خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

برنامه های Bug Bounty چیست؟ در اینجا همه چیزهایی است که باید بدانید

ارشیا یوسفی ادیب ۲۸ آبان, ۱۴۰۱ 5 min read

آیا در یک سیستم یا محصول نقصی پیدا کرده اید؟ آیا می خواهید بدانید که هکرهای اخلاقی در واقع چگونه پول در می آورند؟ اینجاست که پاداش های باگ وارد می شوند.

همه نرم افزارها دارای باگ یا نقص هایی هستند که باعث ایجاد مشکل می شوند. آنها از مشکلات پیش پا افتاده که به هیچ وجه بر عملکرد نرم افزار تأثیر نمی گذارد تا آسیب پذیری های امنیتی جدی را شامل می شود.

تشخیص اشکالات ممکن است دشوار باشد، به همین دلیل است که بسیاری از شرکت های فناوری برنامه های پاداش باگ دارند. اما برنامه های پاداش باگ دقیقا چیست؟ چگونه کار می کنند و چگونه به بهبود امنیت محصول کمک می کنند؟

برنامه های Bug Bounty چگونه کار می کنند

شرکت‌ها برنامه‌های پاداش باگ را راه‌اندازی می‌کنند تا هکرهای کلاه سفید را تشویق کنند تا به دنبال حفره‌های امنیتی و آسیب‌پذیری‌های مشابه در نرم‌افزار باشند. معمولاً برای کسانی که یک اشکال را کشف می کنند، جایزه پولی بیش از معقولی وجود دارد، صرف نظر از اینکه برای یک فرد عادی چقدر ناچیز به نظر می رسد.

و این فقط شرکت‌های کوچک و در حال رشد نیستند که برنامه‌های پاداش باگ دارند. در واقع، اکثر غول های فناوری از جمله گوگل، مایکروسافت، فیس بوک و اپل، آنها را اداره می کنند. جزئیات مربوط به این برنامه ها را معمولاً می توان در وب سایت رسمی یک شرکت یافت. بیشتر اوقات، چندین ردیف یا دسته وجود دارد. اما در اصل، هر چه یک باگ مهم تر باشد، پاداش بالاتری خواهد داشت.

هنگامی که یک هکر کلاه سفید یک باگ را کشف می کند، یک گزارش افشای دقیق را ارائه می دهد و توضیح می دهد که چه چیزی پیدا کرده است. سپس مهندسان شرکت، موارد ارسالی را بررسی و بررسی می‌کنند و در صورتی که یافته‌های محقق دقیق و مفید باشد، به آنها اطلاع داده می‌شود و پاداش نقدی دریافت می‌کنند.

این سیستم هم برای شرکت ها و هم برای محققان مستقل کار می کند. از منظر هر شرکتی، بهتر است یک هکر اخلاق مدار یک باگ را کشف کند تا یک عامل تهدید، که به احتمال زیاد قبل از اصلاح، از آن سوء استفاده می کند و به طور بالقوه باعث خسارت میلیون ها نفر می شود. از سوی دیگر، هکرها با شرکت در برنامه‌های پاداش باگ، بخش خوبی از تغییرات ایجاد می‌کنند – برخی حتی با کشف آسیب‌پذیری‌های نرم‌افزار، درآمد تمام وقت به دست می‌آورند.

مطلب مرتبط:   5 دلیل برای اینکه نباید از ایموجی ها در رمز عبور خود استفاده کنید

نمونه هایی از برنامه های Bug Bounty بهبود امنیت نرم افزار

خوب است بدانیم که برنامه‌های پاداش باگ در تئوری چگونه کار می‌کنند، اما بیایید نگاهی به چند نمونه واقعی از شرکت‌هایی بیندازیم که مبالغ هنگفتی به هکرهای کلاه سفید پرداخت می‌کنند.

پلتفرم پل بلاک چین غیرمتمرکز Wormhole با همکاری پلتفرم جایزه اشکالات Immunefi در فوریه 2022 یک برنامه جایزه را راه اندازی کرد که 10 میلیون دلار به هر کسی که یک باگ امنیتی مهم را کشف کند ارائه می کند. به زودی یک هکر کلاه سفید با نام مستعار satya0x یکی را کشف کرد. همانطور که Immunefi در یک پست Medium توضیح داد، این باگ می‌توانست منجر به قفل شدن وجوه کاربران شود، بنابراین satya0x 10 میلیون دلار برای افشای آن دریافت کرد.

همچنین در فوریه 2022، صرافی رمزارز Coinbase به دلیل کشف یک نقص بزرگ در رابط تجاری این پلتفرم، 250000 دلار جایزه باگ بوونتی به یک محقق مستقل پرداخت کرد.

Aurora Labs، شرکت سازنده ماشین مجازی Aurora Ethereum (ETH) در آوریل 2022 جایزه عظیم 6 میلیون دلاری پرداخت کرد. این پول به یک هکر اخلاقی معروف به pwning.eth تعلق گرفت، پس از اینکه او آسیب پذیری را کشف کرد که می توانست تهدید را تهدید کند. بازیگران برای تولید بی نهایت ارز دیجیتال اتریوم در موتور Aurora.

در همین حال، غول تجارت الکترونیک کانادایی Shopify، رکورد خود را در سال 2021 شکست، زمانی که پرداخت پاداش آن به یک میلیون دلار رسید. در آن سال، این شرکت در مجموع 3000 گزارش باگ از هکرهای کلاه سفید در سراسر جهان دریافت کرد. در پاسخ، Shopify حداکثر پاداش خود را به 100000 دلار افزایش داد.

