باگ بانتی باسلام

درباره برنامه About the Program

برنامه باگ بانتی ما به محققان امنیتی این فرصت را می‌دهد تا آسیب‌پذیری‌های امنیتی سرویس‌های ما را شناسایی کنند و در ازای آن پاداش‌های ارزشمندی دریافت نمایند. Our bug bounty program gives security researchers the opportunity to identify security vulnerabilities in our services and receive valuable rewards in return.

ما از همکاری با جامعه امنیتی استقبال می‌کنیم و متعهد به پاسخگویی سریع و پرداخت منصفانه پاداش‌ها هستیم. We welcome collaboration with the security community and are committed to fast response and fair reward payments.

حوزه‌های تحت پوشش Scope Coverage

برنامه باگ بانتی ما شامل سرویس‌های زیر می‌شود: Our bug bounty program includes the following services:

auth.basalam.com
chat.basalam.com
order.basalam.com
wallet.basalam.com
pay.basalam.com
salam-pay-api.basalam.com
bnpl.basalam.com
feature-flag.basalam.com

basalam.com
api.basalam.com
core.basalam.com
search.basalam.com
order-processing.basalam.com
automation.basalam.com
accounting.basalam.com
uploadio.basalam.com

حوزه‌های خارج از محدوده Out of Scope

تمامی سامانه های basalam.com که در محدوده‌ی دامنه‌ی مجاز تعریف نشده است، شامل بانتی نمی‌شوند. All basalam.com systems that are not defined within the authorized domain scope are not included in the bounty.

تمامی سرویس‌ها و خدمات سایر شرکت‌ها که در میدان مورد استفاده قرار گرفته است جز محدوده‌ی غیرمجاز محسوب می‌شود. All services and products of other companies used in the platform are considered out of authorized scope.

به آسیب پذیری های در سطح Critical در دامنه ‌های غیر مجاز توجه خواهد شد. Critical level vulnerabilities in unauthorized domains will be considered.

دسته‌بندی باگ‌ها و پاداش‌ها Bug Categories and Rewards

سطح آسیب‌پذیری Vulnerability Level	مثال Example	پاداش (تومان) Reward (Toman)
حیاتی (Vital) Vital	RCE on vital servers, Mass Defacement RCE on vital servers, Mass Defacement	∞ ∞
بحرانی (Critical) Critical	RCE, Advance SQL Injection, Unauthorized Access to Read and Write Sensitive Data of All Users RCE, Advanced SQL Injection, Unauthorized Access to Read and Write Sensitive Data of All Users	تا ۹۰ میلیون Up to 90 Million
بالا (High) High	Account TakeOver, Race Condition (Financial transactions, discount code), Double spending, SSRF (Internal High Impact) Account Takeover, Race Condition (Financial transactions, discount code), Double spending, SSRF (Internal High Impact)	تا ۴۵ میلیون Up to 45 Million
متوسط (Medium) Medium	XSS, Open Redirect (GET-Based), Disruption of Service (does not include DOS/DDOS) XSS, Open Redirect (GET-Based), Disruption of Service (does not include DOS/DDOS)	تا ۱۵ میلیون Up to 15 Million

میزان دقیق پاداش بر اساس شدت، تأثیر و کیفیت گزارش تعیین می‌شود. The exact reward amount is determined based on severity, impact, and report quality.

