در طلاین، باور داریم که امنیت حاصل تلاش جمعی است. اگر در بررسی سامانهها و خدمات ما به نقطهی ضعف یا آسیبپذیری احتمالی برخورد کردید، خوشحال میشویم یافتهتان را با ما در میان بگذارید. مشارکت شما میتواند نقش مهمی در مقاومسازی زیرساختها و افزایش ایمنی کاربران ایفا کند.
محدوده
سامانه
سایر آدرسها
آدرس ها
سامانه
app.tlyn.ir
my.tlyn.ir
سایر آدرس ها
*.tlyn.ir
*.taline.ir
آسیبپذیری با درجه تاثیر بحرانی
۲۰ - ۸۰
سامانه
۱۵ - ۳۰
سایر آدرس ها
آسیبپذیری با درجه تاثیر بالا
۱۰ - ۲۰
سامانه
۵ - ۱۵
سایر آدرس ها
آسیبپذیری با درجه تاثیر متوسط
۱ - ۱۰
سامانه
۱ - ۵
سایر آدرس ها
آسیبپذیری با درجه تاثیر پایین
تا ۱
سامانه
تا ۱
سایر آدرس ها
- اعداد به میلیون تومان هست
حیاتــی
تا ۲۵۰
جزئیات بیشتر
Arbitrary code/command execution on vital servers
Mass DNS Takeover
بحرانـی
تا ۸۰
جزئیات بیشتر
Mass Account Takeover
Injection
Payment Gateway Exploits: Double Spending & Unauthorized Wallet Top-ups
Access to Private API Keys/ Secrets
بالا
تا ۲۰
جزئیات بیشتر
Vertical/Horizontal Privilege Escalation
Insecure Direct Object Reference
Authorization/Authentication BypassSource Code Disclosure
Stored XSS (Non-Privileged User to Privileged user)
Bypassing Registered Card Restriction
Withdraw Limit Bypass
متـوسط
تا ۱۰
جزئیات بیشتر
Account Takeover by User Interaction
Reflected XSS
OAuth misusable misconfiguration
پاییـن
تا ۱
جزئیات بیشتر
Open Redirect (GET-Based)
SSRF (External)
SMS Bomber
CRLF Injection
- در حال حاضر گزارشهای مربوط به آسیبپذیریهای وردپرس تحت پوشش برنامه باگبانتی طلاین قرار نمیگیرند.
- در صورتی که آسیبپذیریای را کشف کردید، لطفاً بهطور محرمانه آن را از طریق ایمیل به طلاین گزارش دهید.
• Vulnerabilities related to rate limit are considered outside the scope of bug bounty until they lead to a vulnerability with a higher degree of importance.
• Vulnerabilities on third-party websites or applications
• Social engineering attacks
• Brute Forcing accounts
• Issues related to outdated or unsupported browsers/clients
• Vulnerabilities requiring physical access to devices
• Open Redirect (POST-Based)
• lack of security headers
• Issues related to insecure SSL/TLS cipher suites or protocols
• Vulnerabilities already reported by others
• Internal open redirect
• Email spoofing
•Internal open redirect
• Self XSS
•DOS/DDOS attacks
• SSRF (DNS Query Only)
402bbd0f0ebc2718f1b4ce962a23a608518258b6cd83e2a6a2a67161ccb2ccf6
c44153d272bd5759fa937db9922480bfd58c9eb3c1ebdb5fd862a7ab18d0feaa
03dd6dadbc17074a759783eae885309912b499fff39b9d4b7ab94dd772807e93
8cad095c5dd7dfb06c45de5207fda701e165b03f5aae9aabc352389ed99afb71
a2a1e7f548a2d0cc2d616a9791b0460e0e806c33231f198e52620d0f71b33bb7
e97d80cf1113e8b317fed93ec8074b255e4c37e465452010e66ef2934328a757
e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
- لطفاً گزارش آسیبپذیری را با تمام جزئیات لازم تهیه کرده تا تیم امنیت بتواند به سرعت آن را آزمایش و بررسی کند.
- برای کمک به سرعت و دقت بررسی، ارسال ویدیو همراه با گزارش متنی بسیار موثر است.
