بر اساس صنعت
بر اساس اندازه شرکت
بر اساس کاربرد
قیمت محصولات
محصولات
محصولات ویژه
دسته‌بندی بر اساس عملکرد
راهکارها
راهکارهای ویژه
بر اساس صنعت
بر اساس اندازه شرکت
بر اساس کاربرد
خدمات سازمانی خدمات دواپس

کلاه سفیدت رو سرت بذار

ممنون که در شناسایی آسیب‌پذیری‌های محصولات ابر آروان مشارکت می‌کنی. در ادامه‌ی این صفحه گام‌های زیر رو طی خواهی کرد. در این مسیر تیم داوری ابر آروان هم در کنارت هستند.
دوستانی که مراحل شناسایی تا رفع باگ رو با موفقیت سپری کنند،
در اولویت پیوستن به تیم امنیت ابری ابر آروان قرار می‌گیرند.
انتخاب قلمرو
با مشاهده قلمرو تعیین شده می‌تونی متمرکز به آزمون بپردازی و از دریافت جایزه مطمین باشی.
شناسایی آسیب‌پذیری
دانش، تجربه و مهارتی که داری رو نشون بده!
ثبت گزارش
آسیب‌پذیری که پیدا کردی رو با توجه به نکات اعلام شده در برنامه گزارش کن تا جایزه بگیری.
رفع آسیب‌پذیری و دریافت جوایز نقدی
با درست بودن آسیب‌پذیری و رفع اون، جایزه‌ی شما واریز می‌شه.
تا ۳۰۰ میلیون تومان جایزه
برای آسیب‌پذیری‌هایی که باعث می‌شوند تمام اطلاعات خصوصی (PII) و/یا تصاویر مدارک هویتی همه‌ی مشتریان دردسترس قرار بگیرند.
زمانی‌که آسیب‌پذیری شناسایی‌شده‌ی شما روی زیرساخت ابری ما، به تایید داوران ابر آروان برسه و رفع بشه، جایزه‌ی نقدی براساس شدت و اهمیت آسیب‌پذیری و مطابق استانداردهای زیر تعیین می‌شه:
تا ۳۰۰ میلیون تومان
مساله مرگ و زندگیه (Vital)
تا ۵۰ میلیون تومان
پای آبرو وسطه (Critical)
تا ۴۰ میلیون تومان
واجبه حل بشه (High)
تا ۳۰ میلیون تومان
خوبه که حل بشه (Medium)
تا ۱ میلیون تومان
بد نیست حل بشه (Low)
برنده های مسابقه
نام برندگان
کشف باگ
آسیب پذیری
مبلغ جایزه
افشا نشده
بایپس 2FA
Medium
۵۰۰ هزار تومان
محمدباقر دانشور
بایپس 2FA
Medium
۵۰۰ هزار تومان
افشا نشده
بایپس 2FA
Medium
۷۵۰ هزار تومان
افشا نشده
افشای اطلاعات حساس
Medium
۷۵۰ هزار تومان
امیرحسین شربتی
بایپس کنترل دسترسی
High
۲ میلیون تومان
افشا نشده
افشا نشده
Critical
۸ میلیون تومان
افشا نشده
blind SSRF
Medium
۷۵۰هزار تومان
معیار سنجش
شدت و خطر آسیب‌پذیری‌ها به‌شکل عمومی با استفاده از استاندارد CVSSv3 ارزیابی می‌شه.
قلمرو کشف آسیب‌پذیری کجاست؟
در این بخش قلمروی که می‌تونی به کشف آسیب‌پذیری‌ها بپردازی مشخص شده.
دامنه:
Panel.arvancloud.ir
Accounts.arvancloud.ir
Napi.arvancloud.ir
محدوده‌ی IPها:
‌زیرساخت‌های حساس ابر آروان به‌جز‌‌‌‌‌:
185.143.232.0/22
193.176.240.0/22
5.253.24.0/22
45.82.136.0/22
37.152.176.0/21
185.239.106.0/22
185.239.105.0/22
185.97.116.0/22
185.206.92.0/22
130.185.122.0/23
185.235.40.0/22
194.5.206.0/23
194.5.192.0/23
آسیب‌پذیری‌ها:
:Vital
RCE on vital servers
Business Destruction Vulnerability
Mass DNS takeover
:Critical
Subdomain/DNS Takeover
SQL/NoSQL/Command Injection
Remote Command Execution
Mass Account Takeover (without User Interaction)
XML External Entity Injection
Sensitive Data Exposure to Accessible Services (Password, Private API Keys, SSL private Keys of arvancloud)
:High
Unauthorized Access to Read and Write Sensitive Data of a User
Weak Password Reset Implementation
Unauthorized Access to Read and Write Part of Sensitive Data of all User
Local File Inclusion
SSRF (Internal High Impact)
Complete Source Code Disclosure of one of private arvancloud's products
Privilege Escalation to Admin Account
Mass delete users Accounts
Authentication Bypass
DoS (Critical Impact and/or Easy Difficulty)
Sensitive Data Exposure (All users)
:Medium
Partial Source Code Disclosure of one of private arvancloud's products
SSRF (Internal Scan and/or Medium Impact)
Unauthorized Access to Read and Write Part of Sensitive Data of a User
OAuth misusable misconfiguration
CRLF Injection
Unauthorized Access to Services (API / Endpoints)
DOM based XSS
Misusable misconfiguration of CAPTCHA implementation
Delete a user Account
State Changing CSRF
Source Code Disclosure of arvancloud's websites