مطلب مرتبط:   تزریق فرمان سیستم عامل چیست؟

این ارقام ممکن است به طرز عجیبی بالا به نظر برسند، اما واقعاً در مقایسه با مقدار پول و داده‌هایی که مجرمان سایبری می‌توانند با کشف آسیب‌پذیری‌ها به دست آورند، نیستند. Wormhole تنها پس از از دست دادن 320 میلیون دلار به دلیل تخلف، پاداش 10 میلیون دلاری باگ تعیین کرد. Aurora Labs به یک هکر کلاه سفید پاداش داد، زیرا 6 میلیون دلار در مقایسه با از دست دادن 240 میلیون دلار ETH کم رنگ است، در حالی که Coinbase و Shopify احتمالاً ده ها میلیون دلار را با پرداخت غرامت به محققان سخت کوش پس انداز کردند.

5 بهترین برنامه باگ بونتی پردرآمد

مردی که روی لپ تاپ کد می نویسد

از آنجایی که شرکت‌ها در واقع با راه‌اندازی برنامه‌های پاداش باگ در هزینه‌های زیادی صرفه‌جویی می‌کنند، مجموعه‌ای از گزینه‌ها وجود دارد که محققان می‌توانند از بین آنها انتخاب کنند. اگر اتفاقاً یک هکر کلاه سفید هستید یا می خواهید یکی شوید، در اینجا پنج برنامه پاداش باگ پردرآمد را در نظر بگیرید.

1. Apple Security Bounty

Apple Security Bounty یکی از محبوب ترین برنامه های پاداش باگ در جهان است. جوایز از 5000 دلار برای کشف آسیب‌پذیری‌های صفحه قفل، تا 2 میلیون دلار برای حفره‌های امنیتی است که عامل تهدید را قادر می‌سازد تا محافظ‌های حالت Lockdown را دور بزند. تنها کاری که برای ارسال یک گزارش باگ (که باید کامل و دقیق باشد) انجام دهید این است که با Apple ID خود وارد شوید.

2. برنامه مایکروسافت Bug Bounty

یکی دیگر از برنامه های محبوب باگ بونتی توسط مایکروسافت اجرا می شود که طیف گسترده ای از جوایز را ارائه می دهد. برنامه مایکروسافت نیز مانند اپل به ده ها دسته مختلف تقسیم می شود. به عنوان مثال، اگر آسیب‌پذیری را در چارچوب Microsoft.NET کشف کنید، می‌توانید انتظار پرداخت تا سقف 15000 دلار را داشته باشید. اما اگر یکی را در Microsoft Hyper-V کشف کنید، ممکن است تا 250000 دلار جایزه دریافت کنید.

مطلب مرتبط:   راهنمای مبتدیان برای Metasploit در کالی لینوکس (با مثال های عملی)

3. برنامه پاداش سامسونگ

برنامه پاداش سامسونگ حول محور محصولات تلفن همراه این شرکت است. این دارای سیاست های نسبتاً سختگیرانه ای است، بنابراین مطمئن شوید که قبل از ارسال یک اشکال، آنها را به دقت بخوانید. همچنین توجه داشته باشید که تنها اشکالاتی که بر امنیت دستگاه های سامسونگ تأثیر می گذارند توسط مهندسان این شرکت در نظر گرفته می شوند. جوایز بین 200 تا 200000 دلار متغیر است.

4. Google Bug Hunters

در برنامه جایزه شکارچی اشکالات گوگل، جوایز تا 30000 دلار افزایش می یابد. شکارچیان اشکال، همانطور که اغلب به هکرهای کلاه سفید گفته می شود، می توانند اشکالات را در Gmail، YouTube، BlogSpot و سایر سرویس های Google گزارش کنند. این برنامه دارای یک جامعه بسیار فعال و دانشگاه آنلاین خود است که می تواند منبع بسیار خوبی برای محققان تازه کار باشد.

5. Meta Bug Bounty

برنامه جایزه متا فیس بوک، اینستاگرام، واتس اپ، مسنجر و تعداد زیادی از محصولات دیگر را پوشش می دهد. برای در نظر گرفتن پاداش (حداقل آن 500 دلار است)، باید آسیب پذیری هایی را پیدا کنید که خطر امنیت یا حریم خصوصی را ایجاد می کنند و الزامات کاملاً تعریف شده را برآورده می کنند. همه گزارش های معتبر پاسخ دریافت می کنند. اگر چندین شکارچی متوجه یک موضوع شوند، جایزه به اولین نفری که گزارش ارائه می کند داده می شود.

Bug Bounty Programs: بهترین امنیت Crowdsourced

برنامه‌های پاداش اشکال بهترین امنیت جمع‌سپاری را نشان می‌دهند. و این فقط شرکت های فناوری و محققان امنیت سایبری نیستند که از آنها سود می برند – همه از جمله مصرف کنندگان از آنها بهره می برند.

برای برخی، شکار حشرات یک سرگرمی و برای برخی دیگر یک حرفه تمام عیار است. اگر در دسته دوم قرار می گیرید یا آرزو دارید، دوره های آنلاین زیادی وجود دارد که ارزش دیدن آنها را دارد.

Tags: