باگ بانتی چیست ؟

باگ بانتی
برنامه نویسی مقالات

باگ بانتی چیست ؟

باگ بانتی شاید این سوال برای شما هم پیش اید که چگونه می توانید از علمی که در بحث تست نفوذ و امنیت دارید کسب در آمد کنید و به فعالیت خود در این حوزه ادامه دهید به این منظور باید بگوییم که شما می توانید با کشف باگ های مختلف در نرم افزار ها , وب سایت ها , وب اپلیکشین ها و … به کسب در آمد برسید و نسبت به خطرناک بودن و سطح باگ پیدا شده توسط شما هزینه ای به شما پرداخت می شود که هر باگ در یک رنج قیمت مشخص شده ای خواهد داشت.

برای مثال می توانید زمانی که از یک وب سایت یک باگ یا اسیب پذیری پیدا کردید با مدیر وب سایت ارتباط برقرار کنید و این مسئله را با او در میان بگذارید و سپس قبل از اینکه باگ مورد نظر توسط اشخاص سودجو مورد سو استفاده قرار بگیرد شما با دریافت هزینه باگ مورد نظر را برای کارفرکای خود پچ کنید .

دقت داشته باشید که باگ بانتی کار چندان ساده ای نیست و باید در این زمینه از مهارت خوبی برخوردار باشید و تجربه خوبی کسب کرده باشید تا بتوانید از چنین پروژه هایی موفق و سربلند بیرون بیایید و نکته ای که حائز اهمیت است این است که هزینه ای که به شما داده می شود نسبت به مهارت شما متغیر است .

در ادامه این مقاله از تدریس24 همراه ما باشید.

 

باگ بانتی (bug bounty) چیست ؟

 

به گفته ویکی پدیا باگ بانتی به دلیل گزارش باگ‌ها، به خصوص باگ‌هایی که باعث سو استفاده و آسیب پذیری می‌شوند، در ازای گزارش این باگ‌ها افراد پاداش دریافت می‌کنند و به رسمیت شناخته می‌شوند، مورد توجه بسیاری از وب سایت‌ها و توسعه دهندگان نرم‌افزاری قرار گرفته‌است.

این برنامه‌ها به توسعه دهندگان اجازه می‌دهند که باگ‌ها را قبل از اینکه عموم مردم از آن‌ها مطلع شوند کشف کنند، و مانع از حوادثی چون سو استفاده گسترده شوند. برنامه‌های باگ باونتی توسط تعداد زیادی از سازمان‌ها،از جمله Mozilla، Facebook،Yahoo،Google،Reddit،Square و Microsoft اجرا شدند.

شرکت‌های صنعتی که با تکنولوژی سر و کار چندانی ندارند، اما سازمان‌های محافظه کار سنتی مانند وزارت دفاع امریکا، استفاده از برنامه‌های باگ باونتی را آغاز کردند. استفاده پنتاگون از برنامه‌های باگ باونتی بخشی از برنامه تغییر دولت است و چندین آژانس دولتی آمریکا از این برنامه استفاده می‌کنند، بر طبق این برنامه از هکرهای کلاه سفید (در زمینه امنیت کامپیوتری) دعوت می‌شود تا در افشای آسیب پذیری‌های امنیتی مشارکت کنند.

باگ بانتی نام معامله ایی است که می توانید در ازای دریافت پول، باگ یا اشکالات را در یک نرم افزار یا یک وبسایت و … پیدا کنید. برای مثال من در یک سایت یا نرم افزار یک مشکل جدی پیدا می کنم که باعث می شود.

 اطلاعات با ارزشی را دریافت کنم که برای سازنده مهم باشد ، میتوانیم با برقراری ارتباط با مدیر سایت یا نرم افزار انها را مطلع کنیم و پاداش خود را دریافت کنیم. و قبل از اینکه مشکل فراگیر شود و مورد سوء استفاده قرار بگیرد مشکل را آپدیت کنیم.

باگ بانتی
جوانب مثبت برنامه باگ بانتی

باگ بانتی با توجه به دامنه گسترده تر متقاضیان ، اشکالات بیشتری پیدا می شود.

اشکالات قبل از آسیب رساندن شناسایی می شوند.

هرچه بیشتر برنامه یا سایت مورد نظر خود را بررسی کرده باشید ، اشکالات عمده آن از بین می رود.

زمان کم تری برای پیدا کردن اشکالات لازم است.

در اینجا مزایایی را بیان کردیم که بستگی به تصمیم مخاطبان برای یافتن باگ در سایت یا نرم افزار شما است ( ممکن است دیگران از باگ ها سوء استفاده کنند).

باگ بانتی شما دیگر محدود به مهندس های  موجود در تیم خود به صورت محلی نیستید، زیرا گزارش ها از هر جای دنیا قابل ارائه است. این بدان معنی است که شما از جمع بیشتری از مهندسان نسبت به محل خود بهره خواهید برد و از بهترین استعدادهای موجود در سراسر جهان استفاده خواهید کرد. بهتر است یک شکارچی باگ مشکلات شما را نسبت به یک هکر کلاه سیاه پیدا کند.

جوانب منفی برنامه باگ بانتی

برنامه های باگ بانتی همیشه خوب نیستند و می توانند اشکالات زیادی را به وجود آورند. برای مثال:

مهندس هایی که از لحاظ اخلاقی مشکل دارند ممکن است در عوض اطلاعات باگ ها را به منابع دیگر بفروشند.

