باگ باونتی چیست؟ (bug bounty) /2021

باگ باونتی چیست؟

باگ باونتی چیست؟ در واقع باگ باونتی برنامه‌ی است که به صورت یک معامله بین وب سایت‌ها، سازمان‌ها و
توسعه دهندگان نرم‌افزار انجام می‌شود تا گزارشی از باگ‌ها و خطاهای سیستم خود، اعم از
پروتکل‌های امنیتی و آسیب پذیری را تعیین و جبران خسارت نمایند. همچنین یک راه درست
برای هک کلاه سفید و باعث درآمد زایی برای هکر هاست.
برای پاسخ به باگ باونتی چیست؟ باید کمی عمیق‌تر به تاریخچه آن نگاه کنیم.

مطالب مرتبط

• باگ xfs چیست؟
• باگ RFU چیست؟
• آموزش تشخیص باگ SQL
• باگ xss چیست؟ آموزش تشخیص باگ xss

تاریخچه باگ باونتی

باگ باونتی چیست؟ در سال ۱۹۸۳ دو نفر به نام های Colin Hunter و James Ready اولین برنامه باگ باونتی را برای
سیستم عامل خود ایجاد کردند. چند سال بعد یعنی در ۱۹۹۵ پشتیبان فنی شرکت Netscape که
در زمینه خدمات رایانه‌ای در ایالات متحده آمریکا فعال است نام ‘Bugs Bounty’ را ابداع کرد.

از رویدادهای مهم در این زمینه، به کشف یک ایراد در اکانت‌های فیسبوک بود که توسط یکی از دانشجویان علوم کامپیوتر فلسطینی پیدا شد، بود.

مسئله این بود که هر کسی می‌توانست یک ویدیو به اکانت‌های فیسبوک بدون نیاز به هیچ عضویت، دسترسی و مجوز خاصی بود. که توسط
همین فرد به وسیله ایمیل به مهندسان ارشد این شرکت اطلاع داده شد که در ابتدا از طرف فیسبوک

نادیده گرفته شد و کمی بعد با استفاده از همین نقص یک ویدیو به مدیر عامل آن یعنی مارک زاگبرگ فرستاده شد.

از آن به بعد این کمپانی تصمیم گرفت تا با ارائه کارت اعتباری فیسبوک از علاقه مندان
به حوزه هک ،دعوت کند تا به رفع مشکلات و آسیب پذیری های آن

بپردازند، که تا سال ۲۰۱۴ ادامه داشت.
حالا که فهمیدیم باگ باونتی چیست؟  خوب است نگاهی به کسب و کار هایی که این امکان را برای
هکرها با مبالغ خوب درنظر گرفتند بپردازیم.

۵ برنامه برتر باگ باونتی

۱-راورو

ابتدا به یک برنامه خوب ایرانی در این عرصه به نام راورو اشاره می‌کنیم که در سال ۱۳۹۷ رونمایی شد.
اگر توانایی در این زمینه دارید می‌توانید در این سایت بکار بگیرید و کسب درآمد کنید.

۲- گوگل

هر محتوایی در گوگل و شرکت های زیر مجموعه آن شامل: .google.com, .blogger, youtube.com
شامل باگ باونتی می‌شوند.

• محدودیت: تنها شامل طراحی و پیاده سازی می‌شود.
• حداقل پاداش: $۳۰۰ برای پیدا کردن تقص امنیتی
• حداکثر پاداش: $۳۱.۳۳۷ برای یکی از اپلیکیشن‌های آن. مانند: Youtube

۳- مایکروسافت

برای اشکالات فعلی مایکروسافت در ۲۳ سپتامبر ۲۰۱۴ رسماً راه اندازی شد و فقط به خدمات آنلاین می پردازد.

• محدودیت: فقط برای اشکالات مهم و حیاتی می‌باشد.
• حداقل پاداش:$۱۵,۰۰۰ برای مشکلات فنی اساسی پرداخت می‌کند.
• حداکثر پاداش: $۲۵۰,۰۰۰

۴- Apple

هنگامی که اپل برای اولین بار برنامه باگ باونتی خود را راه اندازی کرد، تنها به ۲۴ نفر اجازه این کار را داد.
با گسترش کار این شرکت این تعداد نیز افزایش پیدا کرد.

