جلسه ۱۹-۰۱ : ۳۰ برنامه برتر Bug Bounty – هک قانونمند

• جزئیات
• نوع محتواآموزشی

مقدمه

درود بر شما عزیزان و کاربران سایت پی وی لرن. با آموزش رایگان هک قانونمند در خدمتتون هستیم.
برنامه باگ باونتی یا Bug Bounty به خاطر گزارش باگ‌ها و مشکلات، بخصوص ضعف هاو باگ‌هایی که باعث سوء استفاده و آسیب پذیری می‌شوند و همچنین به خاطر این که به ازای گزارش این باگ‌ ها افراد پاداش دریافت خواهند کرد، مورد علاقه و توجه بسیاری از وب سایت‌ ها و توسعه دهندگان نرم‌افزاری قرار گرفته‌ است.
در این قسمت از سری آموزش های هک قانونمند به سراغ ۳۰ برنامه برتر Bug Bounty در ۲۰۱۹ و سازمان های ارائه دهنده برنامه Bug Bounty خواهیم رفت. این قسمت در دو بخش آماده شده است.

۳۰ برنامه برتر Bug Bounty در ۲۰۱۹

در زیر لیست برنامه Bounty که توسط شرکت های معتبر ارائه شده است را داریم. (سارمان های ارائه دهنده برنامه Bug Bounty)

Intel از سازمان های ارائه دهنده برنامه Bug Bounty می باشد.

• Intel

  برنامه bounty اینتل عمدتا سخت افزار، سیستم عامل و نرم افزار شرکت را هدف قرار می دهد.

  محدودیت ها: این شامل حصول اخیر، زیرساخت وب شرکت، محصولات شخص ثالث یا هر چیزی مربوط به McAfee نمی باشد.

  حداقل پرداخت: اینتل حداقل مبلغ ۵۰۰ دلار برای پیدا کردن مشکلات در سیستم خود را ارائه می دهد.

  حداکثر پرداخت: شرکت مبلغ ۳۰،۰۰۰ دلار را برای شناسایی اشکالات بحرانی پرداخت می کند.

Bounty Link: https://security-center.intel.com/BugBountyProgram.aspx

• Yahoo

یاهو تیم ویژه ای دارد که گزارش های آسیب پذیری را از محققان امنیتی و هکر های قانونمند می پذیرد.

محدودیت ها: شرکت هیچ پاداشی برای یافتن باگ ها در yahoo.net، Yahoo 7 Yahoo Japan, Onwander و Yahoo operated Word press blogs ارائه نداده است.

حداقل پرداخت: محدودیتی برای یاهو برای حداقل پرداخت وجود ندارد.

حداکثر پرداخت: یاهو می تواند ۱۵۰۰۰ دلار برای شناسایی باگ های مهم در سیستم خود پرداخت کند.

Bounty Link:https://safety.yahoo.com/Security/REPORTING-ISSUES.html

• Snapchat

تیم امنیتی Snapchat تمام گزارش های آسیب پذیری را بررسی می کند و این شرکت، ظرف ۳۰ روز تأییدیه شما را تأیید خواهد کرد.

حداقل پرداخت: Snapchat حداقل $۲۰۰۰ را پرداخت می کند.

حداکثر پرداخت: حداکثر آن ها $۱۵,۰۰۰ پرداخت می کنند.

Bounty Link:https://support.snapchat.com/en-US/i-need-help

•  Cisco

Cisco از دیگر سازمان های ارائه دهنده برنامه Bug Bounty است.

سیسکو افراد یا سازمان ها را تشویق می کند که یک مسئله امنیتی محصول را تجربه کنند تا آن ها را به شرکت گزارش دهند.

حداقل پرداخت: حداقل مقدار پرداخت سیسکو $۱۰۰ است .

حداکثر پرداخت: شرکت حداکثر $۲,۵۰۰ را به پیدا کردن آسیب پذیری های جدی می دهد.

Bounty Link: https://www.cisco.com/c/en/us/about/security-center/security-vulnerability-policy.html

• Dropbox

برنامه Dropbox bounty اجازه می دهد تا محققین امنیتی گزارش های مربوط به اشکالات و آسیب پذیری ها را در سرویس شخص ثالث HackerOne گزارش دهند.

