برنامه باگ‌‌‌بانتی TOBANK

توبانک با هدف شناسایی و رفع آسیب‌پذیری‌های احتمالی خود و ارائه هر چه بهتر خدمات در بستری امن، برنامه «باگ بانتی» را اجرا می‌کند. برای ارسال گزارش خود از طریق لینک Info@tobank.ir اقدام فرمایید. شرایط و مقررات مربوط به شرح زیر است:
مقررات برنامه باگ‌بانتی
۱ـ گزارش آسیب‌پذیری‌ باید شامل کد اکسپلویت و یا سناریوی حمله مشخص باشد و گزارش‌های فاقد این اطلاعات ارزیابی نخواهد شد.
۲ـ بارگذاری مستندهای آسیب‌پذیری‌ها در سایت‌های اشتراکی، شبکه‌های اجتماعی و غیره، فقط با هماهنگی و تاییدیه کتبی توبانک امکان‌پذیر خواهد بود.
۳ـ دریافت پاداش به معنی مجوز جهت افشای گزارش نمی‌باشد و هرگونه افشای گزارش فقط با هماهنگی و تاییدیه کتبی توبانک امکان‌پذیر خواهد بود.
۴ـ هیچ‌یک از موازین قانونی کشور نقض نشده باشد.
۵ـ به حریم شخصی افراد و کاربران احترام گذاشته شود و هیچگونه تعاملی با حساب کاربری افراد، بدون رضایت آن‌ها انجام ندهید. برای ارزیابی عملکرد آسیب‌پذیری‌های مربوط به حساب کاربری، باید از حساب کاربری شخصی خود استفاده کنید.
۶ـ در هر گزارش فقط یک آسیب‌پذیری ارائه شود.
۷ـ همه شواهد باید فقط در گزارش ارسالی گنجانده شود و هیچ بخشی از آن نباید در سرور دیگری بارگذاری شود.
۸ـ از آدرسIP مشخصی برای بررسی و ارزیابی استفاده کنید و IP آدرس مذکور را در گزارش اعلام کنید.
۹ـ شرح آسیب‌‌پذیری به صورت کامل به همراه شدت و خطرات احتمالی توضیح داده شود.
۱۰ـ اطلاعات محرمانه نباید افشا شود و لازم است پس تایید گزارش از نگهداری آن‌ها اجتناب کنید.
۱۱ـ تمام فعالیت‌ها و دسترسی‌ها می‌بایست در گزارش قید شود.
۱۲ـ مراحل باز‌ تولید آسیب‌پذیری بطور کامل شرح داده شود.
۱۳ـ مستندات لازم جهت دسترسی و استفاده از آسیب‌پذیری به همراه ابزارهای لازم به طور کامل بارگذاری شود.
۱۴ـ لازم است هرگونه تنظیمات خاصِ مورد نیاز برای بازسازی حمله، ارائه شود.
۱۵ـ به هیچ عنوان بهره‌برداری و سوءاستفاده از مشکلات امنیتی یافت شده، قابل قبول نبوده و قابل پیگیری می‌باشد.
۱۶ـ به هیچ عنوان از اطلاعات افشاء شده در یک آسیب‌‌پذیری، برای نفوذ به سایر سیستم‌ها استفاده نشود.
۱۷ـ از انجام عملیاتی و آزمونی، که اختلال در فرآیند‌ها و عملکرد سامانه‌های توبانک دارد اجتناب کنید.
۱۸ـ لطفاً در ساعات شلوغ شبانه روز، از ابزارهای سنگین و روش‌هایی که ترافیک زیادی روی شبکه ایجاد می‌کنند، استفاده نکنید.
۱۹ـ آسیب‌‌پذیری‌های گزارش شده می‌بایست تاثیر مشخصی بر کاربران، سامانه‌ها یا داده‌های مجموعه توبانک داشته باشد.
۲۰ـ ثبت گزارش آسیب‌‌پذیری به معنای مطالعه و پذیرش قوانین می‌باشد.
قلمرو آزمون
اپلیکیشن موبایل Android و iOS توبانک + کلیه وب‌سرویس‌های پشتی
شرایط پرداختی
پس از اعلام آسیب‌‌پذیری، آسیب‌‌پذیری توسط تیم توبانک ارزیابی شده و پس از انجام مراحل ابتدایی برای رفع آسیب‌پذیری، مبلغ جایزه پرداخت خواهد شد.
لازم به ذکر است که منظور از اعلام آسیب‌‌پذیری یعنی گزارش ارسالی کامل و بدون هیچ کاستی باشد.
امتیاز و مبلغ نهایی بر اساس شدت تاثیرگذاری و بر اساس CVSS3 محاسبه خواهد شد.
حداقل پرداخت به ازای گزارش‌های آسیب‌‌پذیری شامل پاداش، صفر تومان می‌باشد.
