دریافت پاداش متناسب با اهمیت کشف شما
شفافیت در کل فرآیند گزارش
تأثیرگذاری واقعی بر امنیت یک پلتفرم بزرگ
احترام به تلاش و مالکیت معنوی باگهانترها
جوایز
مبلغ جایزهها بر اساس اهمیت گزارشها
حیاتی
تا 1,000,000,000 تومان
بحرانی
تا 300,000,000 تومان
بالا
تا 90,000,000 تومان
متوسط
تا 30,000,000 تومان
پایین
تا 10,000,000 تومان
قلمرو
گزارش ها بر اساس داراییها و دامنههای زیر تعیین میشود
دامنه رمزینکس
ramzinex.com
زیردامنههای رمزینکس
*.ramzinex.com
جدول درجهبندی تأثیر آسیبها
میزان تاثیر آسیبها بر اساس این جدول تعیین میشود
حیاتی
Unauthorized access to Ramzinex hot/cold wallets
بحرانی
Mass access to user accounts
Injection + Privilege Escalation to System Account
Arbitrary code/command execution on vital servers
Tricking the automatic crypto deposit detection system to credit a user's account
بالا
Vertical/Horizontal Privilege Escalation
Insecure Direct Object Reference
Authorization/Authentication Bypass
Local File Inclusion
Source Code Disclosure
Server Side Request Forgery that leads to higher impact like accessing files
Stored XSS (Non-Privileged User to Privileged user)
متوسط
Account Takeover by User Interaction
Reflected XSS
OAuth misusable misconfiguration
پایین
Open Redirect (GET-Based)
SSRF (External)
Information Disclosure through Errors
SMS Bomber
CRLF Injection
خارج از محدوده
Self XSS
Internal open redirect
Brute Forcing accounts
DOS/DDOS attacks
Vulnerabilities related to rate limit are considered outside the scope of bug bounty until they lead to a vulnerability with a higher degree of importance.
Social engineering attacks
Physical attacks or exploits
Vulnerabilities on third-party websites or applications
Vulnerabilities already reported by others
Vulnerabilities requiring physical access to devices
Spam or phishing vulnerabilities
Clickjacking without evidence of a vulnerability
Issues related to outdated or unsupported browsers/clients
Email spoofing
lack of security headers
Issues related to insecure SSL/TLS cipher suites or protocols
SSRF (DNS Query Only)
Open Redirect (POST-Based)
Captcha brute force
Exposed Admin Portal To Internet
Public Admin Login Page
Deprecated Open Source libraries
Publicly available leaked credentials (e.g., database dumps) found online
Theoretical vulnerabilities without proof of concept
Output from automated tools/scanners or AI-generated reports
Issues without security impact
Missing best practices (e.g., lack of input validation) without impact
Disclosure of non-sensitive public information
قوانین و نکات مهم
شرایط و ضوابط گزارش باگ
- در حال حاضر گزارشهای مربوط به ramzinex.com/help و ramzinex.com/club و ramzinex.com/blog و docs.ramzinex.com شامل بانتی نمیباشد.
- گزارشها را خصوصی به ایمیل تیم امنیتی ارسال کنید.
- تست فقط روی حسابهای شخصی انجام شود.
- دسترسی/تغییر/افشای دادههای کاربران دیگر ممنوع.
- انتشار عمومی گزارشها منوط به تأیید تیم امنیتی صرافی رمزینکس است.
- گزارشها باید قابل اکسپلویت (Exploit) باشند.
- حذف دادههای حساس پس از تأیید گزارش الزامی است.
- به آسیبپذیریهای مشابه در دامنههای مختلف فقط یک جایزه تعلق میگیرد.
- جوایز منحصراً برای Scope تعریفشده اعطا میشود.
- آسیبپذیریهای بدون Exploit و سناریو حمله جایزهای ندارند.
- داوری Impact آسیبپذیری با تیم امنیتی است.
- زیردامنههای تست/دیباگ غیرمجاز هستند.
- ارائه گامبهگام Reproduction Steps
- ذکر سناریو حمله (Attack Scenario)
- ارائه PoC (ترجیحاً ویدیو)
- ذکر Browser/OS/Payloadهای استفادهشده
- گزارشهای مبتنی بر اسکنر اتوماتیک بدون PoC رد میشوند.
- ارسال گزارش: security@ramzinex.com