آسیب‌پذیری‌های غیرقابل قبول Unacceptable Vulnerabilities

مواردی مثل استفاده از چندباره از کوپن در خریدها، خرید از غرفه خود و ... جزو فراد محاسبه می‌شود و بانتی داده نمی‌شود. Issues like repeated use of coupons in purchases, buying from your own store, etc. are considered fraud and no bounty will be given.
در آسیب پذیری‌های XSS حتما نیاز به سناریو یا هایجک توکن حساس کاربر می‌باشد و صرفا پیلود قابل قبول نیست. For XSS vulnerabilities, a scenario or hijacking of sensitive user tokens is required, and payload alone is not acceptable.
آسیب پذیری‌هایی مانند IDOR که اطلاعات پابلیک یوزرها و غرفه داران را شامل شود. Vulnerabilities like IDOR that involve public information of users and store owners.
آسیب‌پذیری‌هایی که منجر به SMS Bombing و Email Flooding میشود. Vulnerabilities that lead to SMS Bombing and Email Flooding.
سناریوهایی که پس از انجام فرایند سیستمی به صورت انسانی عملیاتی انجام می‌شود که همراه با چک کردن داده هاست (توسط ادمین، مدیر کمپین، واحد مالی و ... ). Scenarios that require manual operational intervention after system processes, involving data verification (by admin, campaign manager, finance department, etc.).
آسیب‌پذیری‌های XSS که فقط روی دستگاه مهاجم Render شود. XSS vulnerabilities that only render on the attacker's device.
هرگونه اضافه شدن دیتای اضافی به دیتابیس که سناریوی مخربی نداشته باشد. Any addition of extra data to the database without a malicious scenario.
تمامی مواردی که اختلال یا باگ با ابزارهای Load Test ایجاد شود. All cases where disruption or bugs are created with Load Test tools.
آسیب‌پذیری‌هایی که قبلاً توسط سایر متخصصین گزارش شده باشد. Vulnerabilities that have been previously reported by other experts.
تمامی مواردی که Rate Limit در ایجاد آن تاثیر دارد. All cases where Rate Limit affects their creation.
هر نوع گزارش بدون داشتن اکسپلویت و سناریو قابل بهره‌برداری. Any report without exploit and exploitable scenario.
آسیب‌پذیری‌های MITM. MITM vulnerabilities.
آسیب‌پذیری‌هایی که از نظر Root Cause با باگ‌های گزارش شده قبلی در پلتفرم باگ‌بانتی یکسان باشند. Vulnerabilities that have the same Root Cause as previously reported bugs in the bug bounty platform.
آسیب‌پذیری‌هایی که به ۳ مرحله یا بیشتر نیاز به تعامل با کاربر داشته باشند. Vulnerabilities that require 3 or more steps of user interaction.
صفحات ادمین قابل دسترس بدون نفوذ. Admin pages accessible without penetration.
حملات مهندسی اجتماعی و Phishing. Social engineering and Phishing attacks.
حملات از كار اندازی سرویس (DoS/DDoS). Denial of Service attacks (DoS/DDoS).
آسيب‌پذيری‌هایی که در دامنه‌ها و آدرس‌های IP غير از محدوده‌ مجاز هدف باشد. Vulnerabilities targeting domains and IP addresses outside the authorized scope.
گزارش‌های ارائه شده توسط اسکنر‌ها و سایر ابزار‌های اتوماتیک، بدون ارایه اکسپلویت. Reports from scanners and other automated tools without providing exploits.
آسیب‌پذیری‌های مربوط به نشت اطلاعات سرور و پیکربندی نادرست آن، مثل نسخه و نوع وب سرور. Vulnerabilities related to server information disclosure and misconfiguration, such as version and web server type.
آسیب‌پذیری‌های مربوط به SSL و Best Practice های‌ مربوط به آن. SSL-related vulnerabilities and related best practices.
آسیب‌پذیری‌های مربوط به مرورگرهای قدیمی. Vulnerabilities related to old browsers.
آسیب‌پذیری‌های مربوط به حملات فیزیکی. Vulnerabilities related to physical attacks.
آسیب‌پذیری‌های Content Spoofing. Content Spoofing vulnerabilities.
آسیب‌پذیری‌ SSRF بدون اکسپلویت و یا با داشتن صرفا DNS query. SSRF vulnerabilities without exploit or having only DNS query.
آسیب‌پذیری‌های Clickjacking در صورتی که در صفحات حساس نباشد. Clickjacking vulnerabilities if not on sensitive pages.