حداقل پرداخت: حداقل مبلغ پرداخت شده ۱۲،۱۶۷ دلار است.

حداکثر پرداخت: حداکثر مبلغ پیشنهاد شده ۳۲،۷۶۸ دلار است.

Bounty Link: https://www.dropbox.com/help/security/report-vulnerability

• Apple

هنگامی که اپل برای اولین بار برنامه bug bounty خود را راه اندازی کرد، فقط به ۲۴ محقق امنیتی اجازه داد. این فریم ورک پس از آن گسترش یافت تا شامل bug bounty بیش تر شود.

این شرکت مبلغ ۱۰۰۰۰۰ دلار برای کسانی که می توانند داده های محافظت شده توسط تکنولوژی Secure Enclave اپل را استخراج کنند، پرداخت خواهد کرد.

حداقل پرداخت: حدود مبلغ توسط شرکت اپل ثابت نشده است

حداکثر پرداخت: بالاترین هزینۀ اپل ۲۰۰،۰۰۰ دلار برای مسائل امنیتی است که بر سیستم عامل آن تاثیر می گذارد.

Bounty Link: https://support.apple.com/en-au/HT201220

•  Facebook

در برنامه ی bug bounty فیس بوک کاربران می توانند یک مسئله امنیتی در Facebook, Instagram, Atlas, WhatsApp و غیره را گزارش دهند.

محدودیت ها: چند مسئله امنیتی وجود دارد که پلت فرم شبکه های اجتماعی خارج از محدوده را در نظر می گیرد.

حداقل پرداخت: فیس بوک حداقل $۵۰۰ را برای یک آسیب پذیری ارائه می کند.

حداکثر پرداخت: هیچ محدودیت بالایی توسط فیس بوک برای پرداخت ثابت وجود ندارد.

/Bounty Link: https://www.facebook.com/whitehat

• Google

هر محتوا در .google.com, .blogger, youtube.com برای برنامه پاداش آسیب پذیری Google باز هستند.

محدودیت ها: این برنامه bounty فقط مسائل طراحی و پیاده سازی را پوشش می دهد.

حداقل پرداخت: گوگل حداقل ۳۰۰ دلار برای یافتن موضوعات امنیتی پرداخت خواهد کرد.

حداکثر پرداخت: گوگل مبلغ ۳۱٫۳۳۷ دلار برای برنامه های نرم افزاری گوگل را پرداخت می کند.

• Quora

Quora برنامه Bug Bounty را برای همه کاربران و محققان برای پیدا کردن و گزارش آسیب پذیری های امنیتی ارائه می دهد.

حداقل پرداخت: Quora حداقل $۱۰۰ را برای پیدا کردن آسیب پذیری ها در سایت خود پرداخت می کند.

حداکثر پرداخت: حداکثر پرداخت ارائه شده توسط این سایت $۷۰۰۰ می باشد.

Bounty Link: https://engineering.quora.com/Security-Bug-Bounty-Program

• Mozilla

موزیلا به اکتشافات آسیب پذیری توسط هکرهای قانونمند و محققان امنیتی پاداش می دهد.

محدودیت ها: bounty تنها برای اشکالاتی در خدمات موزیلا ، مانند فایرفاکس ، Thunderbird و سایر برنامه ها و خدمات مرتبط ارائه می شود.

حداقل پرداخت: مقدار مینیمم داده شده توسط فایرفاکس $۵۰۰ است.

حداکثر پرداخت: این شرکت حداکثر $۵۰۰۰ را پرداخت می کند.

/Bounty Link: https://www.mozilla.org/en-US/security/bug-bounty

• Microsoft

مایکروسافت برنامه bug bounty فعلی را در ۲۳ سپتامبر ۲۰۱۴ به طور رسمی راه اندازی کرد و تنها با خدمات آنلاین در ارتباط است.

محدودیت ها: پاداش bounty فقط برای آسیب پذیری های بحرانی و مهم ارائه می شود.

حداقل پرداخت: Microsoft آماده پرداخت ۱۵،۰۰۰ دلار برای پیدا کردن اشکالات بحرانی است.

حداکثر پرداخت: حداکثر مبلغ ۲۵۰،۰۰۰ دلار می باشد.

