قوانین و شرایط باگ‌بانتی چابکان

شرکت توسعه زیرساخت فناوران چابکان (چابکان) در راستای شناسایی، گزارش و رفع نقایص امنیتی محصولات و خدمات خود، برنامه «باگ‌بانتی» را با هدف ارتقای امنیت سامانه‌های خود و مشارکت جامعه امنیتی، راه‌اندازی نموده است. تمامی پژوهشگران امنیت، هکرهای کلاه‌سفید و علاقه‌مندان تست نفوذ می‌توانند با رعایت مفاد این مقررات در برنامه شرکت نمایند.

گزارش‌هایی که مطابق ضوابط زیر ارسال و توسط تیم امنیت چابکان تأیید شوند، مشمول دریافت پاداش نقدی خواهند بود.

• حفظ حریم خصوصی و محرمانگی اطلاعات: رعایت محرمانگی و حریم داده‌های کاربران و شرکت الزامی‌ است. هرگونه مشاهده، دسترسی، تغییر، سرقت یا تخریب داده‌های کاربران یا شرکت، اکیداً ممنوع می‌باشد.
• تست صرفاً با حساب کاربری شخصی: فقط مجاز به تست با حساب کاربری، شماره تماس یا اطلاعات هویتی متعلق به خود هستید. تست یا جمع‌آوری اطلاعات سایر کاربران بدون رضایت صریح تخلف تلقی می‌شود.
• ممنوعیت افشای عمومی بدون اجازه کتبی: افشای هرگونه آسیب‌پذیری پیش از رفع و تایید رسمی تیم امنیت چابکان، ممنوع بوده و در صورت وقوع، مشمول پیگرد قانونی خواهد بود.
• پرهیز از اخلال در عملکرد سامانه: هرگونه تست مخرب که موجب وقفه یا اختلال در سرویس‌ها و کاربران (مانند حملات DOS، ارسال درخواست انبوه، اسکن خودکار و …) گردد، ممنوع است.
• گزارش‌های تکراری: در صورت ارسال گزارش تکراری نسبت به یافته‌های قبلی، مشمول دریافت پاداش نخواهد بود.
• اعتبار سنجی آسیب‌پذیری: تنها گزارش‌هایی که آسیب‌پذیری قابل بهره‌برداری همراه با اثبات فنی (Proof of Concept) ارائه می‌دهند، جهت بررسی پذیرفته می‌شود.

ارسال گزارش مستلزم رعایت ساختار زیر است:

1. عنوان آسیب‌پذیری
2. شرح دقیق ضعف امنیتی (دامنه و اثر)
3. شرح قدم‌به‌قدم بازتولید باگ
4. شواهد فنی (اسکرین‌شات، لاگ، نمونه کد و...)
5. اثبات بهره‌برداری (PoC)
6. توضیح تاثیر عملی بر کسب‌وکار یا کاربران
7. پیشنهاد راهکار رفع (اختیاری)
8. اطلاعات تماس گزارش‌دهنده (برای هماهنگی و پرداخت پاداش)

کلیه ضعف‌هایی در حوزه محرمانگی، صحت یا دسترسی داده‌ها و سامانه‌ها در دامنه قابل بررسی قرار می‌گیرند، از جمله:

• Insecure Direct Object Reference (IDOR)
• Authentication & Authorization Flaws
• Server-side Code Execution (RCE)
• SQL Injection
• Server-side Request Forgery (SSRF)
• Cross-site Scripting (XSS)
• Data Leakage/Exposure
• Business Logic Flaw
• Open Redirect (در صورت سوء‌استفاده عملی)
• XML External Entity (XXE)
• دسترسی غیرمجاز به داده‌های حساس (مثال: جداول کاربران، تراکنش‌ها، فایل‌های بکاپ)

• تست مبتنی بر مهندسی اجتماعی (Social Engineering)
• حملات $DoS/DDoS$
• حملات Brute-Force
• ایرادهای $UX/UI$ که تهدید امنیتی ندارند
• عدم وجود Secure و HttpOnly در کوکی
• افشای نسخه نرم‌افزار/سرویس
• نتیجه صرف اسکن خودکار بدون $PoC$
• ضعف در پیچیدگی رمز یا $Enumeration$ نام کاربری/ایمیل
• افشای کلیدهای سرویس عمومی (مثل Google Map API)
• مشکلات $CSRF/CORS$ فاقد اثر امنیتی

نکته: این فهرست حسب صلاحدید تیم امنیت قابل تغییر و بروزرسانی است.

تنها محصولات، دامنه‌ها و سرویس‌های اعلام‌شده رسمی چابکان تحت پوشش باگ‌بانتی قرار می‌گیرند. گزارش مربوط به سایر دامنه‌ها و سرویس‌ها مشمول پاداش و بررسی نیست.

نمونه دامنه‌های تحت پوشش:

• chabokan.net
• hub.chabokan.net
• hub.cloudiva.net
• api.chabokan.net
• محصولات ابری و پنل کاربری

نمونه‌های خارج از دامنه:

• زیرساخت مشتریان، دامنه‌های همکاران، سرویس‌های آزمایشی/بتا (مگر اعلام رسمی)، سرورهای شخص ثالث.

سقف پاداش بر اساس اهمیت، شدت و تاثیر عملی آسیب‌پذیری و جدول امتیازدهی (از جمله $CVSS$)، تعیین و به تشخیص چابکان قابل تغییر است:

• مهلت واریز: پس از تأیید گزارش و رفع آسیب‌پذیری، طی ۷ تا ۲۱ روز کاری انجام خواهد شد.

• رعایت کامل قوانین، شرط دریافت پاداش است.
• دریافت پاداش، ایجاد هیچ‌گونه رابطه استخدامی یا تعهد حقوقی برای آینده نمی‌کند.
• اطلاعات هویتی افراد صرفاً با رضایت یا در صورت لزوم قانونی منتشر خواهد شد.
• احراز هرگونه تخلف، جعل گزارش، نشر غیرمجاز یا آسیب عملیاتی، حق سلب پاداش و پیگیری قانونی برای چابکان محفوظ است.

گزارش‌ها باید با قالب استاندارد از طریق ایمیل زیر ارسال شود:

• ایمیل: bugbounty@chabokan.net

• چابکان مجاز است شرایط، ضوابط و جوایز برنامه را هر زمان به‌روزرسانی نماید.
• تداوم حضور در برنامه منوط به پذیرش آخرین نسخه شرایط است.
• هدف این برنامه، ارتقای امنیت و ایجاد همکاری برد-برد با جامعه امنیتی است.