برنامه باگ بانتی اسنپ!

تیم امنیت اسنپ با راه‌اندازی برنامه باگ بانتی تمام متخصصین تست نفوذ را به چالش این برنامه دعوت می‌کند. اگر علاقه‌مند به کشف باگ‌های امنیتی اپلیکیشن‌ها و سامانه‌های اسنپ هستید ما را از وجود آسیب‌پذیری‌ها آگاه کنید. به آسیب‌پذیری‌های کشف شده پس از داوری در تیم امنیت اسنپ بر اساس قوانین ذکر شده در بخش پایین، پاداش نقدی اختصاص داده می‌شود.

ارسال گزارش

قوانین

  • حریم خصوصی تمام کاربران اسنپ رعایت شود. از افشاء، تغییر، سرقت و نابودی اطلاعات جدا جلوگیری شود.

  • فرآیند تست را تنها با اکانت اسنپ وشماره همراه متعلق به خودتان انجام دهید.

  • بدون رضایت تیم امنیت اسنپ آسیب‌پذیری کشف شده نباید افشاء شود.

  • قبل از شروع تست با بررسی بخش محدوده برنامه از قرار گرفتن دامنه در حوزه باگ بانتی اطمینان پیدا کنید.

  • به یک آسیب‌پذیری مشابه در دو یا چند دامین متفاوت تنها یک بانتی تعلق می‌گیرد.

  • از استفاده اسکنرهای آسیب‌پذیری و ابزارهای خودکارسازی که باعث ارسال درخواست‌های زیاد به سمت زیرساخت‌های اسنپ می‌شود جدا خودداری کنید.

  • از ارسال و کنسل کردن درخواست سفر به صورت انبوه خودداری کنید.

  • از هرگونه انجام تست که در فرآیند کسب و کار اسنپ خلل ایجاد می کند خودداری کنید.

  • آسیب‌پذیری‌های ارائه شده باید قابلیت بهره‌برداری داشته باشند و نحوه بهره‌برداری باید در گزارش به صورت PoC ارائه شود، در غیر اینصورت به گزارش جایزه‌ای تعلق نمی‌گیرد.

  • پاداش سطح Vital تنها شامل آسیب‌پذیری‌هایی می‌شود که هکر کلاه سفید بتواند به اطلاعات تمام کاربران اسنپ در حجم وسیع دسترسی پیدا کند. بنابراین آسیب‌پذیری که منجر به نشت اطلاعات برخی از کاربران اسنپ شود شامل این سطح از آسیب‌پذیری نیست.

  • فرآیند پاسخگویی به ایمیل‌ها بین بازه 7 تا 14 روز کاری انجام خواهد شد.

Report

قالب گزارش

  • گزارش ارسال شده باید با جزییات کامل آسیب‌پذیری را توضیح دهد و نحوه بهره‌برداری از باگ به صورت مرحله به مرحله همراه با شواهد کافی توضیح داده شود

  • توضیحات باید به گونه ای بیان شده باشد که امکان بهره‌برداری دوباره از آسیب‌پذیری وجود داشته باشد.

  • ارسال ویدئو به تنهایی مورد قبول نیست و ارسال گزارش مکتوب الزامی است.

  • گزارش‌های خود را به ایمیل bugbounty@snapp.cab ارسال کنید.

آسیب‌پذیری‌ها

آسیب‌پذیری‌های مورد قبول

هرگونه نقص امنیتی که بر محرمانگی و جامعیت اطلاعات کاربران تاثیر منفی بگذارد جزو حوزه این باگ بانتی است. مثال‌هایی از آسیب‌پذیری‌های مرسوم:

Insecure direct object references (IDOR)

Insecure direct object references (IDOR)

Authentication flaws

Authentication flaws

Authorization flaws

Authorization flaws

Server-side code execution

Server-side code execution

Cross-site scripting (XSS)

Cross-site scripting (XSS)

Server-side request forgery(SSRF)

Server-side request forgery(SSRF)

SQL injection

SQL injection

Data leakage

Data leakage

Other

Other

Business Logic

Business Logic

Open redirect

Open redirect

XML External Entity (XXE)

XML External Entity (XXE)

آسیب‌پذیری‌های خارج از محدوده

  • SMS-Bombing

  • Clickjacking

  • Brute-force

  • Self XSS

  • Missing best practices in SSL/TLS configuration

  • DOS and DDOS (Application and Network)

  • Social Engineering

  • Lack of SPF/DKIM/DMARC implementation

  • Missing secure flag in Cookie

  • Missing secure HTTP headers

  • Disclosure of server or software version numbers

  • Reports extracted from vulnerability scans

  • Password complexity

  • Username / email enumeration

  • Disclosure of JavaScript API keys (e.g. API key for map service)

  • CSRF and CORS misconfiguration with no security impact

محدوده برنامه

حوزه باگ بانتی اسنپ محدود به دامنه‌های مشخص شده زیر است. هر گونه گزارش خارج از محدوده ذکر شده قابل قبول نیست.

