در طلاین، باور داریم که امنیت حاصل تلاش جمعی است. اگر در بررسی سامانهها و خدمات ما به نقطهی ضعف یا آسیبپذیری احتمالی برخورد کردید، خوشحال میشویم یافتهتان را با ما در میان بگذارید. مشارکت شما میتواند نقش مهمی در مقاومسازی زیرساختها و افزایش ایمنی کاربران ایفا کند.
محدوده
سامانه
سایر آدرسها
آدرس ها
سامانه
app.tlyn.ir
my.tlyn.ir
سایر آدرس ها
*.tlyn.ir
*.taline.ir
آسیبپذیری با درجه تاثیر بحرانی
تا 150
سامانه
تا 80
سایر آدرس ها
آسیبپذیری با درجه تاثیر بالا
تا 50
سامانه
تا 25
سایر آدرس ها
آسیبپذیری با درجه تاثیر متوسط
تا 15
سامانه
تا 6
سایر آدرس ها
آسیبپذیری با درجه تاثیر پایین
تا 5
سامانه
تا 2
سایر آدرس ها
- اعداد به میلیون تومان هست
حیاتــی
تا 1 میلیارد تومان
جزئیات بیشتر
Arbitrary code/command execution on vital servers
Mass DNS Takeover
بحرانـی
تا 150 میلیون تومان
جزئیات بیشتر
Mass Account Takeover
Injection
Payment Gateway Exploits: Double Spending & Unauthorized Wallet Top-ups
Access to Private API Keys/ Secrets
بالا
تا 50 میلیون تومان
جزئیات بیشتر
Vertical/Horizontal Privilege Escalation
Insecure Direct Object Reference
Authorization/Authentication BypassSource Code Disclosure
Stored XSS (Non-Privileged User to Privileged user)
Bypassing Registered Card Restriction
Withdraw Limit Bypass
متـوسط
تا 15 میلیون تومان
جزئیات بیشتر
Account Takeover by User Interaction
Reflected XSS
OAuth misusable misconfiguration
پاییـن
تا 2 میلیون تومان
جزئیات بیشتر
Open Redirect (GET-Based)
SSRF (External)
SMS Bomber
CRLF Injection
- در حال حاضر گزارشهای مربوط به آسیبپذیریهای وردپرس تحت پوشش برنامه باگبانتی طلاین قرار نمیگیرند.
- در صورتی که آسیبپذیریای را کشف کردید، لطفاً بهطور محرمانه آن را از طریق ایمیل به طلاین گزارش دهید.
- به دلیل حساسیت بالای اطلاعات کاربران، تنها بر روی حساب کاربری خودتان آزمایش آسیبپذیریها را انجام دهید و از دسترسی غیرمجاز، تغییر یا افشای دادههای شخصی دیگران بدون مجوز خودداری کنید.
- انتشار گزارشهای آسیبپذیری در فضای عمومی یا شبکههای اجتماعی تنها با تایید طلاین امکانپذیر است.
- گزارش شما تنها در صورتی تایید خواهد شد که آسیبپذیری قابل اکسپلویت (Exploit) باشد.
- در صورتی که آسیبپذیریای مرتبط با نشست اطلاعات شناسایی کردید، از انتشار هرگونه اطلاعات حساس خودداری کرده و پس از تایید گزارش و دریافت جایزه، تمام اطلاعات را حذف کنید.
- تمامی زیردامنههایی که برای تست یا دیباگینگ یا مقاصد مشابه استفاده میشوند و همچنین تمامی زیر دامنهها و سرویس هایی که خارج از مجموعه سرویس دهی می شوند (Third Party) در برنامه بانتی طلاین پذیرفته نمیشوند.
- برای یک آسیبپذیری مشابه در چند دامنه مختلف، تنها یک جایزه به فرد تعلق میگیرد.
- فرآیند بررسی و پاسخگویی اولیه به گزارشها بین بازه 7 تا 14 روز کاری انجام خواهد شد.
• Vulnerabilities related to rate limit are considered outside the scope of bug bounty until they lead to a vulnerability with a higher degree of importance.
• Vulnerabilities on third-party websites or applications
• Social engineering attacks
• Brute Forcing accounts
• Issues related to outdated or unsupported browsers/clients
• Vulnerabilities requiring physical access to devices
• Open Redirect (POST-Based)
• lack of security headers
• Issues related to insecure SSL/TLS cipher suites or protocols
• Vulnerabilities already reported by others
• Email spoofing
• Internal open redirect
• Self XSS
• DOS/DDOS attacks
• SSRF (DNS Query Only)
402bbd0f0ebc2718f1b4ce962a23a608518258b6cd83e2a6a2a67161ccb2ccf6
c44153d272bd5759fa937db9922480bfd58c9eb3c1ebdb5fd862a7ab18d0feaa
03dd6dadbc17074a759783eae885309912b499fff39b9d4b7ab94dd772807e93
8cad095c5dd7dfb06c45de5207fda701e165b03f5aae9aabc352389ed99afb71
a2a1e7f548a2d0cc2d616a9791b0460e0e806c33231f198e52620d0f71b33bb7
e97d80cf1113e8b317fed93ec8074b255e4c37e465452010e66ef2934328a757
e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
- لطفاً گزارش آسیبپذیری را با تمام جزئیات لازم تهیه کرده تا تیم امنیت بتواند به سرعت آن را آزمایش و بررسی کند.
- برای کمک به سرعت و دقت بررسی، ارسال ویدیو همراه با گزارش متنی بسیار موثر است.
- در ابتدای ویدیوی خود ابتدا وبسایت time.ir را باز کرده و با انجام دستور Refresh زمان دقیق انجام کار خود را نمایش دهید. سپس آدرس IP خود را از طریق api.ipify.org نشان دهید.
- در گزارش متنی، آسیبپذیری را بهطور مرحله به مرحله شرح دهید. اگر از ابزار یا پیلود خاصی برای شناسایی آسیبپذیری استفاده کردهاید، حتماً در گزارش به آن اشاره کنید.
- برای تسهیل در داوری و بررسی، هر آسیبپذیری را در یک گزارش مجزا ارسال کنید.
