bug bounty bg-image

برنامه باگ بانتی بیت۲۴

تیم امنیت بیت۲۴ با رویداد باگ بانتی، تمام «متخصصان تست نفوذ» را به چالش دعوت می‌کند.اگر شما هم در این زمینه تخصص دارید وعلاقه‌مند به کشف باگ‌های امنیتی اپلیکیشن‌ها و سامانه‌های بیت۲۴ هستید، این فرصت را از دست ندهید! آسیب‌پذیری‌ها و باگ‌های بیت۲۴ را بر اساس قوانین ذکر شده به آدرس ارسال کنید و پس از داوری در تیم امنیت بیت۲۴، پاداش نقدی sec@bit24.cash دریافت کنید.

bug bounty image

قوانین و مقررات

  • حریم خصوصی تمام کاربران بیت۲۴ رعایت شود. از افشاء، تغییر، سرقت و نابودی اطلاعات جدا جلوگیری شود.
  • فرآیند تست را تنها با اکانت بیت۲۴ وشماره همراه متعلق به خودتان انجام دهید.
  • قبل از شروع تست با بررسی بخش محدوده برنامه از قرار گرفتن دامنه در حوزه باگ بانتی اطمینان پیدا کنید و اگر سوالی دارید با sec@bit24.cash در ارتباط باشید.
  • از هرگونه انجام تست که در فرآیند کسب و کار بیت۲۴ خلل ایجاد می کند خودداری کنید.
  • باگ‌ها باید در محدوده‌‌های مجاز ذکر شوند.
  • هر گزارش باید شامل یک باگ امنیتی باشد.
  • معیارمشخص کردن اهمیت باگ‌ها، استاندارد CVSS است.
  • درج پیلود (کد، اسکریپت و ...) استفاده شده برای کشف باگ، در گزارش ارسالی الزامی است.
  • باگ های اعلام شده توسط متخصصین امنیتی می بایست قابل اثبات و تکرارپذیر باشند و با جزئیات قدم به قدم باگ توضیح داده شوند.
  • از نتایج اسکنرها و ابزارهای اتوماتیک برای ارایه باگ استفاده نشود.
  • هیچ آسیب‌پذیری یا اطلاعات مرتبط را بدون رضایت کتبی Bit24 به اشخاص ثالث فاش نکنید. این شامل شبکه های اجتماعی، سایر شرکت ها یا مطبوعات می شود، اما محدود به آن نمی شود.
  • اگر به جای آسیب‌پذیری امنیتی، نقض داده یا نشت داده را گزارش می‌دهید، لطفاً مکان داده‌ها را ارائه کنید و مکان داده‌ها و جزییات آن را با دیگران به اشتراک نگذارید.
  • پس از ثبت و ارسال Bug Bounty در زمان 1 روز کاری دریافت و یا رد آسیب پذیری اعلام می شود و پس از آن در حداکثر 10 روز کاری بخش امنیت Bit24 موارد ارسالی را بررسی و پاسخ ارسال خواهد، اگر موارد ارسالی آسیب پذیری قابل قبول تلقی شود، ایمیل ارسالی شامل سطح شدت و مقدار پاداش است و همچنین ما اطلاعات حساب و یا آدرس رمزارز را درخواست خواهیم کرد، در نهایت پس از حداکثر 14 روز کاری پاداش را پرداخت می شود.

آسیب پذیری‌های قابل قبول

shield iconServer-Side Request Forgery (SSRF)

Server-Side Request Forgery (SSRF)

shield iconInformation Disclosure

Information Disclosure

shield iconImproper Access Control

Improper Access Control

shield iconCross-site Scripting (XSS)

Cross-site Scripting (XSS)

shield iconImproper Authentication

Improper Authentication

shield iconSQL Injection

SQL Injection

shield iconPrivilege Escalation

Privilege Escalation

shield iconInsecure Direct Object Reference (IDOR)

Insecure Direct Object Reference (IDOR)

باگ‌های خارج از محدوده

Social Engineering, Physical Attacks, Spamming, SMS Bombing, DDoS Attacks, Non-Critical Rate Limiting, Any Brute Force Attacks, Malware Distribution, Phishing Attempts, Insider Threats,

Lack of SPF, DKIM, or DMARC implementation.

Vulnerabilities on third-party-hosted sites, unless they directly impact Bit24's main website or involve deprecated open-source libraries.

Automated tool or scanner outputs, AI-generated reports, or issues that aren't reproducible.

Publicly disclosed vulnerabilities in third-party libraries or technologies within 30 days of disclosure.

Vulnerabilities requiring improbable user interaction or affecting outdated or unpatched browsers, or those needing root or jailbreak on mobile devices.

TLS cipher suite offerings, suggestions on best practices, non-security-impacting UX issues, or self-XSS with no security impact.

Reports lacking detailed instructions or proof of concept, or those disclosed publicly before Bit24 issued a comprehensive fix.

CSRF-able actions that don't require authentication or a session, and user enumeration.

محدوده برنامه

حوزه باگ بانتی بیت۲۴ محدود به دامنه‌های مشخص شده زیر است. هر گونه گزارش خارج از محدوده ذکر شده قابل قبول نیست.

  • bit24.cash
  • Bit24 android and iOS application

شکارچیان برتر

hunter avatar
mhd_pq
50,000,000 تومان
Server-Side Request Forgery (SSRF)Information DisclosureImproper Access ControlCross-site Scripting (XSS)Improper AuthenticationSQL Injection
hunter avatar
محمدحسین حیدری
18,000,000 تومان
Server-Side Request Forgery (SSRF)
hunter avatar
sourena_attr
17,000,000 تومان
Improper Authentication
hunter avatar
fb_hunt
16,000,000 تومان
Improper Access ControlPrivilege EscalationInsecure Direct Object Reference (IDOR)
hunter avatar
ShervinSpk
16,000,000 تومان
Improper AuthenticationImproper Authentication
hunter avatar
slug
13,000,000 تومان
Server-Side Request Forgery (SSRF)Information DisclosureImproper Access ControlCross-site Scripting (XSS)