• محدودیت: بدون محدودیت
• حداقل پاداش: حد مشخصی ندارد ولی معمولا  $۱۰۰,۰۰۰ است.
• حداکثر پاداش: $۲۰۰,۰۰۰ برای پیدا کردن نقص در سیستم عامل و سخت افزار می‌پردازد.

۵- توییتر Twitter

کمپانی از تمامی هکرهای امنیتی و متخصصان این حوزه برای رفع آسیب پذیری های خود، حمایت می‌کند.

• محدودیت: بدون محدودیت
• حداقل پاداش: $۱۴۰
• حداکثر پاداش: $۱۵۰۰۰

چگونه وارد حوزه باگ باونتی (Bug Bounty) شویم؟

اگر اخبار حوزه فناوری اطلاعات را دنبال می کنید ، حتما شاهد اخبار برنده جایزه برای هک نرم افزار شرکت ها و موسسات بوده اید. اما از سال ۲۰۱۲ ، سایتی به نام hackerone راه اندازی شد که به شرکت ها اجازه می دهد با پرداخت هزینه هکرها یا شکارچیان باگ ، ها رو مشکلات موجود در سایت و برنامه های کاربردی آنها را کشف و برطرف کنند.

سایت هکر‌ وان پرداخت بیت‌کوین را نیز برای کاربرانش فراهم کرده‌ است ، از آنجایی که کشور هایی که تحت تحریم‌های مالی قرار دارند پرداخت پول از طریق روش‌های عادی امکان ناپذیر است.

در صورت ثبت باگ در این سایت و تایید آن و با در نظر داشتن اینکه پرداخت بیت‌کوینی مشکلی نداشته باشد، ثبت باگ در این سایت با توجه به وضعیت نرخ ریال در برابر دلار فعالیت در این حوزه بسیار سودآور خواهد بود.

جوانب منفی برنامه باگ باونتی

برنامه های باگ باونتی همیشه خوب نیستند و می توانند اشکالات زیادی را به وجود آورند. برای مثال:

• مهندس هایی که از لحاظ اخلاقی مشکل دارند ممکن است در عوض اطلاعات باگ ها را به منابع دیگر بفروشند.
• آزمایش های محققان می تواند به حملات مخرب تبدیل شود از جمله حملات تکذیب سرویس.
• با داشتن برنامه بانتی، تلاش به نفوذ به سرویس شما بیشتر می شود.

شما ممکن است فکر بکنید که یک برنامه باگ باونتی باعث می شود که دیگر زمان و هزینه ایی بابت پیدا کردن باگ در برنامه خود نکنیم ، اما این کاملا اشتباه است.

برنامه باگ باونتی نیاز به مدیریت و استخدام متخصص دارد تا زمان خود را صرف برنامه کند و اشکالات یا اشکالات را پیدا کند. به یاد داشته باشید ، کسانی که اشکالات شما را می گیرند افرادی هستند که توانایی نفوذ به سایت و برنامه شما را دارند. آنها دارند و بهتر است با آنها رابطه خوبی برقرار کنید.

برخی افراد واقعاً می خواهند اشکالات را بیابند و آنها را به شما گزارش دهند. دیگران ممکن است از شما اخاذی کنند. و دیگران فقط می خواهند خدمات شما را مختل یا مختل کنند.

جوانب مثبت برنامه باگ باونتی

• با توجه به دامنه گسترده تر متقاضیان ، اشکالات بیشتری پیدا می شود.
• اشکالات قبل از آسیب رساندن شناسایی می شوند.
• هرچه بیشتر برنامه یا سایت مورد نظر خود را بررسی کرده باشید ، اشکالات عمده آن از بین می رود.
• زمان کم تری برای پیدا کردن اشکالات لازم است.

در اینجا مزایایی را بیان کردیم که بستگی به تصمیم مخاطبان برای یافتن باگ در سایت یا نرم افزار شما است ( ممکن است دیگران از باگ ها سوء استفاده کنند).

شما دیگر محدود به مهندس های  موجود در تیم خود به صورت محلی نیستید، زیرا گزارش ها از هر جای دنیا قابل ارائه است.

این بدان معنی است که شما از جمع بیشتری از مهندسان نسبت به محل خود بهره خواهید برد و از بهترین استعدادهای موجود در سراسر جهان استفاده خواهید کرد. بهتر است یک شکارچی باگ مشکلات شما را نسبت به یک هکر کلاه سیاه پیدا کند.