Bounty Link: https://technet.microsoft.com/en-us/library/dn425036.aspx

• OpenSSL

OpenSSL bounty به شما امکان می دهد آسیب پذیری ها را با استفاده از ایمیل امن (PGP Key) گزارش کنید. شما همچنین می توانید آسیب پذیری ها را به کمیته مدیریت OpenSSL گزارش دهید.

حداقل پرداخت: شرکت مبلغ حداقل ۵۰۰ دلار پاداش می دهد.

حداکثر پرداخت: بالاترین مقدار داده شده توسط شرکت ۵۰۰۰ دلار است.

Bounty Link: https://www.openssl.org/news/vulnerabilities.html

• Vimeo

Vimeo از گزارش آسیب پذیری های امنیتی در محصولات خود استقبال می کند، زیرا شرکت به این شخص پاداش خوبی می دهد.

حداقل پرداخت: شرکت حداقل ۵۰۰ دلار پرداخت می کند.

حداکثر پرداخت: حداکثر مبلغ پرداخت شده توسط این شرکت $۵۰۰۰ می باشد.

Bounty Link: https://vimeo.com/about/security

• Apache

Apache هکرها قانونمند را تشویق می کند تا آسیب پذیری های امنیتی را به یکی از لیست های پستی امنیتی خصوصی گزارش دهد.

حداقل پرداخت: حداقل مبلغی که توسط Apache ارائه شده است $۵۰۰ است.

حداکثر پرداخت: این شرکت می تواند حداکثر پاداش $۳۰۰۰ را ارائه دهد.

/Bounty Link: https://www.apache.org/security

• Twitter

توییتر اجازه می دهد تا محققان امنیتی و کارشناسان در مورد آسیب پذیری های امنیتی آن ها گزارش دهند. این شرکت مردم را برای پیدا کردن اشکالات تشویق می کند.

حداقل پرداخت: توییتر حداقل مبلغ $۱۴۰ پرداخت می کند.

حداکثر پرداخت: حداکثر مبلغ پرداخت شده توسط شرکت $۱۵۰۰۰ است.

Bounty Link: https://support.twitter.com/articles/477159

• Avast

۳۰ برنامه برتر Bug Bounty

برنامه Avast bounty به هکرهای قانونمند و محققان امنیتی برای گزارش Remote code execution, Local privilege escalation, DOS, scanner bypass amongst و دیگر مسائل پاداش می دهد.

حداقل پرداخت: Avast می تواند به شما حداقل مبلغ $۴۰۰ را بپردازد.

حداکثر پرداخت: حداکثر مبلغ ارائه شده توسط شرکت $۱۰,۰۰۰ است.

Bounty Link: https://www.avast.com/bug-bounty

• Paypal

یکی دیگر از سازمان های ارائه دهنده برنامه Bug Bounty شرکت Paypal است.

خدمات دروازه پرداخت Paypal نیز، برنامه bug bounty را برای محققین امنیتی ارائه می دهد.

محدودیت ها:آسیب پذیری ها بستگی به تکنیک های مهندسی اجتماعی، Host Header

حمله ی (Denial of Service (DOS و غیره

حداقل پرداخت: Paypal می تواند حداقل ۵۰ دلار برای یافتن آسیب پذیری های امنیتی در سیستم خود پرداخت کند.

حداکثر پرداخت: حداکثر مبلغ پرداخت شده توسط Paypal 10000 دلار است.

Bounty Link: https://www.paypal.com/us/webapps/mpp/security-tools/reporting-security-issues

با نمونه هایی از سازمان های ارائه دهنده برنامه Bug Bounty آشنا شدیم. با بقیه ی سازمان های ارائه دهنده برنامه Bug Bounty یا ۳۰ برنامه برتر Bug Bounty در جلسه بعد آشنا خواهیم شد.

کلام پایانی

دوستان و همراهان سایت آموزشی پی وی لرن در این قسمت از آموزش، با ۳۰ برنامه برتر Bug Bounty در ۲۰۱۹ آشنا شدیم . برنامه‌های باگ باونتی یا Bug Bounty توسط تعداد زیادی از سازمان‌ های معتبر مانند Mozilla، Facebook، Yahoo، Google، Microsoft و غیره اجرا و پاداش هایی برای هکرهای قانونمند در نظر گرفته اند. معرفی ادامه ی ۳۰ برنامه برتر Bug Bounty رو در قسمت بعد داریم. همراه ما باشید.