درود بر شما عزیزان و کاربران سایت پی وی لرن. با آموزش رایگان هک قانونمند در خدمتتون هستیم.
اولین برنامه Bug Bounty (باگ باونتی) در سال ۱۹۸۳ توسط Hunter & Ready معرفی کردند.
در این برنامه هر کس که یک باگ را پیدا میکرد و گزارش میداد یک فولکس واگن بیتل به عنوان پاداش دریافت میکرد . سپس Jarrett Ridlinghafer، یک مهندس پشتیبان فنی در شرکت ارتباطات Netscape عبارت ‘Bugs Bounty’ را بیان نمود. در این قسمت نیز سارمان های ارائه دهنده برنامه Bug Bounty رو معرفی می کنیم و در مورد برنامه باگ باونتی Word Press و PHP و غیره صحبت می کنیم.
با چند سازمان معتبر ارائه دهنده برنامه Bug Bounty در قسمت قبل آشنا شدیم. شرکت ها و سازمان های دیگر رو در این بخش معرفی خواهیم کرد.
GitHub در حال اجرا برنامه ی bug bounty از سال ۲۰۱۳ است. هر شرکت کننده موفق برحسب شدت آسیب پذیری امتیازات را به دست آورد.
محدودیت: محققان امنیت bounty را تنها در صورتی دریافت می کنند که آن ها به اطلاعات کاربران احترام بگذارند و از هر گونه سوء استفاده برای ایجاد یک حمله که می تواند به یکپارچگی خدمات و یا اطلاعات GitHub آسیب برساند، بپرهیزند.
حداقل پرداخت: Github حداقل مبلغ ۲۰۰ دلار برای یافتن اشکالات پرداخت می کند.
حداکثر پرداخت: Github می تواند ۱۰۰۰۰ دلار برای پیدا کردن اشکالات بحرانی پرداخت نماید.
/Bounty Link: https://bounty.github.com
برنامه ی آسیب پذیری Uber به طور عمده در حفاظت از داده ها ی کاربران و کارکنان آن تمرکز دارد.
حداقل پرداخت: حداقل مقدار پیش تعیین شده وجود ندارد.
حداکثر پرداخت: Uber به شما ۱۰،۰۰۰ دلار برای پیدا کردن مسائل مربوط به مشکلات مهم پرداخت خواهد کرد.
/Bounty Link: https://eng.uber.com/bug-bounty
برنامه Magneto bounty به شما اجازه می دهد تا آسیب پذیری های امنیتی در نرم افزار Magneto و یا وب سایت را گزارش دهید.
محدودیت ها:
به دنبال تحقیقات امنیتی مناسب برای bounty نیست
سیستم و برنامه ی Potential یا actual denial of service
استفاده از exploit برای مشاهده اطلاعات بدون مجوز.
تست خودکارسازی / اسکریپت فرم های وب
حداقل پرداخت: حداقل مقدار پرداخت برای این برنامه bounty 100 دلار است.
حداکثر پرداخت: Magento حداکثر ۱۰،۰۰۰ دلار برای یافتن اشکالات بحرانی پرداخت می کند.
Bounty Link: https://magento.com/security
Perl همچنین برنامه های bug bounty را اجرا می کند. اگر کسی یک آسیب پذیری امنیتی را در Perl یافت، می تواند با شرکت تماس بگیرند.
حداقل پرداخت: شرکت حداقل مبلغ ۵۰۰ دلار را پرداخت می کند.
حداکثر پرداخت: بالاترین مقدار داده شده توسط پرل ۱۵۰۰ دلار است.
Bounty Link: http://perldoc.perl.org/perlsec.html#SECURITY-VULNERABILITY-CONTACT-INFORMATION
پی اچ پی هکرهای اخلاقی را قادر می سازد تا در سایت خود یک مشکل را پیدا کنند.
محدودیت ها: شما باید لیستی از اشکالات موجود را مشاهده کنید. اگر این دستورالعمل را دنبال نکنید، اشکال شما در نظر گرفته نمی شود.
حداکثر پرداخت: مبلغ حداقل مبلغ پرداخت ۵۰۰ دلار است.
حداقل پرداخت: حداکثر ۱۵۰۰ دلار توسط PHP برای جستجوی اشکالات مهم داده شده است.
Bounty Link: https://bugs.php.net/report.php?bug_type=Security
برنامه Starbucks برای محافظت از مشتریان خود برنامه Bounty را اجرا می کند. آن ها را تشویق می کند فعالیت های مخرب را در شبکه های خود، سیاست های وب و برنامه های کاربردی تلفن همراه پیدا کنند.
حداقل پرداخت: حداقل مبلغ پرداخت شده توسط استارباکس ۱۰۰ دلار است.
حداکثر پرداخت: حداکثر مبلغ ۴۰۰۰ دلار می باشد.
Bounty Link: https://www.starbucks.com/whitehat
AT & T نیز کانال شکار باگ خود را دارد. توسعه دهندگان و کارشناسان امنیتی می توانند از سیستم عامل های مختلف مانند وب سایت ها، API ها و برنامه های کاربردی تلفن همراه استفاده کنند.
حداقل پرداخت: حداقل مبلغ پرداخت شده توسط آن ها ۵۰۰ دلار است.