 حداکثر پرداخت به ازای گزارش‌های آسیب‌‌پذیری شامل پاداش، مبلغ۵۰۰,۰۰۰,۰۰۰ ریال (معادل پنجاه میلیون تومان) 1,000,000,000 ریال (معادل صد میلیون تومان)

  • برای آسیب‌‌پذیری سطح حیاتی تا ۵۰ میلیون تومان  100 میلیون تومان 
  • برای آسیب‌‌پذیری سطح خطرناک تا ۲۰ میلیون تومان
  • برای آسیب‌‌پذیری سطح متوسط تا ۵ میلیون تومان
  • برای آسیب‌‌پذیری سطح پایین 0
آسیب‌‌پذیری‌های غیرقابل قبول
  • هر نوع گزارش بدون داشتن اکسپلویت و سناریو.
  • آسیب‌‌پذیری‌های MITM.
  • آسیب‌‌پذیری‌هایی که قبلاً توسط سایر متخصصین گزارش شده باشد.
  • آسیب‌‌پذیری‌هایی که از نظر Root Cause (ریشه یکسان) با باگ‌های گزارش شده باگ‌بانتی قبلی یکسان باشند.
  • آسیب‌‌پذیری‌هایی که به ۳ مرحله یا بیشتر نیاز به تعامل با کاربر داشته باشند.
  • صفحات ادمین قابل دسترس بدون نفوذ.
  • حملات مهندسی اجتماعی و Phishing.
  • حملات از كاراندازی سرویس (DoS/DDoS).
  • آسیب‌پذیری‌هایی که در دامنه‌ها و آدرس‌های IP غیر از محدوده‌ مجاز هدف باشد.
  • گزارش‌های ارائه شده توسط اسکنر‌ها و سایر ابزار‌های اتوماتیک، بدون ارائه اکسپلویت.
  • آسیب‌پذیری‌های مربوط به نشت اطلاعات سرور و پیکربندی نادرست آن، مانند نسخه و نوع وب سرور.
  • آسیب‌پذیری‌های مربوط به SSL و Best Practiceهای مربوط به آن.
  • آسیب‌پذیری‌های مربوط به مرورگرهای قدیمی.
  • آسیب‌پذیری‌های مربوط به حملات فیزیکی.
  • آسیب‌پذیری‌های Content Spoofing.
  • آسیب‌‌پذیری SSRF بدون اکسپلویت و یا با داشتن صرفا DNS Query.
  • آسیب‌پذیری‌های Clickjacking در صورتی که در صفحات حساس نباشد.
  • آسیب‌پذیری‌های self*.
  • حملات Brute Force به غیر از موارد مربوط به Captcha، شناسایی کدهای OTP، پارامترهایی که بر اساس الگو (pattern) مانند datetime , id می‌باشند.
  • تمامی آسیب‌پذیری‌های مربوط به وردپرس.
  • موارد مربوط به رکوردهای DNS مرتبط با Email و نامه‌نگاری الکترونیکی جعلی (E-mail spoofing).
  • گزارش پایین بودن ورژن کتابخانه‌ها و نرم‌افزار‌های به‌کار برده شده.
  • بررسی هدرها و header injection و پروتکل http و پارامتر‌های آن.
  • موارد Option Index اگر به داده حساس نرسد.
  • تمامی موارد مرتبط با به دست آوردن نام‌های کاربری با استفاده از (account/e-mail/phone enumeration).
  • آسیب‌پذیری‌های CSRF مربوط به logout.
  • تمامی آسیب‌پذیری‌های مربوط به Email validation not enforced.
  • تمامی آسیب‌پذیری‌های مربوط به Cookie valid after password change/reset یا session fixation.
  • تمامی آسیب‌پذیری‌های مربوط به Domain authentication.
  • آسیب‌پذیری CORS misconfiguration بدون اکسپلویت.
  • پیداکردن IPهای پشت CDN بدون داشتن سناریو و اکسپلویت برای حمله‌ای تاثیرگذار یا اینکه در بخش قابل قبول نیامده باشد.
  • آسیب‌پذیری Information Disclosure بدون داشتن سناریویی برای بهره‌برداری و اکسپلویت.
  • آسیب‌پذیری Crossdomain.xml.
  • آسیب‌پذیری تزریق csv.
  • آسیب‌پذیری‌هایی که تاثیر آن، تنها بر سمت دستگاه کاربر (Client) باشد. (نرم‌افزار اندروید)
  • آسیب‌پذیری‌هایی که مهندسی معکوس، دیکامپایل و موارد مشابه باشد. (نرم‌افزار اندروید)
  • آسیب‌پذیری‌هایی که نیاز به دسترسی فیزیکی به دستگاه‌های اندرویدی دارد و یا آسیب‌پذیری که خطری کاربران را تهدید نمی‌کند. (نرم‌افزار اندروید)
  • سناریوهایی که پس از انجام فرآیند سیستمی به صورت انسانی عملیاتی انجام می‌شود که همراه با بررسی داده‌ها است. (توسط ادمین، مدیر کمپین، واحد مالی و غیره)