پرش به محتوای اصلی

1 پست با برچسب "افشای آسیب‌پذیری"

مشاهده همه برچسب‌ها

معرفی برنامه پاداش توسعه‌دهندگان Beancount

· 4 دقیقه مطالعه
Mike Thrift
Mike Thrift
Marketing Manager

Beancount.io با هیجان، برنامه پاداش جدید برای توسعه‌دهندگان در جامعه خود را اعلام می‌کند! برنامه جایزه کشف باگ امنیتی، پیشنهادی باز به افراد خارجی است تا در ازای گزارش باگ‌های beancount.io و Beancount mobile متن‌باز که مربوط به امنیت عملکرد اصلی هستند، غرامت دریافت کنند.

هیچ فناوری‌ای کامل نیست، و ما معتقدیم که همکاری با توسعه‌دهندگان، مهندسان و متخصصان فناوری در سراسر جهان برای شناسایی نقاط ضعف در پروژه ما در حین ساخت، حیاتی است. اگر فکر می‌کنید مشکلی امنیتی در محصول یا خدمات ما پیدا کرده‌اید، شما را تشویق می‌کنیم که به ما اطلاع دهید. ما از همکاری با شما برای حل سریع مشکل استقبال می‌کنیم.

دوره کمپین

2020-10-13-security-bug-bounty

از ۱۵ اکتبر ۲۰۲۰ ساعت ۱۷:۰۰ به وقت PST تا ۳۰ نوامبر ۲۰۲۰ ساعت ۱۷:۰۰ به وقت PST

دامنه

اجزای زیر از Beancount در مرحله ۱ کمپین جایزه کشف باگ گنجانده شده‌اند:

۱. beancount.io/ledger : مدیر مالی شخصی شما. ۲. Beancount mobile متن‌باز

مراحل شرکت و گزارش باگ‌ها

  • اگر با اطلاعات قابل شناسایی شخصی (PII) و داده‌های دقیق دفتر کل مرتبط نیست. اطلاعات مربوط به باگ‌ها را از طریق درخواست GitHub ISSUE در https://github.com/puncsky/beancount-mobile/issues/ ارائه دهید:
    • Asset (دارایی). مخزنی که باگ به آن مربوط است را انتخاب کرده و یک «New Issue» (مسئله جدید) در آن ایجاد کنید.
    • Severity (شدت). سطح آسیب‌پذیری را مطابق با «آسیب‌پذیری‌های واجد شرایط» انتخاب کنید.
    • Summary (خلاصه) — خلاصه‌ای از باگ را اضافه کنید.
    • Description (توضیحات) — هر گونه جزئیات اضافی در مورد این باگ.
    • Steps (مراحل) — مراحل بازتولید.
    • Supporting Material/References (مواد پشتیبانی/منابع) — کد منبع برای بازتولید، هر گونه مواد اضافی (مانند اسکرین‌شات‌ها، لاگ‌ها و غیره) را لیست کنید.
    • Impact (تأثیر) — باگ یافت شده چه تأثیری دارد، یک مهاجم چه چیزی می‌تواند به دست آورد؟
    • نام، کشور و شناسه تلگرام شما برای تماس.
  • اگر با PII و داده‌های دقیق دفتر کل مرتبط است، با puncsky در تلگرام تماس بگیرید و اطلاعات فوق را ارسال کنید.
  • تیم Beancount.io تمام باگ‌ها را بررسی کرده و در اسرع وقت از طریق نظرات در صفحه مربوط به باگ خاص یا به صورت حضوری از طریق تلگرام در صورت ارتباط با PII و داده‌های دقیق دفتر کل، بازخورد لازم را به شما ارائه خواهد داد.
  • توزیع پاداش‌ها به صورت هدیه فیزیکی، کارت هدیه یا معادل USDT پس از اتمام کمپین در حدود تاریخ ۰۱ دسامبر ۲۰۲۰ به وقت PST انجام خواهد شد.

آسیب‌پذیری‌های واجد شرایط

برای واجد شرایط بودن دریافت جایزه، باگ امنیتی باید اصیل و قبلاً گزارش نشده باشد.

