قلمرو و جوایز

این برنامه شامل همه‌ی دامنه‌ها و سیستم‌هایی است که در عملکرد کافه بازار موثر هستند. همچنین هرگونه آسیب‌پذیری که بتواند یکپارچگی و محرمانگی اطلاعات کاربران کافه‌بازار را تحت تاثیر قرار دهد در این قلمرو قرار می‌گیرد. نکته‌ی مهم آن است که جوایز نقدی کافه‌بازار فقط مربوط به قلمرو تعیین شده می‌باشد و موارد خارج از قلمرو به هیچ‌وجه شامل جایزه نقدی نمی‌شود. دامنه‌ها و محدوده‌ی IP‌های زیر جزو قلمروی اجرای این برنامه هستند:

برنامه:

com.farsitel.bazaar (android app last version)

دامنه‌ها:

cafebazaar.ir
pishkhan.cafebazaar.ir
*.cafebazaar.ir

محدوده‌ی IP ها:

79.175.191.196
79.175.141.23
79.175.191.230
79.175.141.33
79.175.191.235
79.175.191.236
79.175.141.2
79.175.141.5
79.175.141.61
79.175.191.198
79.175.191.203
79.175.132.5
79.175.191.251
79.175.191.252
79.175.191.237
79.175.191.241
79.175.191.239
79.175.191.240
79.175.141.15
79.175.141.8
79.175.141.78
79.175.132.6
79.175.191.254

آسیب‌پذیری‌های مربوط به محدوده‌های(به جز موارد ذکر شده در ادامه):

79.175.191.192/26
79.175.141.0/25
79.175.132.0/25

تذکر مهم ۱: آسیب‌پذیری بدون کد اکسپلویت و سناریوی حمله، مشمول جایزه نمی‌شود.
تذکر مهم ۲: کافه‌بازار حق داوری در خصوص شدت خطر و حساسیت اطلاعات نشت‌شده را برای خود محفوظ می‌دارد..
تذکر مهم ۳: توجه داشته باشید که انتشار گزارش راجع به آسیب پذیری تنها با هماهنگی و تایید کافه بازار امکان پذیر بوده و سایر موارد مشمول جایزه نخواهند بود.

زیردامنه‌های cafebazaar.ir که توسط سرویس‌های دیگر میزبانی می‌شوند، در قلمرو این برنامه قرار ندارند. نمونه‌ها:

press.cafebazaar.ir
blog.cafebazaar.ir
iblog.cafebazaar.ir
tech.cafebazaar.ir
legal.cafebazaar.ir

پیشنهاد می‌کنیم در صورت کشف آسیب‌پذیری در این‌گونه موارد، شرکت میزبان را در جریان بگذارید.

جوایز

در صورت تایید گزارش توسط کافه ‌بازار، پس از رفع آسیب‌پذیری ارزش جایزه مشخص می‌گردد. در تعیین ارزش جایزه برای هر گزارش تایید شده معیارهای زیر مورد توجه قرار می‌گیرند. بدیهی است به دلیل تنوع در معیارها و مصادیق آسیب‌پذیری، تصمیم نهایی در مورد شدت آسیب‌پذیری و ارزش جایزه توسط کافه‌بازار اتخاذ می‌گردد. برای تصمیم گیری در این مورد نکات زیر مورد توجه قرار می‌گیرد:

  • شدت آسیب‌پذیری بر اساس استانداردهای بین‌المللی (CVSS, VRT)
  • سختی اکسپلویت‌پذیری (Exploitability)
  • شدت حساسیت برای زیرساخت محصولی و کاربران کافه‌بازار
شدت آسیب‌پذیری جایزه (میلیون تومان)
حیاتی برای کافه‌بازار (۱) تا سقف ۵۰
بحرانی تا سقف ۱۵
بالا تا سقف ۸
متوسط تا سقف ۳
پایین تا سقف ۱

(۱) این درجه از آسیب‌پذیری به طور خاص و تنها توسط کافه‌بازار بررسی شده و تشخیص داده می‌شود.

