باگ بانتی و هانت باگ

فهرست مطالب

باگ بانتی و باگ هانتینگ یعنی چی؟

هک کردن همیشه قسمت هیجان انگیزه داستان نیست ، این هیجان زمانی میتونه بیشتر بشه که ما بتونیم از این علم هیجان انگیز به درآمد برسیم ، مسیرهای درآمدی زیادی تو فیلد هک و امنیت وجود داره که تا چند وقت پیش همه این مسیر و فقط سمت کلاه سیاه ها میدیدن ولی با شناخته تر شدن زمینه هایی مثل باگ بانتی و پنتست و تیم آبی و قرمز مخصوصا در ایران ، مسیرهای جدیدی ایجاد شد و افراد بیشتری به سمت کلاه سفید گرایش پیدا کردن (به دلیل پول خوب بدون دردسر و حتی بعضی مواقع قابل ابراز و نمایش قدرت  و دانایی) حالا بریم سر بحث اصلیمون ، باگ بانتی یعنی چی؟

معنی باگ هانتینگ :

قبل از شروع بحث باید معنی چندتا کلمه یاد بگیریم ( باگ : آسیب پذیری ، بانتی : جایزه ، هانت : شکار )

قدیم ترا آدما برای رفع گشنگی مجبور به شکار بودن در واقع عملی که انجام میدادن شکار بود و جایزه‌ای که میگرفتن غذا و رفع گرسنگی بود ، با پیشرفت تکنولوژی و روی کار اومدن صفحات وب آروم آروم افراد متوجه شدن که لابلای این همه کد و دستور اشکالاتی وجود داره که میتونه منجربه کلی اتفاق بد مثل لو رفتن اطلاعات ثبت شده داخل سایت بشه بعد از یک پروسه ای که هم حوصله سربره و هم توضیح دادنش فایده و لطفی نداره هکرهای کلاه سفیدی روی کار اومدن که حاظر بودن به صورت رایگان و خود مختار روی سایت ها کار کنن و این آسیب پذیری‌هارو کشف کنن و به جای سوء استفاده ، این آسیب پذیری‌ها و راه‌های نفوذ و گزارش بدن و در ازای این گزارش مبلغی و به عنوان جایزه یا همون بانتی قبول کنن.

هر سایتی و هک کنیم؟

خب زمانی که آسیب پذیری‌هارو میشناسیم و هک کردن سمت وب و به شکل کامل یاد گرفتیم وقتشه که شروع کنیم به شکار کردن باگ‌ها وتست نفوذ انجام دادن با آسیب پذیری‌ها ، تو این قسمت سوال پیش میاد که هر سایت که دیدیم و میتونیم بریم سراغش و هکش کنیم؟ جواب واضحه : نه! تو سطح دنیا حتی تو ایران خودمون پلتفرم‌هایی راه اندازی شده تا در درجه اول وسعت دسترسی هکرها به سایت‌های مختلف جهت هک کردن مشخص باشه و از سمت دیگه موانع مختلفی که برای دسترسی به پشتیبانی فنی یک سایت جهت گرفتن بانتی قرار داره برداشته بشه.

 ( البته که ممکنه سایت و یا شرکتی در این سایت‌ها و پلتفرم ها ثبت نشده باشه و شما به صورت آزاد بعد از کشف آسیب پذیری باید با تیم فنی و پشتیبانی سایت به صورت مستقیم در تماس باشید)

گزارش نویسی :

خب فرض و بر این میگیریم که شما یک هک موفق داشتی و یک یا چند آسیب پذیری در دامنه های یک شرکت و یا یک سایت کشف کردید، در قدم بعدی برای اینکه به بانتی مورد نظر خودمون برسیم باید طی یک گزارش مفهومی و کامل (نه خیلی طولانی ) نوع آسیب پذیری و خطرات در پی آسیب پذیری و به تیم پشتیبانی و یا تیم امنیتی انتقال بدیم ، در پلتفرم های باگ بانتی همچون راورو ، hackerone و ….. این برقراری ارتباط و ارسال بر عهده تیم پلتفرم میباشد (البته که نوشتن گزارش همچنان بر عهده خود هکر میباشد) ولی در هک‌هایی که بر روی سایت‌ها و پلتفرم های آزاد اتفاق می‌افتد این ارتباط و ارسال نیز بر عهده خود شخص هکر است.( تجربه شخصی : لطفا در ارائه گزارش دقت داشته باشید ، ممکنه حتی بعد از یک هک موفق و کشف یک آسیب پذیری خطرناک به دلیل نوشتن یک گزارش اشتباه و نپخته خبری از بانتی نشه ف مخصوصا هنگام گزارش به سایت‌ها و پلتفرم‌های آزاد به دلیل عدم وجود تیم پشتیبانی غیر تخصصی و حرفه‌ای)

گزارش نویسی باگ بانتی

همه بانتی میدن؟

نه ! خب اگر بخوایم واضح تر به این موضوع نگاه کنیم به دلیل عدم وجود و یا حداقل تازه وارد شدن فرهنگ باگ بانتی به کشور نباید توقع وجود این فرهنگ و در تمام سایت ها و تیم‌ها داشته باشیم ، پس بعد از گزارش آسیب پذیری به بعضی از سایت‌ها نه تنها ممکنه بانتی به شما تعلق نگیره چه بسا که تیم پشتیبانی شمار و تهدید به شکایت هم بکنه و از شما بخواد که این تست و ادامه ندید.

ولی شما همچنان روحیه کلاه سفید خودتون و حفظ کنید و به سمت تارگت بعدی حرکت کنید.

اگر ارزش سیاه از سفید بیشتر باشه چی ؟

خب معمولا یکی از وسوسه‌هایی که به سراغ هکرهای کلاه سفید میاد ، وجود مبلغ بالایی در صورت سوء استفاده از باگ ها هستش برای مثال ممکنه شما به کشف باگی در یک سایت و یا در یک پلتفرم برسید که بتونه برای شما میلیون‌‌ها و یا حتی میلیارد ها تومن پول دربر داشته باشه  ولی درمقابل اگر شما اون باگ و گزارش کنید در نهایت چند میلیون تومان پول به شما میرسه ، خب مطمئنن در چنین شرایطی صالح ترین افراد هم ممکنه وسوسه بشن و به فکر سوء استفاده بیفتن که خب یک عمر کاملا طبیعیه ولی در چنین شرایطی فقط یک ذهنیته که میتونه به کمک شما بیاد و اون هم چیزی نیست به جز عواقب کار ( باید به این فکر کنیم که در صورت چنین سوء استفاده‌ای چه اتفاقاتی ممکنه برای ما پیش بیاد و اینکه این عواقب ارزش چنین کاری و داره؟)

دیدگاهتان را بنویسید

در صورت نیاز به مشاوره می توانید فرم را تکمیل نمایید و یا با ما در ارتباط باشید.