دوره های آموزشی آکادمی پی وی لرن (پروژه محور و ویژه بازار کار)



  • ۴
  • شهریور

جلسه ۱۹-۰۲ : ۳۰ برنامه برتر Bug Bounty – هک قانونمند

  • دسته‌بندی‌ها :
جلسه ۱۹-۰۲ : ۳۰ برنامه برتر Bug Bounty – هک قانونمند
    • جزئیات
    • نوع محتواآموزشی

      مقدمه

      درود بر شما عزیزان و کاربران سایت پی وی لرن. با آموزش رایگان هک قانونمند در خدمتتون هستیم.
      اولین برنامه Bug Bounty (باگ باونتی) در سال ۱۹۸۳ توسط Hunter & Ready معرفی کردند.
      در این برنامه هر کس که یک باگ را پیدا می‌کرد و گزارش می‌داد یک فولکس واگن بیتل به عنوان پاداش دریافت می‌کرد . سپس Jarrett Ridlinghafer، یک مهندس پشتیبان فنی در شرکت ارتباطات Netscape عبارت ‘Bugs Bounty’ را بیان نمود. در این قسمت نیز سارمان های ارائه دهنده برنامه Bug Bounty رو معرفی می کنیم و در مورد برنامه باگ باونتی Word Press و PHP و غیره صحبت می کنیم.

      سارمان های ارائه دهنده برنامه Bug Bounty

      با چند سازمان معتبر ارائه دهنده برنامه Bug Bounty در قسمت قبل آشنا شدیم. شرکت ها و سازمان های دیگر رو در این بخش معرفی خواهیم کرد.

      • GitHub

      GitHub در حال اجرا برنامه ی bug bounty از سال ۲۰۱۳ است. هر شرکت کننده موفق برحسب شدت آسیب پذیری امتیازات را به دست آورد.

      محدودیت: محققان امنیت bounty را تنها در صورتی دریافت می کنند که آن ها به اطلاعات کاربران احترام بگذارند و از هر گونه سوء استفاده برای ایجاد یک حمله که می تواند به یکپارچگی خدمات و یا اطلاعات GitHub آسیب برساند، بپرهیزند.

      حداقل پرداخت: Github حداقل مبلغ ۲۰۰ دلار برای یافتن اشکالات پرداخت می کند.

      حداکثر پرداخت: Github می تواند ۱۰۰۰۰ دلار برای پیدا کردن اشکالات بحرانی پرداخت نماید.

      /Bounty Link: https://bounty.github.com

      • Uber

      برنامه ی آسیب پذیری Uber به طور عمده در حفاظت از داده ها ی کاربران و کارکنان آن تمرکز دارد.

      حداقل پرداخت: حداقل مقدار پیش تعیین شده وجود ندارد.

      حداکثر پرداخت: Uber به شما ۱۰،۰۰۰ دلار برای پیدا کردن مسائل مربوط به مشکلات مهم پرداخت خواهد کرد.

      /Bounty Link: https://eng.uber.com/bug-bounty

      • Magento

      برنامه Magneto bounty به شما اجازه می دهد تا آسیب پذیری های امنیتی در نرم افزار Magneto و یا وب سایت را گزارش دهید.

      محدودیت ها:

      به دنبال تحقیقات امنیتی مناسب برای bounty نیست

      سیستم و برنامه ی Potential یا actual denial of service
      استفاده از exploit برای مشاهده اطلاعات بدون مجوز.
      تست خودکارسازی / اسکریپت فرم های وب
      حداقل پرداخت: حداقل مقدار پرداخت برای این برنامه bounty 100 دلار است.

      حداکثر پرداخت: Magento حداکثر ۱۰،۰۰۰ دلار برای یافتن اشکالات بحرانی پرداخت می کند.

      Bounty Link: https://magento.com/security

      • Perl

      Perl همچنین برنامه های bug bounty را اجرا می کند. اگر کسی یک آسیب پذیری امنیتی را در Perl یافت، می تواند با شرکت تماس بگیرند.

