مسابقه کشف آسیبپذیری
در طلاین، باور داریم که امنیت حاصل تلاش جمعی است. اگر در بررسی سامانهها و خدمات ما به نقطهی ضعف یا آسیبپذیری احتمالی برخورد کردید، خوشحال میشویم یافتهتان را با ما در میان بگذارید. مشارکت شما میتواند نقش مهمی در مقاومسازی زیرساختها و افزایش ایمنی کاربران ایفا کند.
محدوده و آدرسها
طلاین برای حفاظت از امنیت و اطلاعات کاربران خود، همواره بهدنبال همکاری با متخصصین امنیت است. از شما دعوت میکنیم تا با شناسایی و گزارش آسیبپذیریها، در ارتقای سطح امنیت سیستمها و خدمات ما مشارکت کنید.
سامانه
app.tlyn.ir
my.tlyn.ir
(قیمت ها به میلیون تومان)
- آسیبپذیری با درجه تاثیر بحرانی
تا ۱۵۰
- آسیبپذیری با درجه تاثیر بالا
تا ۵۰
- آسیبپذیری با درجه تاثیر متوسط
تا ۱۵
- آسیبپذیری با درجه تاثیر پایین
تا 5
سایر آدرسها و زیرسیستمها
*.tlyn.ir
*.taline.ir
(قیمت ها به میلیون تومان)
- آسیبپذیری با درجه تاثیر بحرانی
تا 8۰
- آسیبپذیری با درجه تاثیر بالا
تا 25
- آسیبپذیری با درجه تاثیر متوسط
تا 6
- آسیبپذیری با درجه تاثیر پایین
تا 2
سطح حیاتی تا 1 میلیارد تومان
Any vulnerability that threatens or disrupts the continuity of business operations
سطح بحرانی تا 150 میلیون تومان
Mass Account Takeover
Injection
Payment Gateway Exploits: Double Spending & Unauthorized Wallet Top-ups
Access to Private API Keys/ Secrets
سطح بالا تا 50 میلیون تومان
Vertical/Horizontal Privilege Escalation
Insecure Direct Object Reference
Authorization/Authentication BypassSource Code Disclosure
Stored XSS (Non-Privileged User to Privileged user)
Bypassing Registered Card Restriction
Withdraw Limit Bypass
سطح متوسط تا 15 میلیون تومان
Account Takeover by User Interaction
Reflected XSS
OAuth misusable misconfiguration
سطح پایین تا 5 میلیون تومان
Open Redirect (GET-Based)
SSRF (External)
CRLF Injection
Any vulnerability that threatens or disrupts the continuity of business operations
Mass Account Takeover
Injection
Payment Gateway Exploits: Double Spending & Unauthorized Wallet Top-ups
Access to Private API Keys/ Secrets
Vertical/Horizontal Privilege Escalation
Insecure Direct Object Reference
Authorization/Authentication BypassSource Code Disclosure
Stored XSS (Non-Privileged User to Privileged user)
Bypassing Registered Card Restriction
Withdraw Limit Bypass
Account Takeover by User Interaction
Reflected XSS
OAuth misusable misconfiguration
Open Redirect (GET-Based)
SSRF (External)
CRLF Injection
شرایط و قوانین
قوانین کلیدی و تعهدات (Golden Rules)
حفظ حریم خصوصی: به دلیل حساسیت بالای اطلاعات کاربران، شما متعهد می شوید که تمامی آزمایش ها را تنها بر روی حساب کاربری خودتان انجام دهید. هرگونه دسترسی غیرمجاز، تغییر یا افشای داده های شخصی سایر کاربران اکیداً ممنوع است.
مدیریت اطلاعات حساس: در صورتی که آسیب پذیری ای مرتبط با نشت اطلاعات (Data Leak) شناسایی کردید، از کپی کردن یا انتشار هرگونه اطلاعات حساس خودداری کنید. پس از تایید نهایی گزارش و دریافت جایزه، تمام اطلاعات مرتبط باید به صورت کامل حذف گردند.
موارد خارج از محدوده (Out of Scope)
گزارش های مربوط به موارد زیر پذیرفته نخواهند شد و مشمول پاداش نمی شوند:
آسیب پذیری های سمت کاربر (Local): آسیب پذیری هایی که به صورت محلی (Local) و با فرض دسترسی قبلی به دستگاه، سیستم عامل یا مرورگر کاربر (مانند دسترسی فیزیکی، نصب بدافزار، یا حملات Man-in-the-Middle) قابل پیاده سازی هستند.
سرویس های شخص ثالث (Third Party): تمامی زیردامنه ها و سرویس هایی که خارج از مجموعه سرویس دهی طلاین هستند (مانند سرویس های میزبانی، ابزارهای تحلیلی و غیره).
