باگ بانتی (Bug Bounty) یکی از بهترین راهکارهای یافتن حفره‌های امنیتی و بالا بردن سطح امنیت است که در بسیاری از وب‌سایت‌های بزرگ دنیا اجرا می‌شود. هدف از این برنامه جذب پژوهشگران امنیت و متخصصان برای شناسایی آسیب‌پذیری‌ها و افزایش امنیت سرویس‌های آبان‌تتر است. شرکت‌کنندگان می‌توانند با گزارش آسیب‌پذیری‌های واقعی و قابل اکسپلویت تا ۴۰۰۰ تتر پاداش دریافت کنند.

محدوده برنامه (Scope)

برای اطمینان از تمرکز و اثرگذاری تست‌ها، فقط دامنه‌های زیر در برنامه Bug Bounty قرار دارند:

  • abantether.com
  • api.abantether.com
  • mono.abantether.com

توجه: هر گونه گزارش خارج از این دامنه‌ها پذیرفته نمی‌شود.

پاداش‌ها

پاداش‌ها براساس شدت آسیب‌پذیری طبق استاندارد CVSS v3.1 پرداخت می‌شوند:

  • Medium: تا ۱۰۰ تتر
  • High: تا ۲۰۰ تتر
  • Critical: تا ۴۰۰۰ تتر

پاداش‌ها مستقیماً به حساب آبان‌تتر شما واریز می‌شوند و امکان برداشت ریالی یا ارزی دارند.

آسیب‌پذیری‌های قابل قبول (نمونه‌ها)

آسیب‌پذیری‌هایی که تیم امنیت آبان‌تتر از آن‌ها استقبال می‌کند، شامل موارد زیر است (این فهرست نمونه است و محدود به این موارد نیست):

  • SQL Injection با دسترسی به داده‌های کاربران
  • Remote Code Execution (اجرای کد از راه دور)
  • تسلط بر حساب کاربری دیگران (Account Takeover)
  • دسترسی غیرمجاز به کیف پول یا موجودی کاربران
  • آسیب‌پذیری‌های منطقی در فرآیندهای مالی مانند Race Condition یا Double Spending
  • SSRF، XXE، IDOR، Mass Assignment، Privilege Escalation
  • XSS (Stored/Reflected) با قابلیت اکسپلویت
  • Bypass Authentication / 2FA / Captcha
  • نشت کلیدها و اطلاعات حساس
  • آسیب‌پذیری‌های جدی در منطق کسب‌وکار

آسیب‌پذیری‌های خارج از محدوده

گزارش‌های زیر تحت پوشش پاداش قرار نمی‌گیرند:

  • Self-XSS یا XSS که فقط روی مرورگر خودتان کار می‌کند
  • گزارش صرفاً درباره نسخه نرم‌افزار یا پایین بودن ورژن بدون PoC
  • هدرهای امنیتی یا Best Practiceهای صرف (مثل پیچیدگی رمز عبور)
  • brute force ساده یا Enumeration (کاربر/ایمیل/شماره تلفن)
  • حملات DoS/DDoS یا ایجاد اختلال در سرویس
  • آسیب‌پذیری‌های نیازمند دسترسی فیزیکی یا مهندسی اجتماعی
  • مشکلات مربوط به سرویس‌های شخص ثالث
  • خروجی خام ابزارهای اسکن خودکار یا گزارش بدون PoC معتبر

قوانین و شرایط گزارش

برای اینکه گزارش شما پذیرفته شود، رعایت موارد زیر الزامی است:

  1. گزارش باید شامل Proof of Concept (PoC) معتبر و قابل بازتولید باشد.
  2. تست‌ها فقط روی اکانت شخصی شما انجام شوند.
  3. انتشار عمومی جزئیات باگ قبل یا بعد از رفع آن ممنوع است، مگر با اجازه کتبی تیم فنی آبان‌تتر.
  4. تیم امنیت ظرف ۱ تا ۴ روز کاری گزارش‌ها را بررسی و نتیجه را اعلام می‌کند.
  5. در صورت تأیید، سطح شدت و میزان پاداش در همان بازه اعلام خواهد شد.

چگونه گزارش خود را ارسال کنیم؟

گزارش‌ها باید از طریق آدرس ایمیل bounty@abantether.com ارسال شوند. توصیه می‌شود در گزارش خود، PoC، مراحل بازتولید و میزان تأثیر آسیب‌پذیری را به‌صورت دقیق ذکر کنید تا تیم امنیت بتواند سریع‌تر بررسی کند.

چرا Bug Bounty اهمیت دارد؟

  • افزایش امنیت کاربران و محافظت از دارایی‌ها
  • استفاده از تجربه و تخصص جامعه پژوهشگران امنیت برای شناسایی آسیب‌پذیری‌ها
  • شفافیت و اعتماد بیشتر کاربران به پلتفرم
  • همسو بودن با استانداردهای جهانی در زمینه امنیت نرم‌افزار و خدمات مالی