برنامه پاداش کشف باگ و آسیب‌پذیری (باگ بانتی کیف پول من)

راهنمای برنامه باگ بانتی پلتفرم صرافی رمزارز کیف‌ پول من

در ابتدا از تلاش شما برای افزایش امنیت پلتفرم ما سپاسگزاریم! ما برای کمک جامعه امنیتی ارزش زیادی قائل هستیم و از تلاش‌های شما برای ایجاد فضایی امن‌تر برای کاربران صمیمانه تشکر می‌کنیم. لطفاً قبل از ارسال گزارش، این راهنما را به‌دقت مطالعه کنید تا با محدوده، قوانین و پاداش‌های برنامه ما آشنا شوید..

ما از محققان امنیتی دعوت می‌کنیم تا بر آسیب‌پذیری‌های زیر تمرکز کنند:

• وب‌سایت: تمامی بخش‌های مرتبط با معاملات، سپرده‌ها، برداشت‌ها و مدیریت حساب.
• وب سرویس‌ها API: تمام اندپوینت‌ها APIها که توسط اپلیکیشن ما برای معامله، احراز هویت کاربر، مدیریت داده‌ها و غیره استفاده می‌شوند.
• اپلیکیشن‌های موبایل: نسخه‌های iOS و اندروید اپلیکیشن موبایل ما.
• سیستم‌های احراز هویت: شامل ورود به سیستم، بازنشانی رمز عبور، احراز هویت دو مرحله‌ای و غیره.
• زیرساخت کیف پول: هر بخشی از مدیریت کیف پول، تراکنش‌های دارایی و مدیریت کلیدهای خصوصی.
• تعاملات بلاکچین: آسیب‌پذیری‌های قرارداد هوشمند، تأیید تراکنش‌ها و ارتباط بین نودهای بلاکچین.

• خدمات شخص ثالث: مگر اینکه به‌طور مستقیم امنیت کاربران را تحت تاثیر قرار دهند، آسیب‌پذیری‌های پلتفرم‌های شخص ثالث خارج از محدوده هستند.
• حملات منع سرویس (DOS - DDOS): این حملات اختلال‌آفرین هستند اما بینشی در خصوص امنیت کد یا زیرساخت ما ارائه نمی‌دهند.
• مهندسی اجتماعی: فیشینگ، تماس فریبانه و دیگر تکنیک‌های مهندسی اجتماعی مجاز نیستند.
• حملات فیزیکی: هرگونه دسترسی فیزیکی به دفاتر، مراکز داده یا سخت‌افزارهای ما.
• Self XSS: حملات XSS که فقط توسط کاربر قابل بهره‌برداری است.
• Redirect داخلی: مشکلاتی که فقط باعث هدایت داخلی و بدون خطر برای کاربران می‌شود.
• Brute Forcing حساب‌ها: حملات حدس زدن رمز عبور یا نام کاربری به صورت پیاپی.
• مشکلات محدودیت نرخ و شناسایی کاربر: مگر اینکه به آسیب‌پذیری با اهمیت بیشتر منجر شود.
• حملات مهندسی اجتماعی: مانند فیشینگ و تماس‌های فریبانه.
• حملات فیزیکی یا اکسپلویت‌ها: دسترسی فیزیکی به تجهیزات یا مکان‌ها.