باگ بانتی چیست ؟ (bug bounty) /2021


باگ بانتی چیست ؟
فهرست موضوعات مطالب
باگ بانتی چیست ؟ در واقع باگ بانتی برنامهی است که به صورت یک معامله بین وب سایتها، سازمانها و
توسعه دهندگان نرمافزار انجام میشود تا گزارشی از باگها و خطاهای سیستم خود، اعم از
پروتکلهای امنیتی و آسیب پذیری را تعیین و جبران خسارت نمایند. همچنین یک راه درست
برای هک کلاه سفید و باعث درآمد زایی برای هکر هاست.
برای پاسخ به باگ باونتی چیست؟ باید کمی عمیقتر به تاریخچه آن نگاه کنیم.
مطالب مرتبط
تاریخچه باگ بانتی
باگ بانتی چیست ؟ در سال ۱۹۸۳ دو نفر به نام های Colin Hunter و James Ready اولین برنامه باگ باونتی را برای
سیستم عامل خود ایجاد کردند. چند سال بعد یعنی در ۱۹۹۵ پشتیبان فنی شرکت Netscape که
در زمینه خدمات رایانهای در ایالات متحده آمریکا فعال است نام ‘Bugs Bounty’ را ابداع کرد.
از رویدادهای مهم در این زمینه، به کشف یک ایراد در اکانتهای فیسبوک بود که توسط یکی از دانشجویان علوم کامپیوتر فلسطینی پیدا شد، بود.
مسئله این بود که هر کسی میتوانست یک ویدیو به اکانتهای فیسبوک بدون نیاز به هیچ عضویت، دسترسی و مجوز خاصی بود. که توسط
همین فرد به وسیله ایمیل به مهندسان ارشد این شرکت اطلاع داده شد که در ابتدا از طرف فیسبوک
نادیده گرفته شد و کمی بعد با استفاده از همین نقص یک ویدیو به مدیر عامل آن یعنی مارک زاگبرگ فرستاده شد.
از آن به بعد این کمپانی تصمیم گرفت تا با ارائه کارت اعتباری فیسبوک از علاقه مندان
به حوزه هک ،دعوت کند تا به رفع مشکلات و آسیب پذیری های آن
بپردازند، که تا سال ۲۰۱۴ ادامه داشت.
حالا که فهمیدیم باگ باونتی چیست؟ خوب است نگاهی به کسب و کار هایی که این امکان را برای
هکرها با مبالغ خوب درنظر گرفتند بپردازیم.


۵ برنامه برتر باگ باونتی
۱-راورو
ابتدا به یک برنامه خوب ایرانی در این عرصه به نام راورو اشاره میکنیم که در سال ۱۳۹۷ رونمایی شد.
اگر توانایی در این زمینه دارید میتوانید در این سایت بکار بگیرید و کسب درآمد کنید.
۲- گوگل
هر محتوایی در گوگل و شرکت های زیر مجموعه آن شامل: .google.com, .blogger, youtube.com
شامل باگ باونتی میشوند.
- محدودیت: تنها شامل طراحی و پیاده سازی میشود.
- حداقل پاداش: $۳۰۰ برای پیدا کردن تقص امنیتی
- حداکثر پاداش: $۳۱.۳۳۷ برای یکی از اپلیکیشنهای آن. مانند: Youtube
۳- مایکروسافت
برای اشکالات فعلی مایکروسافت در ۲۳ سپتامبر ۲۰۱۴ رسماً راه اندازی شد و فقط به خدمات آنلاین می پردازد.
- محدودیت: فقط برای اشکالات مهم و حیاتی میباشد.
- حداقل پاداش:$۱۵,۰۰۰ برای مشکلات فنی اساسی پرداخت میکند.
- حداکثر پاداش: $۲۵۰,۰۰۰
۴- Apple
هنگامی که اپل برای اولین بار برنامه باگ باونتی خود را راه اندازی کرد، تنها به ۲۴ نفر اجازه این کار را داد.
با گسترش کار این شرکت این تعداد نیز افزایش پیدا کرد.
- محدودیت: بدون محدودیت
- حداقل پاداش: حد مشخصی ندارد ولی معمولا $۱۰۰,۰۰۰ است.
