استارت آپ امنیت سایبری SquareX که توسط Vivek Ramachandran تاسیس و مدیریت میشه، یه برنامه باگ بانتی برای ،مرورگر مبتنی بر ابرشون ، به مدت 6 هفته ، داره برگزار میکنه.
این استارت آپ یه محصولی داره بنام مرورگر های یکبار مصرف (disposable browsers) که در containerهای موقت ارائه میشه و کاربران رو موقع بررسی ایمیل ، پخش محتوا ، ایجاد اسناد و دسترسی به اکانتهای بانکیشون در برابر تهدیدات محافظت میکنه. هدفشون هم از ارائه این محصول ارائه کنترل ، آزادی و امنیت برای کاربران هستش تا وبگردی بدون ترسی رو داشته باشن.
SquareX که در سنگاپور هستش، محصولش بصورت بتا در اختیار تعداد محدودی از کاربران قرار داده و میخواد قبل از انتشار رسمی ، آسیب پذیری ها و باگ های اون رو شناسایی و رفع کنه.
این شرکت گفته که برخلاف شرکت های امنیتی سنتی که محصولشون رو ارائه میدن و بعد باگ هاشون رو رفع میکنن، ما میخواییم قبل از ارائه محصولمون اونو در اختیار هکرهای اخلاقی و محققین امنیتی قرار بدیم تا آسیب پذیری های امنیتی بالقوه رو کشف و گزارش کنن.
برنامه باگ بانتیشون هم از 15 ژوئن تا 27 جولای، 25 خرداد تا 5 مرداد برگزار میشه.
در مجموع قراره 25 هزار دلار در این برنامه به محققین بانتی داده بشه که برای آسیب پذیری های بحرانی 2000 دلار ، شدت بالا 1000 دلار ، متوسط 500 دلار و شدت پایین 100 دلار در نظر گرفتن.
دامنه این برنامه باگ بانتی بصورت زیر هستش :
- دامنه و زیردامنه های سایت malware.rip
- دامنه و زیردامنه های سایت malwareriplabs.com
- Disposable File Viewer که توسط Malware.rip اجرا میشه . آسیب پذیری هایی که برای این منظور مورد قبول هستش :
- دور زدن Container و رسیدن به میزبان
- دسترسی به اینترنت داخل Container
- دور زدن Multitenancy مانند مشاهده جلسات کاربران دیگه
- حمله به Kubernetes
- افزایش طول عمر Container
مواردی که در دامنه برنامه نیستن :
- مشکلات مربوط به ایمیل و DNS
- حملات DOS
- کرش کردن container
- نشت پیکربندی Firebase
- Server Error Messages ( مگه اینکه منجر به نشت اطلاعات حساس بشه)
- دور زدن محدودیت های فایل
- مشکلات CORS
- مشکلات مربوط به کوکی و هدر
- باگهایی که پیامد امنیتی ندارن
- دامنه و زیردامنه های sqrx.com
- مسائل مرتبط با Google Analytics (هرگونه تعامل با
malware.rip/track/*)
موارد ارسالی :
گزارش باید شامل موارد زیر باشه :
- جزییات آسیب پذیری:
- آدرس نقطه پایانی آسیب پذیر مانند
https://malware.rip/display/
- آدرس نقطه پایانی آسیب پذیر مانند
- توضیحات :
- آسیب پذیری و تاثیر اون رو توضیح بدید
- مراحلی که منجر به ایجاد مشکل میشه رو ارائه بدید
- POC ( هر چیزی که بهشون در درک آسیب پذیری کمک کنه)
- پیوست:
- ویدیو ضبط شده از مراحل کارتون
- اطلاعات مالی:
- جزییات حساب پی پالتون. همچنین در صورت درخواست باید کارت شناسایی دولتی یا مستندات هویتیتون رو هم ارائه بدید.
گزارشهاتون رو با توجه به موارد بالا به ایمیل security@sqrx.com با قالب موضوعی "[Severity] Vulnerability - Malware.rip" ارسال کنید. مثلا برای یه آسیب پذیری بحرانی بصورت زیر :
|
1 |
[Critical] Vulnerability - Malware.rip |
طبق روال برای افرادی که داخل ایران هستن، به دلیل تحریم ها، گزارش هاشون مورد قبول نیست .
زمان پاسخگویی به گزارش ها :
- زمان پاسخ اولیه : ظرف 2 روز کاری از ارسال گزارش
- زمان تریاژ : ظرف 5 روز کاری از ارسال گزارش
- زمان پرداخت : ظرف 10 روز کاری از زمانیکه گزارش بعنوان آسیب پذیری تایید شده و هانتر اطلاعات کافی و سوالات رو در اسرع وقت جواب داده باشه.
در نهایت برای بدست آوردن جزییات بیشتر در خصوص برنامه، به سایتشون مراجعه کنید.