باگ بانتی چیست؟
به مسابقات کشف آسیب پذیری یا باگ گفته میشود در واقع برنامههایی هستند که میتوانند سایتها و اپلیکیشن توسعه دهندگان را بررسی کرده و اگر باگ امنیتی را پیدا کند پاداشی میگیرند هدف از این کار پیدا کردن آسیب پذیریها قبل از آنکه این نرمافزارها به عموم انتشار شود که پاداشها به صورت نقدی یا غیرنقدی ایا دادن مدرک به افراد داده میشود. برنامههای باگ بانتی به تازگی در ایران ایران رواج پیدا کرده محققان میتوانند از این راه اشکالات سازمانی خود را پیدا کنند و در مقابل برای آن افراد پاداشی پرداخت نمایند. بسیاری از سازمانها و شرکتها برای برنامههای امنیتی خود از این روش استفاده میکنند و میتوانند اشکالات موجود در سایت و یا اپلیکیشن خود را پیدا کرده و آن را برطرف کنند. دلیل استفاده شرکتها و سازمانها از این روش آن است که بتوانند دانش کاربران خلاق اندازه استفاده نمایید همچنین آنها دسترسی نداشتم و مانند یک آزمایش کننده با حداقل هزینه از مزایای وجود آنها بهره مند شوند.
باگ بانتی چیست؟
چرا افراد به bug bounty شرکت میکنند
افراد و محققانی که به این برنامه شرکت میکند میتوانند دانش خود را محک زده و در این زمینه پیشرفت نمایند همچنین به دلیل پاداشهای نقدی امکان پولدار شدن و معروف شدن در این بخش وجود داشته به همین دلیل آنها را ترغیب میکند تا بخواهند از آنها استفاده کرده و تجربیات خود را به شرکتها نشان داده و بسیاری از آنها توانستن از این طریق یک عضو از تیمشان بشوند و با آنها به صورت رسمی همکاری کنند این روش میتواند برای کاربران شغلی با درآمد بالا و تمام وقت تبدیل شده و کاربران بتوانند مهارتهای خود را محک زده و یا حتی خود را با این کار سرگرم سازند.
معایب این برنامه برای افراد مستقل
افراد و یا محققانی که به بررسی سیستم شرکتها و سازمانها میپردازند به مشکلات زیادی برخوردهاند برای مثال از مشکلاتهایی که این کاربران با آن روبه رو هستند این است که ممکن است تعداد نفرات زیادی در پی مشکلات و بررسی سیستم موجود هستند که شاید به هفته و یا ماهها طول کشیده و زمان ببرد ولی شرکتها و سازمانها اولین فردی که مشکلات و عیبها را بررسی و پیدا کرده است پاداش میدهند و در واقع میتوان با این کار باعث میشود اشخاص دیگر وقت خود را بیهوده تلف کردند.
معایب این برنامه برای سازمانها
- این برنامه برای سازمانهای مفید است که بالغ نبوده و نتواند خود به سرعت مشکلات را شناسایی کند علاوه بر آن برنامه bug bounty تعداد زیادی مقاله را ارسال خواهند کرد که ممکن است تعداد زیادی از آنها بی کیفیت بوده و سازمانها باید آمادگی برای مقابله با هشدارها را داراست.
- همچنین زمانی که سازمانها برنامه خود را در اختیار bug bounty قرار میدهند کاربران بتوانند آنها را بررسی کنند به این آگاه شد که در یک بازه زمانی تعیین شده نمیتوانند مشکلات سیستم خود را پیدا نمایند در واقع هیچ تضمینی وجود ندارد که حتماً کاربران آنها را پیدا کرده و گزارشات را ارسال میکند و ممکن است هیچ وقت این اتفاق صورت نگیرد.
برنامهی bug bounty یا تست نفوذ
اینکه بخواهیم در بین این دو برنامه برنامه خوب را انتخاب کنیم باید بگوییم که هر کدام از آنها دارای نقاط قوت و ضعف هستند و نمیتوان با یک دیگر مقایسه کرد برای مثال:
- اگر سازمان موجود دنبال افراد زیادی است که مهارتهای خوبی داشته و خواهان آن است که مشکلات برنامه را بدون حساسیت انجام دهند و نیاز این است که کاربران به خصوص خاصی داشته، برنامههای باد بانتی برای سازمانها مناسبتر است.
- اما اگر برنامههای یک سازمان حساس بوده و نیاز به تخصص خاص دارند و سازمانها خواهان آن هستند که در یک بازه زمانی مشخص به نتیجه برسند برنامه تست نفوذ برای آنها مناسبتر است.
مهارتهای لازم در برنامهی باگ بانتی
- مهارت در شبکه: یکی از مهارتهایی است که هر سازمان به نیازمند بوده و برای بهتر کردن پروژه خود میبایست از آنها استفاده نمایید.
- مهارت کار با لینوکس: اگر شما جزو افرادی هستید که میخواهید در این نرمافزار فعالیت خود را آغاز کرده و درآمد کسب کنید باید مهارتهای لازم را برای کار کردن با لینوکس به دست آورده تا بتوانید تواناییهای خود را بالا ببرید در حین انجام خواسته شده به مشکل بر نخورید.
- ابزارها: کاربر باید بتواند با نرمافزارهای aqua tone، burpsuite کار نمایند.
مزایای استفاده از باگ باونتی
- در این برنامه متقاضیان زیادی وجود دارد که میتواند اشکالات بیشتری از سیستم را پیدا کرده و آنها را برطرف نماید.
- همچنین باعث میشود اشکالات موجود از آسیب رساندن به برنامه شناسایی شده و برطرف شد شوند.
- هرچه بیشتر سایتها را بررسی کند اشکالات آن بهتر و زودتر از بین خواهد رفت.
- زمان کمتری را برای پیدا کردن اشکالات اختصاص خواهند داد و زودتر میتوانید به نتیجه دلخواه برسید.
ویژگیهای برنامهی باگ باونتی
- تعیین قلمروهای موجود.
- آسیب پذیری خارج از باونتی.
- دادن جوایز به کاربرانی که آسیب پذیریها را کشف کردهاند.
- قوانین مناسب برنامه.
برنامههای برتر bug bounty
- شرکت گوگل.
- شرکت مایکروسافت.
- شرکت اپل.
- شرکت توییتر.
پیشنهاد نویسنده: تعویض پذیری یا Fungibility به چه معناست؟
جمع بندی
به طور کلی میتوان گفت این نرمافزار توانسته است کمک زیادی در زمینههای مختلف سازمانها و شرکتها و همچنین افراد متخصص نمایند تا هم مشکلات سازمانها و طرف شده و هم کاربران بتوانند از این طریق به کسب درآمد رسید از مهارتهای خود استفاده کنند.
اگر تجربهی دریافت باگ بانتی را از یک کمپانی یا شرکت دارید در بخش نظرات همین نوشته برای ما بنویسید.
ارسال پاسخ