راهنماComponent 2.svg
پشتیبانیVector (1).svg
02128421452
info(at)chabokan.net

قوانین و شرایط باگ‌بانتی چابکان

مقدمه

شرکت توسعه زیرساخت فناوران چابکان (چابکان) در راستای شناسایی، گزارش و رفع نقایص امنیتی محصولات و خدمات خود، برنامه «باگ‌بانتی» را با هدف ارتقای امنیت سامانه‌های خود و مشارکت جامعه امنیتی، راه‌اندازی نموده است. تمامی پژوهشگران امنیت، هکرهای کلاه‌سفید و علاقه‌مندان تست نفوذ می‌توانند با رعایت مفاد این مقررات در برنامه شرکت نمایند.

گزارش‌هایی که مطابق ضوابط زیر ارسال و توسط تیم امنیت چابکان تأیید شوند، مشمول دریافت پاداش نقدی خواهند بود.

۱. ضوابط عمومی

  • حفظ حریم خصوصی و محرمانگی اطلاعات: رعایت محرمانگی و حریم داده‌های کاربران و شرکت الزامی‌ است. هرگونه مشاهده، دسترسی، تغییر، سرقت یا تخریب داده‌های کاربران یا شرکت، اکیداً ممنوع می‌باشد.
  • تست صرفاً با حساب کاربری شخصی: فقط مجاز به تست با حساب کاربری، شماره تماس یا اطلاعات هویتی متعلق به خود هستید. تست یا جمع‌آوری اطلاعات سایر کاربران بدون رضایت صریح تخلف تلقی می‌شود.
  • ممنوعیت افشای عمومی بدون اجازه کتبی: افشای هرگونه آسیب‌پذیری پیش از رفع و تایید رسمی تیم امنیت چابکان، ممنوع بوده و در صورت وقوع، مشمول پیگرد قانونی خواهد بود.
  • پرهیز از اخلال در عملکرد سامانه: هرگونه تست مخرب که موجب وقفه یا اختلال در سرویس‌ها و کاربران (مانند حملات DOS، ارسال درخواست انبوه، اسکن خودکار و …) گردد، ممنوع است.
  • گزارش‌های تکراری: در صورت ارسال گزارش تکراری نسبت به یافته‌های قبلی، مشمول دریافت پاداش نخواهد بود.
  • اعتبار سنجی آسیب‌پذیری: تنها گزارش‌هایی که آسیب‌پذیری قابل بهره‌برداری همراه با اثبات فنی (Proof of Concept) ارائه می‌دهند، جهت بررسی پذیرفته می‌شود.

۲. قالب استاندارد گزارش

ارسال گزارش مستلزم رعایت ساختار زیر است:

  1. عنوان آسیب‌پذیری
  2. شرح دقیق ضعف امنیتی (دامنه و اثر)
  3. شرح قدم‌به‌قدم بازتولید باگ
  4. شواهد فنی (اسکرین‌شات، لاگ، نمونه کد و...)
  5. اثبات بهره‌برداری (PoC)
  6. توضیح تاثیر عملی بر کسب‌وکار یا کاربران
  7. پیشنهاد راهکار رفع (اختیاری)
  8. اطلاعات تماس گزارش‌دهنده (برای هماهنگی و پرداخت پاداش)

۳. آسیب‌پذیری‌های مشمول بررسی

کلیه ضعف‌هایی در حوزه محرمانگی، صحت یا دسترسی داده‌ها و سامانه‌ها در دامنه قابل بررسی قرار می‌گیرند، از جمله:

  • Insecure Direct Object Reference (IDOR)
  • Authentication & Authorization Flaws
  • Server-side Code Execution (RCE)
  • SQL Injection
  • Server-side Request Forgery (SSRF)
  • Cross-site Scripting (XSS)
  • Data Leakage/Exposure
  • Business Logic Flaw
  • Open Redirect (در صورت سوء‌استفاده عملی)
  • XML External Entity (XXE)
  • دسترسی غیرمجاز به داده‌های حساس (مثال: جداول کاربران، تراکنش‌ها، فایل‌های بکاپ)

آسیب‌پذیری‌های خارج از محدوده:

  • تست مبتنی بر مهندسی اجتماعی (Social Engineering)
  • حملات $DoS/DDoS$
  • حملات Brute-Force
  • ایرادهای $UX/UI$ که تهدید امنیتی ندارند
  • عدم وجود Secure و HttpOnly در کوکی
  • افشای نسخه نرم‌افزار/سرویس
  • نتیجه صرف اسکن خودکار بدون $PoC$
  • ضعف در پیچیدگی رمز یا $Enumeration$ نام کاربری/ایمیل
  • افشای کلیدهای سرویس عمومی (مثل Google Map API)
  • مشکلات $CSRF/CORS$ فاقد اثر امنیتی

نکته: این فهرست حسب صلاحدید تیم امنیت قابل تغییر و بروزرسانی است.

۴. دامنه برنامه (Scope)

تنها محصولات، دامنه‌ها و سرویس‌های اعلام‌شده رسمی چابکان تحت پوشش باگ‌بانتی قرار می‌گیرند. گزارش مربوط به سایر دامنه‌ها و سرویس‌ها مشمول پاداش و بررسی نیست.

نمونه دامنه‌های تحت پوشش:

  • chabokan.net
  • hub.chabokan.net
  • hub.cloudiva.net
  • api.chabokan.net
  • محصولات ابری و پنل کاربری

نمونه‌های خارج از دامنه:

  • زیرساخت مشتریان، دامنه‌های همکاران، سرویس‌های آزمایشی/بتا (مگر اعلام رسمی)، سرورهای شخص ثالث.

۵. پاداش و نحوه پرداخت

سقف پاداش بر اساس اهمیت، شدت و تاثیر عملی آسیب‌پذیری و جدول امتیازدهی (از جمله $CVSS$)، تعیین و به تشخیص چابکان قابل تغییر است:

سطح آسیب‌پذیریدامنه پاداش (تومان)
Vitalتا ۱۰۰ میلیون
Criticalتا ۲۵ میلیون
Highتا ۱۵ میلیون
Mediumتا ۵ میلیون
Low/Infoتا ۱ میلیون
  • مهلت واریز: پس از تأیید گزارش و رفع آسیب‌پذیری، طی ۷ تا ۲۱ روز کاری انجام خواهد شد.

۶. حقوق و تعهدات گزارش‌دهندگان (Bug Hunters)

  • رعایت کامل قوانین، شرط دریافت پاداش است.
  • دریافت پاداش، ایجاد هیچ‌گونه رابطه استخدامی یا تعهد حقوقی برای آینده نمی‌کند.
  • اطلاعات هویتی افراد صرفاً با رضایت یا در صورت لزوم قانونی منتشر خواهد شد.
  • احراز هرگونه تخلف، جعل گزارش، نشر غیرمجاز یا آسیب عملیاتی، حق سلب پاداش و پیگیری قانونی برای چابکان محفوظ است.

۷. ارتباط و نحوه ارسال گزارش

گزارش‌ها باید با قالب استاندارد از طریق ایمیل زیر ارسال شود:

  • ایمیل: bugbounty@chabokan.net

جمع‌بندی و تذکرات نهایی

  • چابکان مجاز است شرایط، ضوابط و جوایز برنامه را هر زمان به‌روزرسانی نماید.
  • تداوم حضور در برنامه منوط به پذیرش آخرین نسخه شرایط است.
  • هدف این برنامه، ارتقای امنیت و ایجاد همکاری برد-برد با جامعه امنیتی است.