باگ بانتی | اکس اونیکس

باگ بانتی اکس ‌اونیکس

در اکس‌اونیکس، امنیت اولویت ماست. با شرکت در برنامه باگ بانتی، آسیب‌پذیری‌ها را گزارش دهید و پاداش دریافت کنید.

آسیب‌پذیری‌های مورد تایید

تنها گزارش‌هایی برای ما قابل پذیرش است که در محدوده زیر باشند و تأثیر قابل توجهی بر امنیت پلتفرم داشته باشند:

Server-Side Issues

Local File Inclusion (LFI)
Server-Side Request Forgery (SSRF) with impact (e.g., file access)
External SSRF leading to sensitive exposure
Source code disclosure

Injection & Code Execution

Injection attacks leading to privilege escalation on system accounts
Arbitrary code or command execution on critical servers
Reflected XSS
Stored XSS (from low-privileged to high-privileged users)
CRLF injection

Account & Wallet Security

Unauthorized access to hot/cold wallets Bulk compromise of user accounts
Bulk compromise of user accounts

Authentication & Authorization

Authentication bypass
Authorization bypass
Vertical privilege escalation
Horizontal privilege escalation
Insecure Direct Object Reference (IDOR)
Weaknesses in OAuth flows or misconfigurations
Account takeover requiring user interaction
Large-scale user enumeration

Redirects & Client-Side Weaknesses

Open redirect (GET-based with demonstrated impact)

Information Disclosure

Exposure of sensitive data through error messages
Leaks of confidential information in logs or responses

Service Abuse & Availability

SMS bombing or similar attacks, only when they directly impact business operations or user security

Business Logic Vulnerabilities

Manipulating deposit validation processes to credit accounts fraudulently
Abuse of transactional workflows for financial gain

Server-Side Issues

Local File Inclusion (LFI)
Server-Side Request Forgery (SSRF) with impact (e.g., file access)
External SSRF leading to sensitive exposure
Source code disclosure

Injection & Code Execution

Injection attacks leading to privilege escalation on system accounts
Arbitrary code or command execution on critical servers
Reflected XSS
Stored XSS (from low-privileged to high-privileged users)
CRLF injection

Account & Wallet Security

Unauthorized access to hot/cold wallets Bulk compromise of user accounts
Bulk compromise of user accounts

Authentication & Authorization

Authentication bypass
Authorization bypass
Vertical privilege escalation
Horizontal privilege escalation
Insecure Direct Object Reference (IDOR)
Weaknesses in OAuth flows or misconfigurations
Account takeover requiring user interaction
Large-scale user enumeration

Redirects & Client-Side Weaknesses

Open redirect (GET-based with demonstrated impact)

Information Disclosure

Exposure of sensitive data through error messages
Leaks of confidential information in logs or responses

Service Abuse & Availability

SMS bombing or similar attacks, only when they directly impact business operations or user security

Business Logic Vulnerabilities

Manipulating deposit validation processes to credit accounts fraudulently
Abuse of transactional workflows for financial gain

آسیب‌پذیری‌های خارج از محدوده

گزارش‌های زیر در محدوده برنامه باگ بانتی قرار نمی‌گیرند:

Self-XSS (requires the user to attack themselves in their own browser)
Internal open redirects
Brute-force attacks on accounts
DoS or DDoS attacks (network or application layer)
Rate limiting / throttling issues, unless they clearly lead to a higher-impact vulnerability
Social engineering attacks
Physical attacks or exploits
Vulnerabilities on third-party websites or applications

Self-XSS (requires the user to attack themselves in their own browser)
Internal open redirects
Brute-force attacks on accounts

قوانین مربوط به باگ بانتی

پیش از ارسال گزارش، حتما این موارد را بخوانید:

گزارش باید به صورت اختصاصی برای اکس‌اونیکس تهیه شده باشد و قبلاً از طریق دیگری منتشر نشده باشد.
در صورت ارسال گزارش‌های تکراری، تنها به اولین گزارش‌دهنده پاداش داده می‌شود.
تست‌ها نباید باعث اختلال در سرویس‌های اکس‌اونیکس یا آسیب به داده‌های کاربران شوند.
سوءاستفاده از آسیب‌پذیری قبل و بعد از گزارش، ممنوع است.
پاداش‌ها بر اساس شدت، اثرگذاری و کیفیت گزارش تعیین می‌شوند.
تیم داوری اکس‌اونیکس حق تصمیم‌گیری نهایی درباره پذیرش یا رد گزارش را دارد.

گزارش باید به صورت اختصاصی برای اکس‌اونیکس تهیه شده باشد و قبلاً از طریق دیگری منتشر نشده باشد.
در صورت ارسال گزارش‌های تکراری، تنها به اولین گزارش‌دهنده پاداش داده می‌شود.

پاداش ها

پاداش‌ها متناسب با سطح اهمیت آسیب‌پذیری و کیفیت گزارش شما تعیین می‌شوند:

۳٬۰۰۰٬۰۰۰

سطح پایین

۱۲٬۰۰۰٬۰۰۰

سطح متوسط

۷۰٬۰۰۰٬۰۰۰

سطح بالا

۳۵۰٬۰۰۰٬۰۰۰

سطح بحرانی

۵۰۰٬۰۰۰٬۰۰۰

سطح حیاتی

۳٬۰۰۰٬۰۰۰

سطح پایین

۱۲٬۰۰۰٬۰۰۰

سطح متوسط

۷۰٬۰۰۰٬۰۰۰

سطح بالا

۳۵۰٬۰۰۰٬۰۰۰

سطح بحرانی

۵۰۰٬۰۰۰٬۰۰۰

سطح حیاتی

تا ۳٬۰۰۰٬۰۰۰ تومان

سطح پایین آسیب پذیری

Redirects & Client-Side Weaknesses Open Redirect (GET-based)
Server-Side Issues SSRF (External)
Information Disclosure Error-based information leaks
Service Abuse & Availability SMS Bomber (only when impactful)
Injection & Code Execution CRLF Injection

قالب گزارشات باگ بانتی

نحوه ارسال گزارشات مربوط به شناسایی باگ

گزارش متنی

گزارش متنی باید شامل شرح کامل آسیب‌پذیری، مراحل بازتولید، ابزارها و پیلودهای مورد استفاده باشد. همچنین بهتر است توضیح دهید که این آسیب‌پذیری چه تاثیری بر سیستم می‌گذارد و سطح ریسک آن در چه حدی است.

گزارش ویدیویی

اگر در کنار گزارش متنی، یک ویدیو از مراحل کشف یا اجرای آسیب‌پذیری ارسال کنید، تیم داوری می‌تواند با سرعت و دقت بیشتری مسئله را بررسی کند.

محتوای گزارش

هر آسیب‌پذیری باید در یک گزارش جداگانه ثبت شود تا ارزیابی دقیق‌تر انجام گیرد. همچنین اعلام نسخه مرورگر، سیستم‌عامل و هرگونه تنظیمات خاصی که در محیط تست وجود داشته است بسیار مهم است؛ چراکه برخی باگ‌ها ممکن است تنها در شرایط خاص قابل بازتولید باشند.