لوگو طلاین
نصب اپلیکیشن
ورود /‌ ثبت نام
لوگو طلاین
ورود /‌ ثبت نام

مسابقه کشف آسیب‌پذیری

در طلاین، باور داریم که امنیت حاصل تلاش جمعی است. اگر در بررسی سامانه‌ها و خدمات ما به نقطه‌ی ضعف یا آسیب‌پذیری احتمالی برخورد کردید، خوشحال می‌شویم یافته‌تان را با ما در میان بگذارید. مشارکت شما می‌تواند نقش مهمی در مقاوم‌سازی زیرساخت‌ها و افزایش ایمنی کاربران ایفا کند.

محدوده و آدرس‌ها

طلاین برای حفاظت از امنیت و اطلاعات کاربران خود، همواره به‌دنبال همکاری با متخصصین امنیت است. از شما دعوت می‌کنیم تا با شناسایی و گزارش آسیب‌پذیری‌ها، در ارتقای سطح امنیت سیستم‌ها و خدمات ما مشارکت کنید.

سامانه

app.tlyn.ir
my.tlyn.ir

(قیمت ها به میلیون تومان)

  • آسیب‌پذیری با درجه تاثیر بحرانی
تا ۱۵۰
  • آسیب‌پذیری با درجه تاثیر بالا
تا ۵۰
  • آسیب‌پذیری با درجه تاثیر متوسط
تا ۱۵
  • آسیب‌پذیری با درجه تاثیر پایین
تا 5
سایر آدرسها و زیرسیستم‌ها

*.tlyn.ir
*.taline.ir

(قیمت ها به میلیون تومان)

  • آسیب‌پذیری با درجه تاثیر بحرانی
تا 8۰
  • آسیب‌پذیری با درجه تاثیر بالا
تا 25
  • آسیب‌پذیری با درجه تاثیر متوسط
تا 6
  • آسیب‌پذیری با درجه تاثیر پایین
تا 2

Any vulnerability that threatens or disrupts the continuity of business operations

Mass Account Takeover
Injection
Payment Gateway Exploits: Double Spending & Unauthorized Wallet Top-ups
Access to Private API Keys/ Secrets

Vertical/Horizontal Privilege Escalation
Insecure Direct Object Reference
Authorization/Authentication BypassSource Code Disclosure
Stored XSS (Non-Privileged User to Privileged user)
Bypassing Registered Card Restriction
Withdraw Limit Bypass

Account Takeover by User Interaction
Reflected XSS
OAuth misusable misconfiguration

Open Redirect (GET-Based)
SSRF (External)
CRLF Injection

شرایط و قوانین

قوانین کلیدی و تعهدات (Golden Rules)

حفظ حریم خصوصی: به دلیل حساسیت بالای اطلاعات کاربران، شما متعهد می شوید که تمامی آزمایش ها را تنها بر روی حساب کاربری خودتان انجام دهید. هرگونه دسترسی غیرمجاز، تغییر یا افشای داده های شخصی سایر کاربران اکیداً ممنوع است.

مدیریت اطلاعات حساس: در صورتی که آسیب پذیری ای مرتبط با نشت اطلاعات (Data Leak) شناسایی کردید، از کپی کردن یا انتشار هرگونه اطلاعات حساس خودداری کنید. پس از تایید نهایی گزارش و دریافت جایزه، تمام اطلاعات مرتبط باید به صورت کامل حذف گردند.

موارد خارج از محدوده (Out of Scope)

گزارش های مربوط به موارد زیر پذیرفته نخواهند شد و مشمول پاداش نمی شوند:

آسیب پذیری های سمت کاربر (Local): آسیب پذیری هایی که به صورت محلی (Local) و با فرض دسترسی قبلی به دستگاه، سیستم عامل یا مرورگر کاربر (مانند دسترسی فیزیکی، نصب بدافزار، یا حملات Man-in-the-Middle) قابل پیاده سازی هستند.

سرویس های شخص ثالث (Third Party): تمامی زیردامنه ها و سرویس هایی که خارج از مجموعه سرویس دهی طلاین هستند (مانند سرویس های میزبانی، ابزارهای تحلیلی و غیره).

محیط های غیرعملیاتی: تمامی زیردامنه هایی که برای تست (Staging)، دیباگینگ یا مقاصد مشابه استفاده می شوند.

وردپرس: گزارش های مربوط به آسیب پذیری های پلتفرم وردپرس تحت پوشش این برنامه قرار نمی گیرند. (اما طبق بخش گزارش دهی، پذیرای دریافت محرمانه آن هستیم).