      حداقل پرداخت: شرکت حداقل مبلغ ۵۰۰ دلار را پرداخت می کند.

      حداکثر پرداخت: بالاترین مقدار داده شده توسط پرل ۱۵۰۰ دلار است.

      Bounty Link: http://perldoc.perl.org/perlsec.html#SECURITY-VULNERABILITY-CONTACT-INFORMATION

      • PHP

      پی اچ پی هکرهای اخلاقی را قادر می سازد تا در سایت خود یک مشکل را پیدا کنند.

      محدودیت ها: شما باید لیستی از اشکالات موجود را مشاهده کنید. اگر این دستورالعمل را دنبال نکنید، اشکال شما در نظر گرفته نمی شود.

      حداکثر پرداخت: مبلغ حداقل مبلغ پرداخت ۵۰۰ دلار است.

      حداقل پرداخت: حداکثر ۱۵۰۰ دلار توسط PHP برای جستجوی اشکالات مهم داده شده است.

      Bounty Link: https://bugs.php.net/report.php?bug_type=Security

      • Starbucks

      برنامه Starbucks برای محافظت از مشتریان خود برنامه Bounty را اجرا می کند. آن ها را تشویق می کند فعالیت های مخرب را در شبکه های خود، سیاست های وب و برنامه های کاربردی تلفن همراه پیدا کنند.

      حداقل پرداخت: حداقل مبلغ پرداخت شده توسط  استارباکس ۱۰۰ دلار است.

      حداکثر پرداخت: حداکثر مبلغ ۴۰۰۰ دلار می باشد.

      Bounty Link: https://www.starbucks.com/whitehat

      • AT & T

      AT & T نیز کانال شکار باگ خود را دارد. توسعه دهندگان و کارشناسان امنیتی می توانند از سیستم عامل های مختلف مانند وب سایت ها، API ها و برنامه های کاربردی تلفن همراه استفاده کنند.

      حداقل پرداخت: حداقل مبلغ پرداخت شده توسط آن ها ۵۰۰ دلار است.

      حداکثر پرداخت: هیچ محدودیتی برای پرداخت وجود ندارد.

      Bounty Link: https://bugbounty.att.com/home.php

      • LinkedIn

      LinkedIn از محققان فردی استقبال می کند که تخصص و زمان خود را برای پیدا کردن اشکالات صرف می کنند.

      این شرکت به شما پاداش خواهد داد، اما میزان حداقل و حداکثر برای این هدف ثابت نیست.

      Bounty Link: https://security.linkedin.com/posts/2015/private-bug-bounty-program

      • Paytm

      Paytm از گروه های امنیتی مستقل یا محققان شخصی دعوت می کند تا آن را در تمام سیستم عامل ها مطالعه کنند.

      محدودیت ها:

      گزارش ها حاکی از این است که نرم افزار بدون «’Proof of Concept» از تاریخ گذشته / آسیب پذیر است.
      مسائل مربوط به XSS که بر مرورگرهای قدیمی تأثیر می گذارد.
      ردیابی پشته که اطلاعات را افشا می کند.
      هر گونه مسائل مربوط به تقلب
      حداقل پرداخت: شرکت حداقل ۱۵ دلار برای پیدا کردن اشکالات پرداخت می کند.

      حداکثر پرداخت: این شرکت حد بالا را ثابت نمی کند.

      /Bounty Link: https://paytm.com/offer/bug-bounty

      • Shopify

      برنامه Shopify’s Whitehat برای محققان امنیتی برای پیدا کردن آسیب پذیری های امنیتی شدید پاداش در نظر گرفته است.

      حداقل پرداخت: حداقل مبلغ پرداخت شده توسط Shopify 500 دلار است.

      حداکثر پرداخت: هیچ محدودیتی برای پرداخت مبلغ وجود ندارد.

      لینک Bounty: https://www.shopify.in/whitehat

      برنامه باگ باونتی Word Press ، برنامه ی بعدی ماست.