فقط مسائل طراحی یا پیاده‌سازی زیر که به طور قابل توجهی بر پایداری یا امنیت Beancount.io تأثیر می‌گذارند، واجد شرایط دریافت پاداش هستند. نمونه‌های رایج عبارتند از:

  • نشت PII و داده‌های دفتر کل در حالی که دستگاه میزبان به خطر نیفتاده است.
  • یک اقدام خاص که باعث تعلیق یا از کار افتادن کل وب‌سایت یا اپلیکیشن موبایل شود.
  • تأثیرگذاری یک کاربر بر کاربر دیگر بدون اعطای دسترسی قبلی.

برای سناریوهایی که در یکی از دسته‌های فوق قرار نمی‌گیرند، ما همچنان از گزارش‌هایی که به ما در تأمین امنیت زیرساخت‌ها و کاربرانمان کمک می‌کنند، قدردانی می‌کنیم و به این گزارش‌ها به صورت موردی پاداش می‌دهیم.

آسیب‌پذیری‌های خارج از دامنه

هنگام گزارش آسیب‌پذیری‌ها، لطفاً سناریوی حمله، قابلیت بهره‌برداری و تأثیر امنیتی باگ را در نظر بگیرید. مسائل زیر خارج از دامنه در نظر گرفته می‌شوند، و ما هیچ یک از انواع حملات زیر را نخواهیم پذیرفت:

  • حملات محروم‌سازی از سرویس (Denial of Service attacks)
  • حملات فیشینگ (Phishing attacks)
  • حملات مهندسی اجتماعی (Social Engineering attacks)
  • دانلود فایل بازتابی (Reflected file download)
  • افشای نسخه نرم‌افزار
  • مسائلی که نیاز به دسترسی فیزیکی مستقیم دارند.
  • مسائلی که نیاز به تعامل کاربر بسیار بعید دارند.
  • نقص‌هایی که مرورگرها و افزونه‌های قدیمی را تحت تأثیر قرار می‌دهند.
  • پنل‌های ورود به سیستم قابل دسترسی عمومی.
  • تزریق CSV (CSV injection)
  • شمارش ایمیل / اوراکل‌های حساب کاربری (Email enumeration / account oracles)
  • ضعف‌های CSP (CSP Weaknesses)
  • جعل ایمیل (Email Spoofing)
  • تکنیک‌هایی که به شما امکان مشاهده عکس‌های پروفایل کاربر را می‌دهند (این‌ها عمومی تلقی می‌شوند).

پاداش‌ها

جایزه برای حیاتی‌ترین باگی که PII و داده‌های دفتر کل را افشا می‌کند، یک AirPods Pro (در ایالات متحده) یا معادل USDT است.

جایزه برای یک باگ امنیتی، یک کارت هدیه ۲۰ دلاری آمازون یا معادل USDT است.

ما یک تیم کوچک با بودجه محدود هستیم و تنها می‌توانیم توزیع کنیم:

  • ۱ عدد AirPods Pro برای همه.
  • ۱۰ پاداش ۲۰ دلاری در هر ماه، تا ۳ ماه. اگر تعداد موارد واقعی در آن ماه از این مقدار فراتر رود، پاداش باقیمانده را در ماه بعد ارسال خواهیم کرد. (۶۰۰ دلار در مجموع برای این کمپین)

سوالی دارید؟

از ما در https://t.me/beancount بپرسید.

درباره Beancount.io

Beancount.io یک سیستم حسابداری دوبل (دو طرفه) قدرتمند و متن‌باز است که مورد اعتماد متخصصان مالی، توسعه‌دهندگان و علاقه‌مندان به امور مالی شخصی است. Beancount که برای وضوح، توسعه‌پذیری و دقت طراحی شده است، به کاربران کمک می‌کند تا داده‌های مالی پیچیده را با حسابداری مبتنی بر متن ساده، اعتبارسنجی قوی و یکپارچه‌سازی‌های بی‌نقص مدیریت کنند. از زمان آغاز به کار، این سیستم به کاربران این امکان را داده است که کنترل کامل بر امور مالی خود را به دست آورند، گزارش‌دهی را خودکار کنند و سوابق شفاف و قابل حسابرسی را حفظ کنند — که آن را به گزینه‌ای محبوب در میان کسانی تبدیل کرده است که برای سادگی بدون مصالحه ارزش قائل هستند.

لوگوی Beancount.io