شرایط پذیرش و پاداش

قابل اکسپلویت بودن: گزارش شما تنها در صورتی تایید و مشمول پاداش خواهد شد که آسیب پذیری کشف شده، قابل بهره برداری (Exploitable) و دارای سناریوی حمله ی مشخص باشد.

گزارش های تکراری: برای یک آسیب پذیری مشابه در چند دامنه یا زیردامنه مختلف، تنها یک گزارش (معمولاً اولین گزارش دریافتی) تایید شده و یک جایزه به فرد تعلق می گیرد.

فرآیند گزارش دهی و پاسخگویی

گزارش دهی محرمانه: در صورتی که هرگونه آسیب پذیری (چه شامل بانتی و چه خارج از آن مانند وردپرس) کشف کردید، لطفاً آن را به طور محرمانه و انحصاراً از طریق ایمیل به طلاین گزارش دهید.

زمان بندی بررسی: فرآیند بررسی و پاسخگویی اولیه به گزارش ها، بین ۷ تا ۱۴ روز کاری پس از دریافت گزارش انجام خواهد شد.

سیاست افشای عمومی

ممنوعیت انتشار عمومی: انتشار هرگونه گزارش  آسیب پذیری یا جزئیات آن در فضای عمومی، وبلاگ ها یا شبکه های اجتماعی، تنها با تایید کتبی و رسمی طلاین امکان پذیر است.

آسیب‌پذیری‌های خارج از محدوده

  • Self XSS
  • Internal open redirect
  • Brute Forcing accounts
  •  DOS/DDOS attacks
  • Vulnerabilities related to rate limit are considered outside the scope of bug bounty until they lead to a vulnerability with a higher degree of importance.
  • Social engineering attacks
  • Physical attacks or exploits
  • Vulnerabilities on third-party websites or  applications
  • Vulnerabilities already reported by others
  • Vulnerabilities requiring physical access to devices
  • Spam or phishing vulnerabilities
  • Issues related to outdated or unsupported browsers/clients
  • Email spoofing
  • lack of security headers
  • Issues related to insecure SSL/TLS cipher suites or protocols
  • SSRF (DNS Query Only)
  • Open Redirect (POST-Based)
  • Captcha brute force & OCR Captcha By-Pass

آدرس و IP های خارج از محدوده

SHA256 of Address/IP

402bbd0f0ebc2718f1b4ce962a23a608518258b6cd83e2a6a2a67161ccb2ccf6

c44153d272bd5759fa937db9922480bfd58c9eb3c1ebdb5fd862a7ab18d0feaa

03dd6dadbc17074a759783eae885309912b499fff39b9d4b7ab94dd772807e93

8cad095c5dd7dfb06c45de5207fda701e165b03f5aae9aabc352389ed99afb71

a2a1e7f548a2d0cc2d616a9791b0460e0e806c33231f198e52620d0f71b33bb7

e97d80cf1113e8b317fed93ec8074b255e4c37e465452010e66ef2934328a757

e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

ویژگی‌ گزارش‌ها

  • لطفاً گزارش آسیب‌پذیری را با تمام جزئیات لازم تهیه کرده تا تیم امنیت بتواند به سرعت آن را آزمایش و بررسی کند.
  • برای کمک به سرعت و دقت بررسی، ارسال ویدیو همراه با گزارش متنی بسیار موثر است.
  • در ابتدای ویدیوی خود ابتدا وب‌سایت time.ir را باز کرده و با انجام دستور Refresh زمان دقیق انجام کار خود را نمایش دهید. سپس آدرس IP خود را از طریق api.ipify.org نشان دهید.
  • در گزارش متنی، آسیب‌پذیری را به‌طور مرحله به مرحله شرح دهید. اگر از ابزار یا پیلود خاصی برای شناسایی آسیب‌پذیری استفاده کرده‌اید، حتماً در گزارش به آن اشاره کنید.
  • برای تسهیل در داوری و بررسی، هر آسیب‌پذیری را در یک گزارش مجزا ارسال کنید.
گزارش‌ها را به ایمیل security@taline.ir ارسال کنید
کپی آدرس ایمیل

شکارچیان برتر

170.000.000 ت
سطح بحرانی تا 80
170.000.000 ت
سطح بحرانی تا 80
170.000.000 ت
سطح بحرانی تا 80
170.000.000 ت
سطح بحرانی تا 80