حداکثر پرداخت: هیچ محدودیتی برای پرداخت وجود ندارد.
Bounty Link: https://bugbounty.att.com/home.php
LinkedIn از محققان فردی استقبال می کند که تخصص و زمان خود را برای پیدا کردن اشکالات صرف می کنند.
این شرکت به شما پاداش خواهد داد، اما میزان حداقل و حداکثر برای این هدف ثابت نیست.
Bounty Link: https://security.linkedin.com/posts/2015/private-bug-bounty-program
Paytm از گروه های امنیتی مستقل یا محققان شخصی دعوت می کند تا آن را در تمام سیستم عامل ها مطالعه کنند.
محدودیت ها:
گزارش ها حاکی از این است که نرم افزار بدون «’Proof of Concept» از تاریخ گذشته / آسیب پذیر است.
مسائل مربوط به XSS که بر مرورگرهای قدیمی تأثیر می گذارد.
ردیابی پشته که اطلاعات را افشا می کند.
هر گونه مسائل مربوط به تقلب
حداقل پرداخت: شرکت حداقل ۱۵ دلار برای پیدا کردن اشکالات پرداخت می کند.
حداکثر پرداخت: این شرکت حد بالا را ثابت نمی کند.
/Bounty Link: https://paytm.com/offer/bug-bounty
برنامه Shopify’s Whitehat برای محققان امنیتی برای پیدا کردن آسیب پذیری های امنیتی شدید پاداش در نظر گرفته است.
حداقل پرداخت: حداقل مبلغ پرداخت شده توسط Shopify 500 دلار است.
حداکثر پرداخت: هیچ محدودیتی برای پرداخت مبلغ وجود ندارد.
لینک Bounty: https://www.shopify.in/whitehat
برنامه باگ باونتی Word Press ، برنامه ی بعدی ماست.
برنامه باگ باونتی Word Press رو داریم.
وردپرس همچنین از محققان امنیتی می خواهد گزارش هایی را درباره باگ ها که آن ها پیدا کرده اند، منتشر کند.
حداقل پرداخت: وردپرس حداقل ۱۵۰ دلار برای گزارش اشکالات در سایت خود پرداخت می کند.
حداکثر پرداخت: شرکت محدودیت حداکثر را به عنوان پرداخت bounty فیکس نمی کند.
/Bounty Link: https://make.wordpress.org/core/handbook/testing/reporting-bugs
با برنامه باگ باونتی Word Press نیز آشنا شدیم.
Zomato به پژوهشگر امنیتی کمک می کند تا مسائل مرتبط با امنیت را با وب سایت یا برنامه های شرکت شناسایی کند.
حداقل پرداخت: Zomato حداقل ۱۰۰۰ دلار برای پیدا کردن اشکالات مهم پرداخت خواهد کرد.
حداکثر پرداخت: حداکثر مقدار ثابت وجود ندارد.
Bounty Link: https://www.zomato.com/security
برنامه bug bounty متشکل از دو سرویس اصلی است: شبح شبکه و مرورگر آن.
محدودیت: برنامه های OpenSSL از این دامنه حذف می شوند.
حداقل پرداخت: حداقل مبلغ پرداخت شده توسط آن ها ۱۰۰ دلار است.
حداکثر پرداخت: شرکت به شما حداکثر ۴۰۰۰ دلار را پرداخت می کند.
(لینک در دسترس نیست) Bounty Link: security@lists.torproject.org
از سارمان های معتبر ارائه دهنده برنامه Bug Bounty سازمان Hackerone می باشد. که در زیر می بینید.
HackerOne یکی از بزرگ ترین هماهنگی آسیب پذیری و پلت فرم bug bounty است. این کمک می کند تا شرکت ها از داده های مصرف کننده خود، با همکاری جامعه تحقیق جهانی محافظت کنند. تا به مسائل مربوط به امنیت بیش تر توجه شود. بسیاری از شرکت های شناخته شده مانند یاهو، Shopify، PHP، Google، Snapchat، و Wink از این وبسایت استفاده می کنند تا پاداشی به محققین امنیتی و هکرهای قانونمند ارائه دهند.
Bounty Link: https://hackerone.com/bug-bounty-programs
یک پلتفرم قدرتمند که محقق جامعه جهانی امنیت را به بازار امنیت متصل می کند. این سایت با هدف ارائه ترکیب مناسب و نوع پژوهشگر مطابق با وب سایت خاص برای مشتریان سراسر جهان مناسب است. هکرها فقط باید گزارش های خود را در این سایت انتخاب کنند و اگر بتوانند اشکالات حقوقی را شناسایی کنند، شرکت مبلغی خاص را به آن فرد پرداخت می کند.
/Bounty Link: https://www.bugcrowd.com/bug-bounty-list
برنامه باگ باونتی Word Press و برنامه ی Bugcrowd و LinkedIn و غیره رو در این قسمت از سری آموزش های هک قانونمند بررسی نمودیم. هدف در برنامه باگ باونتی Word Press ارائه ی گزارش هایی از باگ های امنیتی کشف شده توسط هکرها یا افراد متخصص است تا امنیت سازمان بیش تر تامین شود. همچنین سازمان در عوض این اطلاعات با ارزش جایزه هایی در نظر گرفته است. با آموزش هک قانونمند در جلسات بعدی همراه ما باشید.