Insecure Direct Object Reference
Reflected XSS
Second Factor Authentication (2FA) Bypass
Authorization Bypass
Default credentials
DoS (High Impact and/or Medium Difficulty)
Sensitive Data Exposure
Server-Side Request Forgery
Session Fixation (Remote Attack Vector)
Mass User Enumeration
iframe Injection
Clickjacking (Sensitive Click-Based Action)
Account Takeover by User Interaction
Blind XSS
Stored XSS
Excessively Privileged User / DBA
Sensitive Data Exposure (Some users)
:Low
Unauthorized Access to Read Part of Sensitive Data of a User
Clear-Text Password Submission (in HTTP)
Clickjacking (non-Sensitive Click-Based Action)
Non-State Changing Cross-Site Request Forgery
Information Disclosure through Errors
Off-Domain XSS
Open Redirect (GET-Based)
SSRF (External)
Software Version Disclosure
User Enumeration
Weak Registration Implementation (Over HTTP)
Misconfigured DNS Zone Transfer
IE-Only XSS
Server-Side Plaintext Credentials Storage
Flash-Based XSS
No Password Policy
اگر با آسیب‌پذیری خارج از این قلمرو روبه‌رو شدی، به ایمیل bugbounty@arvancloud.ir گزارش بده تا ادامه‌ی روند کارت مشخص بشه
چه آسیب‌پذیری‌هایی ملاک این برنامه نیست؟
Missing Certification Authority Authorization (CAA) Record
Public Admin Login Page
Out of date libraries
Unsafe File Upload
Captcha brute force
Directory Listing Enabled (Non-Sensitive Data Exposure)
Clickjacking (Non-Sensitive Action)
Crowdsourcing/OCR Captcha Bypass
Lack of Verification/Notification Email
Same-Site Scripting
Allows Disposable Email Addresses for Registration
Clickjacking (Form Input)
Social Engineering & Phishing
Open Redirect (POST-Based)
Exposed Admin Portal to Internet
Lack of Security Headers
Missing DNSSEC
SSRF (DNS Query Only)
Concurrent Logins
Physical security
Reflected File Download (RFD)
* Self
Out of scope bugs
Http Parameter Pollution
Brute force
Fingerprinting/Banner Disclosure
Email spoofing
SSL Attack
Token Leakage via Referrer
Session Fixation (Local Attack Vector)
چه قوانینی رو باید رعایت کنی؟
کنار هم هستیم تا امنیت رو در فضایی که قلمروی نامحدود داره بهبود بدیم. با رعایت موارد زیر ابر آروان متعهد می‌شه در کنار پاسخ به گزارش در چارچوب این برنامه، از درخواست پی‌گرد قانونی صرف‌نظر کنه. در همین فضا، لازمه به قوانین زیر پای‌بند باشیم:
آسیب‎‌پذیری‎‌ها به‌شکل جدا تست بشن و از اطلاعات یا دسترسی‌‎‌های به‎‌دست آمده از یک آسیب‎‌‌پذیری در آسیب‎‌پذیری دیگر استفاده نشه.
آسیب‌‎پذیری نباید با استفاده از حساب شخص دیگه‌ای ارزیابی بشه.
اطلاعات محرمانه نباید افشا بشه و پس از دریافت جایزه می‌‌‎بایست از نگهداری آن‌ها اجتناب بشه.
از اختلال در سامانه‌‎های ابر آروان اجتناب بشه.
به حریم شخصی افراد و کاربران احترام گذاشته بشه.
از IP مشخصی برای ارزیابی استفاده و این IP در گزارش قید بشه.
تمام فعالیت‌‎ها و دسترسی‎‌ها می‌‎بایست در گزارش قید بشه.
از بارگذاری شاهد مثال‌های آسیب‎‌پذیری‎‌‌ها در سایت‌های اشتراکی youtube, imgur و... اجتناب بشه.
اگر پاسخی از سمت هکر کلاه سفید دریافت نشه، گزارش از طریق ایمیل پس از هفت روز کاری غیرفعال می‌شه.
آسیب‎‌‌پذیری‎‌های گزارش شده می‎‌بایست تاثیر معنا‌داری بر کاربران، سامانه‌‎ها یا داده‎‌های ابر آروان داشته باشه.
ممکنه آسیب‎‌پذیری گزارش شده، پیش از ارسال، به‌وسیله‌ی فرد دیگری گزارش شده باشه. در این موقعیت به گزارش جایزه تعلق نمی‌گیره.
چه‌جوری گزارشت رو برای ما بفرستی؟
گزارشی که برای ابر آروان می‌فرستی باید این موارد رو داشته باشه:
در هر گزارش یک آسیب‌‌‎پذیری مشخص ارایه بشه.
آسیب‌‎پذیری به‌شکل مشروح به همراه شدت و خطر پیشنهادی توضیح داده بشه.
مراحل باز‌تولید آسیب‌‎پذیری شرح داده بشه.
شاهد مثال برای آسیب‌‎‌پذیری به همراه ابزارهای لازم به‌‎طور کامل ارایه بشه.
هرگونه تنظیم خاص مورد نیاز برای بازسازی حمله، باید ارایه بشه.
گزارش آسیب‌پذیری شناسایی‌شده‌ات رو ثبت کن