دامنه‌های مجاز اسنپ‌کب:

  • *.snapp.ir

  • *.snapp.site

  • *.snapp.taxi

  • *.snappcloud.io

  • *.snapp.cab

  • *.snapp.tech

  • *.snapp-box.com

  • *.snappmaps.ir

  • *.snpb.ir

دامنه‌های مجاز اسنپ‌پی:

  • *.snapppay.ir

  • *.snappfintech.ir

دامنه‌های مجاز اسنپ‌فود:

  • snappfood.ir

  • food.snapp.ir

  • superapp.snappfood.ir

  • psa.snappfood.ir

  • m.snappfood.ir

  • ap.snappfood.ir

  • dakhl.snappfood.ir

  • newapi.zoodfood.com

دامنه‌های مجاز اسنپ‌مارکت:

  • *.snapp.market

دامنه‌های مجاز اسنپ‌شاپ:

  • snappshop.ir

  • apix.snappshop.ir

  • seller.snappshop.ir

  • shop-payment.snappfood.ir

دامنه‌های مجاز اسنپ‌اکسپرس:

  • snapp.express

  • api.snapp.express

زیردامنه‌های زیر از محدوه این برنامه خارج هستند:

  • hrdesk.snapp.ir

  • family.snapp.cab

  • biker.snapp-box.com

  • order.snapp-box.com

  • kb.snapp.ir

  • esupport.snapp.ir

  • ticket.snapp.ir

  • room.snapp.ir

  • flight.snapp.ir

  • presta.snapppay.ir

  • plugin.snapppay.ir

  • 45.159.113.108

  • snapppay.talasea.ir

همچنین دامنه های زیر (شامل شرکت‌های همکار اسنپ) از محدوده این برنامه خارج هستند.

  • اسنپ‌تریپ

  • اسنپ‌روم

  • اسنپ‌دکتر

  • اسنپ‌ساپلای

پاداش

(اسنپ‌کب، اسنپ‌باکس، اسنپ‌مارکت، اسنپ‌شاپ، اسنپ‌اکسپرس ، اسنپ‌پی و اسنپ‌فود)

پس از تایید آسیب‌پذیری، پاداش نقدی بر اساس سطح آسیب‌پذیری و استاندارد CVSS پرداخت خواهد شد.