آسیب‌پذیری‌های self*. Self* vulnerabilities.
حملات Brute Force به غیر از موارد مربوط به Captcha، شناسایی کدهای OTP، پارامترهایی که بر اساس الگو (pattern) مانند datetime , id است. Brute Force attacks except for Captcha-related cases, OTP code identification, parameters based on patterns like datetime, id.
تمامی آسیب‌پذیری‌های سطح پایین و متوسط مربوط به وردپرس. All low and medium level WordPress-related vulnerabilities.
Best Practiceها، شامل حداقل طول كلمات عبور و غيره. Best Practices, including minimum password length, etc.
موارد مربوط به رکوردهای DNS مرتبط با Email و نامه‌نگاری الکترونیکی جعلی (E-mail spoofing). Cases related to DNS records associated with Email and email spoofing.
گزارش پایین بودن ورژن کتابخانه‌ها و نرم‌افزار‌های به‌کار برده شده. Reports of low version libraries and software used.
آسیب‌پذیری‌های مربوط به هدرها و header injection و پروتکل http و پارامترهای آن بدون ارایه سناریوی قابل بهره برداری. Vulnerabilities related to headers, header injection, and HTTP protocol parameters without providing exploitable scenarios.
موارد Option Index اگر به داده حساس نرسد. Option Index cases if they don't access sensitive data.
هر مورد مربوط به بدست آوردن نام‌های کاربری با استفاده از Enumeration (account/e-mail/phone). Any case related to obtaining usernames using Enumeration (account/e-mail/phone).
آسیب پذیری های CSRF مربوط به logout. CSRF vulnerabilities related to logout.
تمامی آسیب‌پذیری‌های مربوط به Email validation not enforced. All vulnerabilities related to Email validation not enforced.
آسیب‌پذیری‌های مربوط به Cookie valid after password change/reset یا session fixation در صورتی که تاثیری حیاتی بر کاربران نداشته باشد. Vulnerabilities related to Cookie valid after password change/reset or session fixation if they don't have a critical impact on users.
تمامی آسیب‌پذیری‌های مربوط به Domain authentication. All vulnerabilities related to Domain authentication.
آسیب‌پذیری CORS misconfiguration بدون اکسپلویت. CORS misconfiguration vulnerability without exploit.
پیداکردن IPهای پشت CDN بدون داشتن سناریو و اکسپلویت برای حمله‌ای تاثیرگذار یا اینکه در بخش قابل قبول نیامده باشد. Finding IPs behind CDN without having scenario and exploit for an impactful attack or not mentioned in acceptable section.
آسیب‌پذیری Information Disclousre بدون داشتن سناریویی برای بهره‌برداری و اکسپلویت. Information Disclosure vulnerability without having scenario for exploitation and exploit.
آسیب‌پذیری Crossdomain.xml. Crossdomain.xml vulnerability.
آسیب‌پذیری تزریق csv. CSV injection vulnerability.
آسیب‌پذیری‌هایی که تاثیر آن تنها بر سمت دستگاه کاربر (Client) باشد.(نرم‌افزار اندروید) Vulnerabilities that only affect the client side (Android application).
آسیب‌پذیری‌هایی که مهندسی معکوس،دیکامپایل و موارد مشابه باشد.(نرم‌افزار اندروید) Vulnerabilities involving reverse engineering, decompiling and similar cases (Android application).
آسیب‌پذیری‌هایی که نیاز به دسترسی فیزیکی به دستگاه اندرویدی را دارد یا آسیب‌پذیری که خطری کاربران را تهدید نمی کند.(نرم‌افزار اندروید) Vulnerabilities requiring physical access to Android device or vulnerabilities that don't threaten users (Android application).
آسیب‌پذیری‌های Input Validation مربوط به منطق برنامه و نوع ورودی. Input Validation vulnerabilities related to application logic and input type.
مشاهده شدن ایندکس فایل در صورتی که منجر به خطر خاصی نشود. File index visibility if it doesn't lead to specific risk.
مواردی که از مسیرهای مختلف منتهی به یک مقصد می‌شود، تکراری شمرده می‌شوند. Cases that reach the same destination through different paths are considered duplicates.

