برنامهی باگ بانتی گلدیکا
تیم گلدیکا از تمامی متخصصان و علاقهمندان این حوزه دعوت میکند تا در برنامه بررسی و ارزیابی امنیت گلدیکا مشارکت کنند.
اگر در زمینه شناسایی آسیبپذیریها و بهبود امنیت سامانههای آنلاین تجربه یا علاقهمندی دارید، این فرصت را از دست ندهید.
در صورت مشاهده هرگونه نقص یا آسیبپذیری، میتوانید آن را از طریق همین صفحه گزارش دهید. پس از بررسی و تایید گزارش توسط تیم گلدیکا، از شما به صورت شایسته قدردانی خواهد شد.
جوایز
مراحل شرکت در باگ بانتی
قوانین و مقررات
دامنه این برنامه صرفاً به goldika.ir محدود است و گزارشهای خارج از این دامنه بررسی نخواهند شد.
هرگونه افشای نقص یا آسیبپذیری بدون هماهنگی و رضایت رسمی گلدیکا ممنوع بوده و میتواند پیگرد قانونی داشته باشد.
گزارش یک نقص مشابه—even در صورت مشاهده در چند صفحه متفاوت—تنها مشمول یک پاداش خواهد بود.
گزارشها باید قابلیت بهرهبرداری داشته باشند و نحوه سوءاستفاده بهصورت POC ارائه شود؛ در غیر این صورت مشمول پاداش نخواهند شد.
فرآیند بررسی و پاسخگویی به گزارشها از طریق ایمیل و در بازه ۷ تا ۱۴ روز کاری انجام میشود.
کارکنان و اعضای داخلی گلدیکا مجاز به مشارکت یا دریافت پاداش در این برنامه نیستند.
باگهای خارج از محدوده
حملات مهندسی اجتماعی (Social Engineering) و هرگونه حملهای که نیازمند تعامل یا فریب کاربران باشد.
حملات Brute Force، Credential Stuffing و تلاش برای حدس رمز عبور یا کدهای احراز هویت.
حملات DoS / DDoS و هرگونه ارسال انبوه درخواست که منجر به اختلال یا ازکارافتادن سرویس شود.
گزارشهای مرتبط با User Enumeration بدون اثبات تأثیر امنیتی قابل سوءاستفاده.
مشکلات مرتبط با CORS، CSRF، Secure HTTP Headers، Secure Cookie Flags و سایر Best Practiceها، در صورتی که بدون اکسپلویت عملی و تأثیر امنیتی باشند.
گزارشهای تولیدشده توسط ابزارهای اسکن خودکار آسیبپذیری بدون ارائه اکسپلویت یا سناریوی قابل بهرهبرداری.
آسیبپذیریهای مرتبط با DNS، Email Spoofing یا تنظیمات ایمیل.
سوءاستفاده از سرویسهای پیامکی (SMS Bombing)
موارد مرتبط با CDN، IPهای پشت CDN یا سناریوهایی که خارج از دامنه مجاز قرار دارند.
آسیبپذیریهایی که نیازمند دسترسی فیزیکی به دستگاه کاربر یا دسترسی به نرمافزار سمت کاربر (مانند اپلیکیشن اندروید) بوده و تهدیدی برای سایر کاربران ایجاد نمیکنند.
گزارش آسیبپذیریهایی که روی دامنهها یا IPهای خارج از محدوده مجاز انجام شده باشند.
شرایط ارسال گزارش باگ
گزارش ارسالی باید شامل شرحی واضح و دقیق از آسیبپذیری، نوع آن (مانند XSS، SQL Injection، IDOR، CSRF، دور زدن احراز هویت یا خطاهای منطقی) و برآورد شدت باگ باشد. لازم است بخش یا ماژول آسیبپذیر بهصورت مشخص معرفی شود و آدرس دقیق صفحه، مسیر یا API مربوطه به همراه متد درخواست ذکر گردد. همچنین باید مشخص شود که آیا برای وقوع باگ نیاز به احراز هویت وجود دارد یا خیر و در صورت نیاز، نقش یا سطح دسترسی حساب کاربری مورد استفاده توضیح داده شود. هرگونه پیشنیاز، شرط خاص یا تنظیمات لازم برای بازتولید باگ (مانند نوع حساب، هدر خاص، توکن، IP یا ابزار مورد استفاده) باید بهطور شفاف بیان شود.
مراحل بازتولید باگ باید بهصورت گامبهگام، دقیق و قابل دنبالکردن ارائه شوند و تمامی ورودیها، پارامترها، مقادیر یا Payloadهای استفادهشده در گزارش درج گردند. نتیجهای که پس از اجرای مراحل مشاهده میشود (رفتار فعلی سیستم) و همچنین رفتار مورد انتظار سیستم در حالت امن باید بهطور واضح توضیح داده شود. ارائه اثبات مفهوم (POC) یا شواهد معتبر مانند اسکرینشات، ویدیو، لاگ یا خروجی ابزارهای تست الزامی است و باید مشخص شود که این شواهد چگونه وجود آسیبپذیری را اثبات میکنند. در صورت امکان، تأثیر امنیتی باگ بر کاربران یا سامانه و همچنین پیشنهادهایی برای رفع آسیبپذیری ذکر شود تا فرآیند بررسی و اصلاح توسط تیم امنیت بهصورت سریع و دقیق انجام پذیرد.
گلدیکا سامانه پیشرو در معاملات آنلاین طلای آبشده، بر پایه دانش و تخصص نخبگان برترین دانشگاههای ایران بنا شده است. این سامانه با اولویتبخشی به سه اصل “امنیت، شفافیت و قانونمداری”، توانسته است باتکیهبر زیرساختهای بانکی و مجوزهای معتبر، میزبان اعتماد بیش از یک میلیون کاربر باشد. گلدیکا پیوندی میان تکنولوژی روز و بازار سنتی طلاست که امکان تحویل سریع طلای فیزیکی را برای سرمایهگذاران فراهم میآورد.
دانلود اپلیکیشن گلدیکا
از تمامی امکانات گلدیکا بهرهمند شوید
