبه میشود که یک استاندارد جهانی برای تعیین شدت و اثر هر آسیبپذیری است. ضریب دارایی نیز بر اساس قلمرو و دامنهی مجاز هر باگ قرار گرفته است.
انتهای پیام