ورود / ثبت نام

امنیت بیشتر با کمک شما؛

باگ‌های امنیتی را پیدا کنید، پاداش بگیرید.

در برنامه باگ بانتی اکوتراست، امنیت برای ما در اولویته. اگر بتونید آسیب‌پذیری‌های مهم رو در پلتفرم پیدا و گزارش کنید، تا 120 میلیون تومانءء جایزه نقدی دریافت می‌کنید. این فرصت هم برای تقویت امنیت اکوتراست ارزشمنده، هم برای شما که تلاش و تخصصتون دیده میشه.

پاداش‌ها

مبلغ پاداش‌ها بر اساس میزان اهمیت گزارش شما و طبق جدول زیر تعیین می‌شود

سطح بحرانی (Critical)
تا ۱۲۰ میلیون تومانءء

آسیب‌پذیری‌هایی که منجر به کنترل کامل یا اجرای دستورات بر روی زیرساخت می‌شوند.

سطح بالا (High)
تا ۷۰ میلیون تومانءء

آسیب‌پذیری‌هایی که منجر به دسترسی به اطلاعات حساس یا دسترسی غیرمجاز به بخش‌های مدیریتی می‌شوند.

سطح متوسط (Medium)
تا ۳۰ میلیون تومانءء

آسیب‌پذیری‌هایی که دسترسی محدود یا غیرمستقیم به داده‌های مهم ایجاد می‌کنند.

سطح پایین (Low)
تا ۱۰ میلیون تومانءء

آسیب‌پذیری‌هایی با ریسک پایین که تهدید مستقیم محدودی ایجاد می‌کنند.

سطح اطلاعاتی (Informational)
تا ۲ میلیون تومانءء

مواردی که بیشتر ضعف در پیکربندی یا نکات امنیتی هستند و به‌تنهایی تهدید جدی ایجاد نمی‌کنند.

جدول میزان تأثیر آسیب‌ها

میزان تأثیر آسیب‌‌ها بر اساس جدول زیر تعیین می‌شود.

سطح بحرانی (Critical)
  • اجرای کد از راه دور (Remote Code Execution) بر روی سرورهای اصلی
  • دسترسی مستقیم به پایگاه داده و امکان اجرای Query دلخواه
  • دسترسی به فایل‌های سیستمی حساس (نظیر فایل‌های پیکربندی یا کلیدهای خصوصی)
سطح بالا (High)
  • دسترسی به اطلاعات تماس کاربران (شماره تلفن، ایمیل)
  • مشاهده یا استخراج سوابق تراکنش‌های مالی و داده‌های حساس تحلیلی
  • امکان ارسال پیام به کاربران از طریق ربات رسمی (Spoofing Bot Messages)
  • دسترسی به حساب کاربری مدیران یا ورود به پنل مدیریت بدون احراز هویت
سطح متوسط (Medium)
  • دسترسی به بخشی از داده‌های کاربران (برای مثال نام و نام خانوادگی بدون اطلاعات تماس)
  • آسیب‌پذیری XSS ذخیره‌شده که می‌تواند منجر به سرقت Session شود
  • ضعف در کنترل تعداد درخواست‌ها (Rate Limiting) که امکان حملات Brute Force را فراهم کند
  • مشاهده‌ی لاگ‌های سیستمی یا پیام‌های خطا حاوی اطلاعات فنی غیرمجاز
سطح پایین (Low)
  • XSS بازتابی (Reflected) در صفحات عمومی
  • افشای نسخه‌ی نرم‌افزار یا ماژول‌های مورد استفاده
  • آسیب‌پذیری CSRF در بخش‌های غیروحساس (مانند تغییر تنظیمات پروفایل کاربر)
سطح اطلاعاتی (Informational)
  • پیکربندی ناقص هدرهای امنیتی (مانند HSTS یا CSP)
  • Endpointهایی که صرفاً اطلاعات غیروحساس نمایش می‌دهند (مانند وضعیت سرور)
  • استفاده از کتابخانه‌ها یا نسخه‌های قدیمی فاقد اکسپلویت مستقیم

قوانین و مقررات باگ‌بانتی

لطفاً پیش از ثبت آسیب‌پذیری به نکته‌های زیر توجه کنید.

Bug Bounty Rules

تست صرفاً بر روی دامنه‌ها و سرویس‌های اعلام‌شده در محدوده (Scope) مجاز است.

هرگونه حمله یا آزمایش روی کاربران واقعی (مانند فیشینگ یا ارسال پیام ناخواسته) ممنوع است.

گزارش باید شامل Proof of Concept (PoC) واضح و تکرارپذیر باشد.

پرداخت پاداش پس از بررسی، تأیید و رفع مشکل انجام خواهد شد.

گزارش خود را به ایمیل cso@ecotrust.ir ارسال کنید.