محیط های غیرعملیاتی: تمامی زیردامنه هایی که برای تست (Staging)، دیباگینگ یا مقاصد مشابه استفاده می شوند.
وردپرس: گزارش های مربوط به آسیب پذیری های پلتفرم وردپرس تحت پوشش این برنامه قرار نمی گیرند. (اما طبق بخش گزارش دهی، پذیرای دریافت محرمانه آن هستیم).
شرایط پذیرش و پاداش
قابل اکسپلویت بودن: گزارش شما تنها در صورتی تایید و مشمول پاداش خواهد شد که آسیب پذیری کشف شده، قابل بهره برداری (Exploitable) و دارای سناریوی حمله ی مشخص باشد.
گزارش های تکراری: برای یک آسیب پذیری مشابه در چند دامنه یا زیردامنه مختلف، تنها یک گزارش (معمولاً اولین گزارش دریافتی) تایید شده و یک جایزه به فرد تعلق می گیرد.
فرآیند گزارش دهی و پاسخگویی
گزارش دهی محرمانه: در صورتی که هرگونه آسیب پذیری (چه شامل بانتی و چه خارج از آن مانند وردپرس) کشف کردید، لطفاً آن را به طور محرمانه و انحصاراً از طریق ایمیل به طلاین گزارش دهید.
زمان بندی بررسی: فرآیند بررسی و پاسخگویی اولیه به گزارش ها، بین ۷ تا ۱۴ روز کاری پس از دریافت گزارش انجام خواهد شد.
سیاست افشای عمومی
ممنوعیت انتشار عمومی: انتشار هرگونه گزارش آسیب پذیری یا جزئیات آن در فضای عمومی، وبلاگ ها یا شبکه های اجتماعی، تنها با تایید کتبی و رسمی طلاین امکان پذیر است.
آسیبپذیریهای خارج از محدوده
- Self XSS
- Internal open redirect
- Brute Forcing accounts
- DOS/DDOS attacks
- Vulnerabilities related to rate limit are considered outside the scope of bug bounty until they lead to a vulnerability with a higher degree of importance.
- Social engineering attacks
- Physical attacks or exploits
- Vulnerabilities on third-party websites or applications
- Vulnerabilities already reported by others
- Vulnerabilities requiring physical access to devices
- Spam or phishing vulnerabilities
- Issues related to outdated or unsupported browsers/clients
- Email spoofing
- lack of security headers
- Issues related to insecure SSL/TLS cipher suites or protocols
- SSRF (DNS Query Only)
- Open Redirect (POST-Based)
- Captcha brute force & OCR Captcha By-Pass
آدرس و IP های خارج از محدوده
SHA256 of Address/IP
402bbd0f0ebc2718f1b4ce962a23a608518258b6cd83e2a6a2a67161ccb2ccf6
c44153d272bd5759fa937db9922480bfd58c9eb3c1ebdb5fd862a7ab18d0feaa
03dd6dadbc17074a759783eae885309912b499fff39b9d4b7ab94dd772807e93
8cad095c5dd7dfb06c45de5207fda701e165b03f5aae9aabc352389ed99afb71
a2a1e7f548a2d0cc2d616a9791b0460e0e806c33231f198e52620d0f71b33bb7
e97d80cf1113e8b317fed93ec8074b255e4c37e465452010e66ef2934328a757
e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
ویژگی گزارشها
- لطفاً گزارش آسیبپذیری را با تمام جزئیات لازم تهیه کرده تا تیم امنیت بتواند به سرعت آن را آزمایش و بررسی کند.
- برای کمک به سرعت و دقت بررسی، ارسال ویدیو همراه با گزارش متنی بسیار موثر است.
- در ابتدای ویدیوی خود ابتدا وبسایت time.ir را باز کرده و با انجام دستور Refresh زمان دقیق انجام کار خود را نمایش دهید. سپس آدرس IP خود را از طریق api.ipify.org نشان دهید.
- در گزارش متنی، آسیبپذیری را بهطور مرحله به مرحله شرح دهید. اگر از ابزار یا پیلود خاصی برای شناسایی آسیبپذیری استفاده کردهاید، حتماً در گزارش به آن اشاره کنید.
- برای تسهیل در داوری و بررسی، هر آسیبپذیری را در یک گزارش مجزا ارسال کنید.
گزارشها را به ایمیل security@taline.ir ارسال کنید
کپی آدرس ایمیل
شکارچیان برتر
170.000.000 ت
سطح بحرانی تا 80
170.000.000 ت
سطح بحرانی تا 80
170.000.000 ت
سطح بحرانی تا 80
170.000.000 ت
سطح بحرانی تا 80
170.000.000 ت
سطح بحرانی تا 80
170.000.000 ت
سطح بحرانی تا 80
170.000.000 ت
سطح بحرانی تا 80
170.000.000 ت
سطح بحرانی تا 80