برنامه باگ بانتی بیت۲۴

تیم امنیت بیت۲۴ با رویداد باگ بانتی، تمام «متخصصان تست نفوذ» را به چالش دعوت می‌کند.اگر شما هم در این زمینه تخصص دارید وعلاقه‌مند به کشف باگ‌های امنیتی اپلیکیشن‌ها و سامانه‌های بیت۲۴ هستید، این فرصت را از دست ندهید! آسیب‌پذیری‌ها و باگ‌های بیت۲۴ را بر اساس قوانین ذکر شده به آدرس sec@bit24.cash کنید و پس از داوری در تیم امنیت بیت۲۴، پاداش نقدی دریافت کنید.

قوانین و مقررات

حریم خصوصی تمام کاربران بیت۲۴ رعایت شود. از افشاء، تغییر، سرقت و نابودی اطلاعات جدا جلوگیری شود.
فرآیند تست را تنها با اکانت بیت۲۴ وشماره همراه متعلق به خودتان انجام دهید.
قبل از شروع تست با بررسی بخش محدوده برنامه از قرار گرفتن دامنه در حوزه باگ بانتی اطمینان پیدا کنید و اگر سوالی دارید با sec@bit24.cash در ارتباط باشید.
از هرگونه انجام تست که در فرآیند کسب و کار بیت۲۴ خلل ایجاد می کند خودداری کنید.
باگ‌ها باید در محدوده‌‌های مجاز ذکر شوند.
هر گزارش باید شامل یک باگ امنیتی باشد.
معیارمشخص کردن اهمیت باگ‌ها، استاندارد CVSS است.
درج پیلود (کد، اسکریپت و ...) استفاده شده برای کشف باگ، در گزارش ارسالی الزامی است.
باگ های اعلام شده توسط متخصصین امنیتی می بایست قابل اثبات و تکرارپذیر باشند و با جزئیات قدم به قدم باگ توضیح داده شوند.
از نتایج اسکنرها و ابزارهای اتوماتیک برای ارایه باگ استفاده نشود.
هیچ آسیب‌پذیری یا اطلاعات مرتبط را بدون رضایت کتبی Bit24 به اشخاص ثالث فاش نکنید. این شامل شبکه های اجتماعی، سایر شرکت ها یا مطبوعات می شود، اما محدود به آن نمی شود.
اگر به جای آسیب‌پذیری امنیتی، نقض داده یا نشت داده را گزارش می‌دهید، لطفاً مکان داده‌ها را ارائه کنید و مکان داده‌ها و جزییات آن را با دیگران به اشتراک نگذارید.
پس از ثبت و ارسال Bug Bounty در زمان 1 روز کاری دریافت و یا رد آسیب پذیری اعلام می شود و پس از آن در حداکثر 10 روز کاری بخش امنیت Bit24 موارد ارسالی را بررسی و پاسخ ارسال خواهد، اگر موارد ارسالی آسیب پذیری قابل قبول تلقی شود، ایمیل ارسالی شامل سطح شدت و مقدار پاداش است و همچنین ما اطلاعات حساب و یا آدرس رمزارز را درخواست خواهیم کرد، در نهایت پس از حداکثر 14 روز کاری پاداش را پرداخت می شود.

آسیب پذیری‌های قابل قبول

Server-Side Request Forgery (SSRF)

Information Disclosure

Improper Access Control

Cross-site Scripting (XSS)

Improper Authentication

SQL Injection

Privilege Escalation

Insecure Direct Object Reference (IDOR)

باگ‌های خارج از محدوده

Social Engineering, Physical Attacks, Spamming, SMS Bombing, DDoS Attacks, Non-Critical Rate Limiting, Any Brute Force Attacks, Malware Distribution, Phishing Attempts, Insider Threats,
Lack of SPF, DKIM, or DMARC implementation.
Vulnerabilities on third-party-hosted sites, unless they directly impact Bit24's main website or involve deprecated open-source libraries.
Automated tool or scanner outputs, AI-generated reports, or issues that aren't reproducible.
Publicly disclosed vulnerabilities in third-party libraries or technologies within 30 days of disclosure.
Vulnerabilities requiring improbable user interaction or affecting outdated or unpatched browsers, or those needing root or jailbreak on mobile devices.
TLS cipher suite offerings, suggestions on best practices, non-security-impacting UX issues, or self-XSS with no security impact.
Reports lacking detailed instructions or proof of concept, or those disclosed publicly before Bit24 issued a comprehensive fix.
CSRF-able actions that don't require authentication or a session, and user enumeration.

محدوده برنامه

حوزه باگ بانتی بیت۲۴ محدود به دامنه‌های مشخص شده زیر است. هر گونه گزارش خارج از محدوده ذکر شده قابل قبول نیست.

bit24.cash
Bit24 android and iOS application

شکارچیان برتر

mhd_pq

50000000 تومان

محمدحسین حیدری

18000000 تومان

sourena_attr

17000000 تومان

fb_hunt

16000000 تومان

ShervinSpk

16000000 تومان

slug

13000000 تومان