آزمایش های محققان می تواند به حملات مخرب تبدیل شود از جمله حملات تکذیب سرویس.

با داشتن برنامه بانتی، تلاش به نفوذ به سرویس شما بیشتر می شود.

شما ممکن است فکر بکنید که یک برنامه باگ بانتی باعث می شود که دیگر زمان و هزینه ایی بابت پیدا کردن باگ در برنامه خود نکنیم ، اما این کاملا اشتباه است.

برنامه باگ باونتی نیاز به مدیریت و استخدام متخصص دارد که وقت خود را روی برنامه بگذارند و اشکالات یا باگ های  آن را پیدا کنند ، به یاد داشته باشید کسانی که باگ های شما را شکار می کنند  افرادی هستند که توانایی نفوذ به سایت و برنامه شما را دارند و بهتر است که رابطه خوبی با آنها برقرار کنید.

بعضی ها واقعاً می خواهند اشکالات را پیدا کنند و آنها را به شما گزارش دهند. ممکن است دیگران از شما باج گیری کنند . و برخی دیگر فقط میخواند سرویس های شمارا خراب کنند یا اختلال در آن به وجود آورند.

برای ورود به این حوزه باید چند نوع دانش پایه داشته باشید؟
  • باگ بانتی فراگیری زبان های برنامه نویسی و طراحی وب

برای یافتن ضعف‌های هر چیزی شما باید با نحوه‌ی ساخت آن نیز حتما آشنا باشید. دانستن و یادگیری جاوااسکریپت (java script) و HTML و … پایه‌ای‌ترین دانشی است که باید فرا بگیرید زیرا که آنها سنگ بنای ساخت یک صفحه وب هستند .

همچنین آشنایی با نحوه عملکرد یک مرورگر، انکودشدن URLها، XML و خیلی چیز‌های دیگر (فایر‌وال، پروکسی، API، دیتابیس ها و..) که اگر علاقمند به ورود به این حوزه‌اید باید آنها را یاد بگیرید.

  • یادگیری اصول شبکه و وب

همچنین شما باید در ذهن خود مراحل کار کردن یک شبکه که یک سایت یا اپلیکیشن به آن متصل هست را به خوبی در ذهن خود پردازش کنید و بعد برای نفوذ کردن به آن شبکه راه های مختلف را امتحان کنید.

  • شناخت انواع حملات

باگ بانتی آشنایی با انواع حملات مثل (DDOS , sniffing , phishing و …) و همچنین نحوه ساز‌و‌کار آنها را نیز باید یاد بگیرید.

  • ابزارها

باگ بانتی نرم‌افزار‌های BurpSuite، OWASP ZAP، Aqua Tone، را می‌توانید براحتی با سرچ در گوگل پیدا و نصب کنید. این نرم‌افزارها برای ارسال Payload و بررسی ریپانس وب‌سایت‌ها مناسب‌اند.البته ابزار‌های دیگری نیز قطعا وجود دارند.

 که بدون رابط‌گرافیکی هستند که پس از آشنایی بیشتر و کسب تجربه بیشتر می‌توانید آنها را از گیت‌هاب یا گیت لب دانلود کنید.(همچنین وب سایت کالی بویز یک دوره کامل برای تحلیل آسیب پذیری های وب اپلیکیشن ها تولید کرده که که میتوانید از اینجا خریداری کنید)

  • بروزرسانی

باگ بانتی دنبال کردن هکرهای باتجربه در شبکه‌های اجتماعی به خصوص توییتر و اینستاگرام می‌تواند به اطلاعات شما بیافزاید. خواندن آنالیز‌های هکر‌های دیگر از باگ‌هایی که کشف کرده‌اند میتواند بسیار مفید باشد و نکات آموزشی فراوانی به همراه دارد. و از سایت های مختلف که در حوزه شبکه فعالیت دارند میتوانید اخبار به روز هکر ها را بخوانید.

دیدگاه خود را اینجا قرار دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

اعضا

‫بروز رسانی

سمیرا مردانی's بروزسانی مشخصات انجام شد 1 سال, ماه 2 قبل

محمد جواد محمدی's بروزسانی مشخصات انجام شد 1 سال, ماه 2 قبل

مریم نوری's بروزسانی مشخصات انجام شد 1 سال, ماه 2 قبل

محمد امین طاهری's بروزسانی مشخصات انجام شد 1 سال, ماه 2 قبل

نگار حجتی's بروزسانی مشخصات انجام شد 1 سال, ماه 2 قبل

فیلدهای نمایش داده شده را انتخاب کنید. دیگران مخفی خواهند شد. برای تنظیم مجدد سفارش ، بکشید و رها کنید.
  • عکس
  • شناسه محصول
  • امتیاز
  • قیمت
  • در انبار
  • موجودی
  • افزودن به سبد خرید
  • توضیحات
  • محتوا
  • عرض
  • اندازه
  • تنظیمات بیشتر
  • ویژگی ها
  • ویژگی های سفارشی
  • زمینه های دلخواه
برای پنهان کردن نوار مقایسه ، بیرون را کلیک کنید
مقایسه
مقایسه ×
Let's Compare! Continue shopping