مصادیق

Vulnerability Impact
Remote Code Execution (RCE) on vital servers Vital
Unauthorized Access to Read and Write Sensitive Data of All Users
Remote Command Execution (Except on Ephemeral Servers)
SQL/NoSQL/XML Injection
Privilege Escalation to System Account
Mass Account Takeover (Without User Interaction)
Subdomain Takeover
Critical
Unauthorized Access to Read & Write Sensitive Data of a User
Unauthorized Access to Read & Write Part of Sensitive Data of All Users
Vertical/Horizontal Privilege Escalation
Insecure Direct Object Reference
Authorization/Authentication Bypass
Local File Inclusion
Source Code Disclosure
Account Takeover by User Interaction
Mass User Enumeration
State Changing CSRF
Sensitive Data Exposure
Stored XSS
Reflected XSS
High
Unauthorized Access to Read and Write Part of Sensitive Data of a User
Cross-Site Scripting
Server Side Request Forgery
User Enumeration
Reflected XSS
CRLF Injection
Medium
Unauthorized Access to Read Part of Sensitive Data of a User
Open Redirect
Clear-Text Password Submission (in HTTP)
Non-State Changing Cross-Site Request Forgery
Software Version Disclosure
Information Disclosure through Errors
Rate-Limits(Important Ones Such as SMS Bombing, etc)
Low

نکات:

  • در صورتی که یک آسیب‌پذیری در چند دسته قرار بگیرد بالاترین شدت در نظر گرفته می‌شود؛ برای مثال اگر یک آسیب‌پذیری با شدت متوسط منجر به دسترسی تغییر روی داده‌های حساس شود، به عنوان «بحرانی» دسته‌بندی می‌شود.
  • برخی از آسیب‌پذیری‌ها ممکن است منجر به افشای اطلاعات یا دسترسی خاصی شود که در جدول بالا قرار نگیرد. تعیین شدن خطر چنین آسیب‌پذیری‌هایی بر عهده داورهای- کافه‌بازار است. برای شفافیت بیشتر، چندین نمونه از چنین آسیب‌پذیری‌هایی همراه با شدت خطر آنها در پایین آورده شده است (شدت خطر بحرانی + مبلغ تشویقی حتما از ۱۵ میلیون تومان به بالا جایزه دریافت می‌کند):
نوع آسیب‌پذیری خطر
دسترسی به لیست برنامه‌های نصب شده توسط کلیه کاربران بحرانی + مبلغ تشویقی
تغییر غیرمجاز نسخه‌های برنامه موجود در بازار بحرانی + مبلغ تشویقی
دسترسی به حساب‌های کاربری مدیریتی کافه‌بازار بحرانی + مبلغ تشویقی
تغییر غیرمجاز در دسته‌بندی برنامه کاربردی بحرانی + مبلغ تشویقی
افزودن و انتشار برنامه کاربردی بدون مجوز بازار بحرانی
خرید برنامه یا ویدئو بدون پرداخت پول بحرانی
بارگذاری غیرمجاز ویدئو بالا
دسترسی به لیست کل کاربران سامانه بالا
دسترسی غیر مجاز به اطلاعات موقعیت مکانی کاربران بالا
تبلیغات به‌صورت غیر مجاز بالا
سرقت توکن اصالت‌سنجی کاربر با یک کلیک توسط Open Redirect بالا
دور زدن سازوکار تایید شماره توسعه‌دهندگان بازار در هنگام ثبت‌نام متوسط

آسیب‌پذیری‌های غیر مشمول این برنامه

  • آسیب‌پذیری‌های خارج از قلمرو
  • تزریق‌های CSV
  • آسیب‌پذیری Open Redirect داخلی
  • حملات مهندسی اجتماعی و Phishing
  • حملات DoS و DDoS
  • عدم رعایت Best Practice های امنیتی، بدون اکسپلویت
  • آسیب‌پذیری‌هایی که تعامل بسیار خاص با کاربر نیاز دارد
  • آسیب‌پذیری‌های مربوط به مرورگرهای قدیمی
  • Self XSS
  • صفحات ادمین قابل دسترس بدون نفوذ
  • آسیب‌پذیری‌های گزارش شده توسط اسکنرها و سایر ابزارهای اتوماتیک بدون اکسپلویت
  • گزارش پایین بودن ورژن کتابخانه ها و نرم افزارهای به کار رفته بدون اکسپلویت
  • آسیب پذیری های مربوط به نشت اطلاعات سرور و پیکربندی نادرست بدون اکسپلویت
  • حمله‌های فیزیکی
  • Reflected File Download
  • Clickjacking
  • عدم رعایت Security Headers