برنامه باگ بانتی Hex Rays

زمان مطالعه: 2 دقیقه

شرکت Hex Rays توسعه دهنده IDA ، یه برنامه باگ بانتی برای گزارش آسیب پذیری های موجود در IDA و Decompiler برگزار میکنه.

هدف از این برنامه هم، ایمن تر کردن ابزارهاشون و پاداش به کسانی که در این مسیر کمکشون میکنن ، هستش.

دستورالعملهایی که برای این برنامه ذکر کردن :

• برای آسیب پذیری های خاص 3000 دلار بانتی میدن.
• همه دارندگان لایسنس IDA و Decompiler ، بدون در نظر گرفتن اینکه لایسنسشون شامل پشتیبانی هست یا نه، میتونن در این برنامه شرکت کنن، به غیر از کارمندان شرکت و خانواده هاشون
• آسیب پذیری های زیر در این برنامه مورد قبول هستن:
  • فقط آسیب پذیری هایی که در محصولات Hex-Rays که شامل IDA  و Decompiler هست، واجد شرایط هستن.
  • آسیب پذیری ها باید در کدهای محصولات Hex-Rays باشه و آسیب پذیری هایی که در کدهای مشارکتی یا شخص ثالث هستن مورد قبول نیست. البته در مواردی ممکنه آسیب پذیری های شخص ثالث رو هم به قبول کنن.
  • گزارشات باید تکراری نباشن و هنوز هم رفع نشده باشن. منظور مثلا رو نسخه های قدیمی نباشه.
  • آسیب پذیری هایی که شدت بالا و بحرانی هستن مانند اجرای کد از راه دور ، افزایش امتیاز و … ، واجد شرایط هستن.
  • آسیب پذیری ها باید در آخرین نسخه IDA/Decompiler موجود باشن.
  • آسیب پذیری باید روی یه نسخه بدون دستکاری شده IDA/Decompiler ، که همه اصلاحیه ها هم روشون نصب شده، گزارش بشن.
  • در برخی موارد ممکنه آسیب پذیری هایی رو قبول کنن که نیاز به تغییر تنظیمات پیش فرض باشه. البته گفتن هر تغییری مانند binary patching یا دستکاری رجیستری و … ، هم مورد قبول نیست.
  • آسیب پذیری ها یا بدون تعامل کاربر اتفاق بیافته، یا اگه نیاز به تعامل کاربر داشت، طوری باشه که در حین یه کار طبیعی اتفاق بیافته.
• آسیب پذیری های زیر واجد شرایط نیستن :
  • آسیب پذیری های مرتبط با سایتشون مورد قبول نیست
  • آسیب پذیری هایی که در جریان اجرای کد خارجی مانند اجرای یه اسکریپت باشه.
  • Anti-debugging و مباحث مرتبط با اون
  • باگ هایی که ممکنه منجر به کرش یا DoS بشه. البته گفتن که ما همچنان علاقمند به دریافت این گزارشات هم هستیم.
• چطوری آسیب پذیری رو گزارش کنیم و بانتی بگیریم:
  • گزارشات به آدرس ایمیل bugbounty@hex-rays.com ارسال کنید. گزارشها هم باید شامل PoC و توضیحات مختصری در خصوص آسیب پذیری و شدت اون باشه.
  • اگه آسیب پذیری مورد تایید قرار گرفت و شامل بانتی شد، ظرف 30 روز باید اطلاعات شناسایی قانونی و اطلاعات حساب بانکی رو بدید تا مبلغ واریز بشه.
  • بصورت گروهی هم میتونید شرکت کنید، فقط مبلغ به یه نفر که همه تاییدش کردن داده میشه.
  • همچنین گفته شده، اگه هانتر اقدامی انجام بده که کاربران نهایی Hex-Rays رو به خطر بندازه، میتونن بانتی رو پرداخت نکنن. مثلا ممکنه همچنان که آسیب پذیری وجود داره، اونو بصورت عمومی افشاء کنید.
• زمان برنامه :
  • تا زمانی که برنامه توسط شرکت بسته نشه، امکان شرکت داخلش هستش.

 

 

برنامه باگ بانتیشون از سال 2011 فعال بوده و 30 تا گزارش رو تایید کردن که آخریش مربوط به 27 فوریه 2023 ، 8 اسفند 1401 هستش که توسط Q1ngH3, afang5472, P1umer گزارش شده . آسیب پذیری از نوع OOB reads در type info deserialization هستش و نسخه آسیب پذیر هم نسخه های قبل IDA 8.2 بوده. لیست کامل رو میتونید از اینجا ببینید.

 

 

منبع