- حداکثر پاداش: $۲۰۰,۰۰۰ برای پیدا کردن نقص در سیستم عامل و سخت افزار میپردازد.
۵- توییتر Twitter
کمپانی از تمامی هکرهای امنیتی و متخصصان این حوزه برای رفع آسیب پذیری های خود، حمایت میکند.
- محدودیت: بدون محدودیت
- حداقل پاداش: $۱۴۰
- حداکثر پاداش: $۱۵۰۰۰
چگونه وارد حوزه باگ بانتی (Bug Bounty) شویم؟
اگر اخبار حوزه فناوری اطلاعات را دنبال می کنید ، حتما شاهد اخبار برنده جایزه برای هک نرم افزار شرکت ها و موسسات بوده اید. اما از سال ۲۰۱۲ ، سایتی به نام hackerone راه اندازی شد که به شرکت ها اجازه می دهد با پرداخت هزینه هکرها یا شکارچیان باگ ، ها رو مشکلات موجود در سایت و برنامه های کاربردی آنها را کشف و برطرف کنند.
سایت هکر وان پرداخت بیتکوین را نیز برای کاربرانش فراهم کرده است ، از آنجایی که کشور هایی که تحت تحریمهای مالی قرار دارند پرداخت پول از طریق روشهای عادی امکان ناپذیر است.
در صورت ثبت باگ در این سایت و تایید آن و با در نظر داشتن اینکه پرداخت بیتکوینی مشکلی نداشته باشد، ثبت باگ در این سایت با توجه به وضعیت نرخ ریال در برابر دلار فعالیت در این حوزه بسیار سودآور خواهد بود.
جوانب منفی برنامه باگ بانتی
برنامه های باگ بانتی همیشه خوب نیستند و می توانند اشکالات زیادی را به وجود آورند. برای مثال:
- مهندس هایی که از لحاظ اخلاقی مشکل دارند ممکن است در عوض اطلاعات باگ ها را به منابع دیگر بفروشند.
- آزمایش های محققان می تواند به حملات مخرب تبدیل شود از جمله حملات تکذیب سرویس.
- با داشتن برنامه بانتی، تلاش به نفوذ به سرویس شما بیشتر می شود.
شما ممکن است فکر بکنید که یک برنامه باگ بانتی باعث می شود که دیگر زمان و هزینه ایی بابت پیدا کردن باگ در برنامه خود نکنیم ، اما این کاملا اشتباه است.
برنامه باگ باونتی نیاز به مدیریت و استخدام متخصص دارد تا زمان خود را صرف برنامه کند و اشکالات یا اشکالات را پیدا کند. به یاد داشته باشید ، کسانی که اشکالات شما را می گیرند افرادی هستند که توانایی نفوذ به سایت و برنامه شما را دارند. آنها دارند و بهتر است با آنها رابطه خوبی برقرار کنید.
برخی افراد واقعاً می خواهند اشکالات را بیابند و آنها را به شما گزارش دهند. دیگران ممکن است از شما اخاذی کنند. و دیگران فقط می خواهند خدمات شما را مختل یا مختل کنند.
جوانب مثبت برنامه باگ بانتی
- با توجه به دامنه گسترده تر متقاضیان ، اشکالات بیشتری پیدا می شود.
- اشکالات قبل از آسیب رساندن شناسایی می شوند.
- هرچه بیشتر برنامه یا سایت مورد نظر خود را بررسی کرده باشید ، اشکالات عمده آن از بین می رود.
- زمان کم تری برای پیدا کردن اشکالات لازم است.
در اینجا مزایایی را بیان کردیم که بستگی به تصمیم مخاطبان برای یافتن باگ در سایت یا نرم افزار شما است ( ممکن است دیگران از باگ ها سوء استفاده کنند).
شما دیگر محدود به مهندس های موجود در تیم خود به صورت محلی نیستید، زیرا گزارش ها از هر جای دنیا قابل ارائه است.
این بدان معنی است که شما از جمع بیشتری از مهندسان نسبت به محل خود بهره خواهید برد و از بهترین استعدادهای موجود در سراسر جهان استفاده خواهید کرد. بهتر است یک شکارچی باگ مشکلات شما را نسبت به یک هکر کلاه سیاه پیدا کند.
1 دیدگاه