Vital تا 150,000,000 تومان

Medium تا 5،000،000 تومان

High تا 15،000،000 تومان

Critical تا 25،000،000 تومان

شکارچی‌ها

Mehdi Moradloo
Mehdi Moradloo
Mehdi Moradloo
تومان238,500,000
Business LogicIDOROtherAuthenticationAuthorizationData LeakageXSS
unknown
unknown
unknown
تومان60,000,000
RCEXSSSSRF
Ahmad Davarpanah
Ahmad Davarpanah
Ahmad Davarpanah
تومان57,500,000
RCEData Leakage
Peyman Zinati
Peyman Zinati
Peyman Zinati
تومان57,000,000
XSSSSRFOther
Esmaeil Rahimian
Esmaeil Rahimian
Esmaeil Rahimian
تومان42,400,000
Data LeakageAuthorizationAuthenticationIDORBusiness LogicRace ConditionOpen RedirectOtherXSS
Omid Shojaei
Omid Shojaei
Omid Shojaei
تومان41,500,000
MisconfigXSSSSRFOtherData Leakage
Alireza Nikmanesh
Alireza Nikmanesh
Alireza Nikmanesh
تومان40,000,000
Business Logic
Alireza Kia
Alireza Kia
Alireza Kia
تومان34,500,000
Business LogicIDORRace Condition
Matin Nourian Manesh
Matin Nourian Manesh
Matin Nourian Manesh
تومان25,000,000
SSRFXSSData Leakage
Mohammad Reza Omrani
Mohammad Reza Omrani
Mohammad Reza Omrani
تومان17,500,000
AuthenticationIDORAuthorization
Yashar Shahinzadeh
Yashar Shahinzadeh
Yashar Shahinzadeh
تومان17,500,000
Business LogicXSSRCE
Mohammad Derakhshan
Mohammad Derakhshan
Mohammad Derakhshan
تومان13,000,000
Other
Ehsan Montahaei
Ehsan Montahaei
Ehsan Montahaei
تومان10,000,000
Open Redirect
Parsa Seraji
Parsa Seraji
Parsa Seraji
تومان7,000,000
XSSOther
Ali Miyanabadi
Ali Miyanabadi
Ali Miyanabadi
تومان5,000,000
Authentication
Ali Rahbari
Ali Rahbari
Ali Rahbari
تومان5,000,000
Business Logic
Abolfazl Vatandoost
Abolfazl Vatandoost
Abolfazl Vatandoost
تومان5,000,000
IDOR
Arash Rezaei
Arash Rezaei
Arash Rezaei
تومان5,000,000
IDOR
Arman Mohammad Tash
Arman Mohammad Tash
Arman Mohammad Tash
تومان5,000,000
Race Condition
Ashkan Rafiee
Ashkan Rafiee
Ashkan Rafiee
تومان5,000,000
Business Logic
Amir Hossein Fallahi
Amir Hossein Fallahi
Amir Hossein Fallahi
تومان5,000,000
Race Condition
Mobin Feyzian
Mobin Feyzian
Mobin Feyzian
تومان5,000,000
Authentication
PentestoR
PentestoR
PentestoR
تومان5,000,000
IDOR
Mohammad Hossein Heidari
Mohammad Hossein Heidari
Mohammad Hossein Heidari
تومان3,500,000
XSS
Erfan Tavakoli
Erfan Tavakoli
Erfan Tavakoli
تومان2,500,000
Business Logic
Mehdi Boroumand
Mehdi Boroumand
Mehdi Boroumand
تومان2,500,000
Business Logic
Snoopy
Snoopy
Snoopy
تومان2,500,000
Misconfig
Avanguard
Avanguard
Avanguard
تومان2,500,000
Race Condition
Mohsen Khashei
Mohsen Khashei
Mohsen Khashei
تومان2,500,000
Data Leakage
Saied Kamranfar
Saied Kamranfar
Saied Kamranfar
تومان2,000,000
Other

پاداش‌های پرداختی

شکارچیوضعیتتاریخ پرداخت

PentestoR

 پرداخت‌شده

1403/11/21

Omid Shojaei

 پرداخت‌شده

1403/10/17

Mobin Feyzian

 پرداخت‌شده

1403/10/05

Mohammad Reza Omrani

 پرداخت‌شده

1403/08/12

Mohammad Reza Omrani

 پرداخت‌شده

1403/08/05

Mohammad Reza Omrani

 پرداخت‌شده

1403/08/05

Mohammad Reza Omrani

 پرداخت‌شده

1403/08/05

برنامه‌ی باگ بانتی (Bug Bounty)

برنامه‌ی باگ بانتی چیست؟

باگ بانتی (Bug Bounty) برنامه‌ای است که شرکت‌ها برای تشویق محققان امنیتی، هکرهای کلاه سفید و توسعه‌دهندگان به شناسایی و گزارش آسیب‌پذیری‌های امنیتی در نرم‌افزارها، وب‌سایت‌ها یا اپلیکیشن‌هایشان راه‌اندازی می‌کنند. به ازای این گزارش‌ها، این افراد پاداش مالی یا جوایز دیگری دریافت می‌کنند.

گام‌های کلی یک برنامه باگ بانتی:

۱. هدف: شناسایی و رفع نقص‌های امنیتی قبل از سوءاستفاده افراد مخرب. ۲. شرکت‌کننده‌ها: محققان امنیتی، هکرهای کلاه سفید و توسعه‌دهندگان. ۳. فرآیند: شناسایی آسیب‌پذیری‌ها، گزارش از طریق پلتفرم امن، بررسی و تایید توسط سازمان، اعطای جایزه. ۴. پاداش: شامل پاداش‌های مالی، قدردانی و فرصت‌های شغلی. ۵. تالار مشاهیر: لیست عمومی تقدیر از محققان امنیتی و هکرهای کلاه سفید که نقص‌های مهم را گزارش داده‌اند.

مزایای برنامه‌های باگ بانتی:

این برنامه‌ها نه تنها امنیت محصول را افزایش می‌دهند، بلکه باعث همکاری بین شرکت‌ها و جامعه امنیتی می‌شوند. اگر به امنیت سایبری علاقه‌مند هستید، این یک روش عالی برای آزمایش مهارت‌های خود و کمک به بهبود فناوری و افزایش امنیت است.