قوانین

پژوهشگران امنیت برای فعالیت در چارچوب این برنامه لازم است قوانین زیر را رعایت کنند:

  • توجه داشته باشید که انتشار گزارش آسیب پذیری تنها با هماهنگی و تایید کافه‌بازار امکان پذیر خواهد بود.
  • مشخص نمودن شدت خطر و همچنین درجه‌ی اهمیت باگ یافت شده بر عهده تیم داوری خواهد بود. -گزارش ارسالی باید شامل کد اکسپلویت و یا سناریوی حمله باشد.
  • به هیچ عنوان از اطلاعات افشا شده در یک آسیب‌پذیری برای نفوذ به سایر سیستم‌ها استفاده نکنید.
  • آزمون نفوذ را فقط بر روی حساب شخصی و یا حساب‌های دیگران با اجازه‌ی خود آن‌ها انجام دهید.
  • در صورتی که به شکل ناخواسته اطلاعاتی مانند اطلاعات حساب کاربران و موارد نظیر آن در آزمون نفوذ افشا شد، از نگهداری، انتقال و استفاده از آن خودداری کرده و تمامی اطلاعات را پس از ارسال گزارش، از سیستم‌های در اختیار خود پاک کنید.
  • به هیچ وجه فعالیت مخرب یا آزمونی را که منجر به قطعی کافه‌بازار یا سایر سیستم‌ها و اخلال در عملکرد آن می‌شود انجام ندهید.
  • به هیچ‌وجه فعالیت مخرب یا آزمونی را که منجر به نقض قوانین و مقررات یا حقوق سایر اشخاص می‌شود، انجام ندهید.
  • در درخواست‌های خود، هدر خاصی را مانند زیر اضافه کنید و آن را در گزارش خود قید نمایید؛ برای مثال:
X-Bug-Bounty-CB: <sha-256-unique-flag>
  • از آدرس IP مشخصی استفاده کنید و آن را در گزارشتان اضافه کنید.
  • لطفاً در ساعات شلوغ شبانه‌روز از ابزارهای سنگین و روش‌هایی که ترافیک زیادی روی شبکه ایجاد می‌کنند، استفاده نکنید.
  • در فرایند کشف باگ روی حریم خصوصی افراد حساس باشید. در صورت بی‌توجهی نسبت به نقض حریم خصوصی جایزه به گزارش تعلق نخواهد گرفت.
  • در صورت کشف آسیب‌پذیری‌های منجر به خواندن/نوشتن فایل‌ها و اجرای دستورات، اثبات باید با حداقل اثرگذاری باشد. مثلاً برای اثبات امکان ایجاد فایل کافی است فایلی با نام <unique-hash> در کف سرور ساخته شود.
  • همهٔ شواهد باید فقط در گزارش ارسالی گنجانده شود و هیچ بخشی از آن نباید در سرور دیگری بارگذاری شوند.

در صورت رعایت موارد فوق کافه‌بازار متعهد می‌شود ضمن پاسخ به گزارش در چارچوب این برنامه از درخواست پیگرد قانونی صرف نظر کند.