      • Word Press

      برنامه باگ باونتی Word Press رو داریم.

      وردپرس همچنین از محققان امنیتی می خواهد گزارش هایی را درباره باگ ها که آن ها پیدا کرده اند، منتشر کند.

      حداقل پرداخت: وردپرس حداقل ۱۵۰ دلار برای گزارش اشکالات در سایت خود پرداخت می کند.

      حداکثر پرداخت: شرکت محدودیت حداکثر را به عنوان پرداخت bounty فیکس نمی کند.

      /Bounty Link: https://make.wordpress.org/core/handbook/testing/reporting-bugs

      با برنامه باگ باونتی Word Press نیز آشنا شدیم.

      • Zomato

      Zomato به پژوهشگر امنیتی کمک می کند تا مسائل مرتبط با امنیت را با وب سایت یا برنامه های شرکت شناسایی کند.

      حداقل پرداخت: Zomato حداقل ۱۰۰۰ دلار برای پیدا کردن اشکالات مهم پرداخت خواهد کرد.

      حداکثر پرداخت: حداکثر مقدار ثابت وجود ندارد.

      Bounty Link: https://www.zomato.com/security

      • Tor Project

      برنامه bug bounty متشکل از دو سرویس اصلی است: شبح شبکه و مرورگر آن.

      محدودیت: برنامه های OpenSSL از این دامنه حذف می شوند.

      حداقل پرداخت: حداقل مبلغ پرداخت شده توسط آن ها ۱۰۰ دلار است.

      حداکثر پرداخت: شرکت به شما حداکثر ۴۰۰۰ دلار را پرداخت می کند.

      (لینک در دسترس نیست) Bounty Link: security@lists.torproject.org

      از سارمان های معتبر ارائه دهنده برنامه Bug Bounty سازمان Hackerone می باشد. که در زیر می بینید.

      • Hackerone

      HackerOne یکی از بزرگ ترین هماهنگی آسیب پذیری و پلت فرم bug bounty است. این کمک می کند تا شرکت ها از داده های مصرف کننده خود، با همکاری جامعه تحقیق جهانی محافظت کنند. تا به مسائل مربوط به امنیت بیش تر توجه شود. بسیاری از شرکت های شناخته شده مانند یاهو، Shopify، PHP، Google، Snapchat، و Wink از این وبسایت استفاده می کنند تا پاداشی به محققین امنیتی و هکرهای قانونمند ارائه دهند.

      Bounty Link: https://hackerone.com/bug-bounty-programs

      Bugcrowd

      یک پلتفرم قدرتمند که محقق جامعه جهانی امنیت را به بازار امنیت متصل می کند. این سایت با هدف ارائه ترکیب مناسب و نوع پژوهشگر مطابق با وب سایت خاص برای مشتریان سراسر جهان مناسب است. هکرها فقط باید گزارش های خود را در این سایت انتخاب کنند و اگر بتوانند اشکالات حقوقی را شناسایی کنند، شرکت مبلغی خاص را به آن فرد پرداخت می کند.

      /Bounty Link: https://www.bugcrowd.com/bug-bounty-list

      کلام پایانی

      برنامه باگ باونتی Word Press و برنامه ی Bugcrowd و LinkedIn و غیره رو در این قسمت از سری آموزش های هک قانونمند بررسی نمودیم. هدف در برنامه باگ باونتی Word Press ارائه ی گزارش هایی از باگ های امنیتی کشف شده توسط هکرها یا افراد متخصص است تا امنیت سازمان بیش تر تامین شود. همچنین سازمان در عوض این اطلاعات با ارزش جایزه هایی در نظر گرفته است. با آموزش هک قانونمند در جلسات بعدی همراه ما باشید.

      QR: جلسه ۱۹-۰۲ : ۳۰ برنامه برتر Bug Bounty – هک قانونمند
      به اشتراک بگذارید
      , , ,


      دیدگاه کاربران

      لیست مطالب دوره

      مطالب ویژه