قوانین و شرایط Rules and Conditions

مستندات لازم (تصاویر، فیلم، کدها، PoC و...) جهت دسترسی و استفاده از آسیب‌‎پذیری به همراه ابزارهای لازم به‌ طور کامل بارگذاری شود. Necessary documentation (images, videos, codes, PoC, etc.) for accessing and using vulnerabilities along with required tools should be completely uploaded.
اولین گزارش‌دهنده یک آسیب‌پذیری پاداش می‌گیرد (First-Come-First-Served) و بعد از آن جزو موارد Duplicate قرار میگیرد. The first reporter of a vulnerability receives the reward (First-Come-First-Served) and after that it is considered a Duplicate.
آزمایش‌ها نباید بر کاربران واقعی تأثیر بگذارد (فقط از حساب‌های تستی استفاده شود). Tests should not affect real users (only test accounts should be used).
هرگونه سوءاستفاده از آسیب‌پذیری‌ها برای مقاصد مخرب ممنوع است و پیگرد قانونی دارد. Any misuse of vulnerabilities for malicious purposes is prohibited and has legal consequences.
تنها آسیب‌پذیری‌های شامل اکسپلویت بررسی خواهند شد. Only vulnerabilities including exploits will be reviewed.
از اختلال در عملکرد و فرآیند‌های سرویس‌ها اجتناب کنید. Avoid disrupting the operation and processes of services.
از آدرس IP مشخصی برای بررسی و ارزیابی استفاده کنید و IP آدرس مذکور را در گزارش اعلام کنید. Use a specific IP address for review and evaluation and report that IP address in your report.
موارد PII شامل تمامی اطلاعات نام، نام خانوادگی، آدرس محل سکونت، کد پستی، شماره تلفن، کد ملی می‌باشد. PII includes all information such as name, surname, residential address, postal code, phone number, national ID.
تمام فعالیت‌‎ها و دسترسی‌ها می‌‎بایست در گزارش قید شود. All activities and accesses must be recorded in the report.
مراحل باز‌تولید آسیب‌‎پذیری به طور کامل شرح داده شود. Vulnerability reproduction steps should be fully described.
هرگونه تنظیم خاص مورد نیاز برای بازسازی حمله، باید ارایه شود. Any specific configuration required for attack reconstruction must be provided.
از بارگذاری مستندات آسیب‎‌پذیری‌‎ها در سایت‌های اشتراکی، شبکه‌های اجتماعی و ... اجتناب شود. Avoid uploading vulnerability documentation on shared sites, social networks, etc.
به حریم شخصی افراد و کاربران احترام گذاشته شود و هیچگونه تعاملی با حساب کاربری افراد، بدون رضایت آن‌ها انجام ندهید. برای تست عملکرد آسیب‌پذیری‌های مربوط به حساب کاربری، باید از حساب کاربری خود استفاده کنید. Respect individuals' and users' privacy and do not interact with anyone's user accounts without their consent. For testing account-related vulnerabilities, you must use your own account.
اطلاعات محرمانه نباید افشا شود و پس از تایید گزارش می‌‌‎بایست از نگهداری آن‌ها اجتناب کنید. Confidential information must not be disclosed and you should avoid keeping them after report confirmation.
مبنا‌ی محاسبه‌ی شدت آسیب‌پذیری‌ها استاندارد CVSS v3 می‌باشد. The basis for calculating vulnerability severity is the CVSS v3 standard.
از مشکلات امنیتی‌ که یافته‌اید، به هیچ عنوان، بهره‌برداری و سوءاستفاده نکرده‌ باشید/نکنید. Do not exploit or misuse the security issues you have found under any circumstances.
هیچ‌یک از موازین قانونی کشور را زیر پا نگذاشته باشید. Do not violate any legal standards of the country.
آسیب‌پذیر‌ی‌‎های گزارش‌شده می‎‌بایست تاثیر مشخصی بر کاربران، سامانه‌‎ها یا داده‌‎های میدان داشته باشد. Reported vulnerabilities must have a specific impact on users, systems, or platform data.
دریافت پاداش به معنی مجوز جهت افشای گزارش نمی‌باشد. Receiving a reward does not mean permission to disclose the report.
جهت تست عملکرد آسیب‌پذیر‌ی‌های مرتبط به حساب کاربری، تنها مجاز به استفاده از حساب کاربری خود هستید. For testing account-related vulnerabilities, you are only authorized to use your own user account.
ثبت گزارش آسیب‌پذیری به معنای مطالعه‌ و پذیرش قوانین می‌باشد. Submitting a vulnerability report means studying and accepting the rules.
آسیب‌پذیری‌ها به صورت مجزا تست و بررسی شود و از اطلاعات یا دسترسی‌های بدست‌آمده از یک آسیب‌پذیری در گزارش دیگری استفاده نشود. Vulnerabilities should be tested and reviewed separately, and information or access obtained from one vulnerability should not be used in another report.
شرح آسیب‌‎پذیری به صورت کامل به همراه شدت و خطرات احتمالی توضیح داده شود. The vulnerability description should be explained completely along with severity and potential risks.
مواردی مثل استفاده از چندباره از کوپن در خریدها، خرید از غرفه خود و ... جزو فراد محاسبه می‌شود و بانتی داده نمی‌شود. Cases like repeated use of coupons in purchases, buying from your own store, etc. are considered fraud and no bounty will be given.
در آسیب پذیری‌های XSS حتما نیاز به سناریو یا هایجک توکن حساس کاربر می‌باشد و صرفا پیلود قابل قبول نیست. For XSS vulnerabilities, a scenario or hijacking of sensitive user tokens is required, and payload alone is not acceptable.
در هر گزارش فقط یک آسیب‌‌‎پذیری ارایه شود. Only one vulnerability should be presented in each report.

گزارش‌ آسیب پذیری Vulnerability Report

ایمیل Email

می‌توانید گزارش‌های خود را به آدرس ایمیل زیر ارسال نمایید: You can send your reports to the following email address:

security@basalam.com

لطفاً موضوع ایمیل را به صورت زیر قرار دهید:
[Bug Bounty] عنوان آسیب‌پذیری Please set the email subject as follows:
[Bug Bounty] Vulnerability Title