کسب درآمد از طریق باگ بانتی
هک مخرب نیست
متاسفانه زمانی که کلمه هک رو میشنویم ناخودآگاه ذهنمون میره سمت دزدی، کلاهبرداری، هک اینستاگرام، هک تلگرام و هزاران مورد دیگه که فقط جنبه منفی از این کلمه رو نمایش میدن، اما آیا واقعا هک فقط همین معنای سطحی و ساده رو داره؟آیا هکرها فقط به فکر کلاهبرداری هستن یا دسته دیگهای از هکرها هم وجود داره؟در این مقاله درمورد دسته دوم صحبت میکنیم که به راحتی به صورت کاملا قانونی درآمد بسیار خوبی از این حوزه دارند، کسب درآمد از طریق باگ بانتی.با من همراه باشید.
باگ بانتی (Bug Bounty) چیست؟
فرایند باگ بانتی به این شکل است که افراد متخصص در زمینه تست نفوذ از وبسایتهای ثبت شده در پلتفرمهای مربوط به باگ بانتی مثل hackerone.com مشغول فعالیت میشوند و با گزارش حفرههای امنیتی از سایتهای ثبت شده در این پلتفرمها مبلغی رو به عنوان پاداش دریافت میکنند.
شاید این سوال در ذهنتان ایجاد شده باشد که این پرداخت و در واقع مبلغ جایزه به چه شکل محاسبه میشود؟
باید بدانید که مبلغ پرداختی بسته به سایت یا برنامهای که از آن آسیبپذیری پیدا کردهاید، میزان خطر و سطح دسترسی که آسیبپذیری ایجاد میکند متفاوت است و میتواند از 10 دلار تا 50 الی 60 هزار دلار باشد.
البته در موارد خاص مبالغ بیشتر هموچون 100 هزار دلار نیز پرداخت شده است.
تفاوت باگ بانتی و باگ هانتینگ!
متاسفانه بسیاری از سایتهای به ظاهر امنیتی در مورد باگ بانتی مطالبی رو منتشر کردن که در بخشی از اونها به اشتباه تعریف باگ هانیتنگ رو برای باگ بانتی استفاده کردن!!
باگ بانتی با باگ هانتینگ یک تفاوت اساسی دارد و این تفاوت به استفاده از پلتفرم برمیگردد.در فرایند باگ بانتی با با سایت ارتباط نمیگیریم و گزارش را در پلتفرم که به عنوان واسطه بین ما و وب سایت است ثبت میکنیم ولی در باگ هانیتنگ گزارش باگ به صورت مستقیم به مدیران و برنامه نویسان وب سایت گزارش میشود.
توجه داشته باشید که در باگ بانتی مدیر سایت با شما در ارتباط نیست و شما را نمیشناسد و به این شکل نیست که بعد از گزارش از دادن پول امتناع کند ولی در باگ هانتینگ چون واسط وجود ندارد که بین هکر و سایت داوری کند، ممکن است بعد از برطرف کردن مشکل حتی جوابگوی پیام شما هم نباشند.
پس دقت کنید که این دو مورد را با هم اشتباه نگیرید.
کسب درآمد از طریق باگ بانتی
برای نمونه در برنامه بانتی مربوط به وبسایت paypal تا این لحظه که این مقاله را مینویسم 1202 آسیبپذیری تایید شده وجود دارد و مجموعا بیش از 6 میلیون دلار بانتی پرداخت شده است 😉
قطعا این رقم جذابه و جذابتر میشه اگر بدونید از این دست وبسایتها بسیار زیاد است.
باگ بانتی در ایران
در سالهای اخیر باگ بانتی در ایران هم پیشرفت خوبی داشته، هرچند در مقایسه با باگ بانتی جهانی، باگ بانتی ایران همچون کودک نوپاییست که به تازگی راه رفتن را یاد گرفته اما میتوان امیدوار بود که آینده درخشانی دارد، خصوصا در کشوری که قبل از این به فرایندهای امنیتی توجه کمی بوده و به تازگی اهمیت این موضوع درک شده است.
در این راستا پلتفرمهایی همچون باگدشت، راورو و کلاه سفید مشغول کار هستند که در دو بخش عمومی و vip فعالیت میکنند.
در بخش عمومی برنامه برای همه کاربران به نمایش گذاشته میشود و در بخش vip تعدادی خاصی از متخصصین تست نفوذ به برنامه بانتی دسترسی دارند.
تا چه زمان میتوان از این راه کسب درآمد داشت؟
لازم است بدانید برای باگ بانتی پایانی وجود ندارد.برای نمونه برنامه بانتی paypal را در نظر بگیرید.این برنامه شامل یک آدرس paypal.com نیست بلکه شامل بیش از 2000 ساب دامنه است.هر کدام از این ساب دامنهها میتوانند آسیبپذیریهای مختلفی داشته باشند.علاوه بر این هر سیستم به مرور زمان تکمیلتر میشود و بخشهای جدیدی نیز به آن اضافه میشود که همه این موارد میتواند شروع یک بانتی دیگر باشد.
توجه داشته باشید که hackerone.com تنها پلتفرم باگ بانتی نیست.ما پلتفرمهای مختلفی برای این مورد در دنیا داریم از جمله:
- BugCrowd
- OpenBugBounty
- SynAck
- YesWeHack
- …
پس ما محدود به یک پلتفرم و تعدادی سایت نیستیم!
آیا میتوان از این سایتها باگ پیدا کنم؟
بعضی از دوستان همیشه این دغدغه را دارند که چون این سایتها تیم امنیتی دارند و سایتهای بزرگی هستند به راحتی نمیتوان از آنها باگ پیدا کرد 😥
این طرز تفکر 100 درصد اشتباه است.برای نمونه توییتر به عنوان یک شبکه اجتماعی شناخته شده به صورت میانگین هر هفته یک گزارش باگ در هکروان دارد، پس امنیت هیچگاه 100 درصد نیست.
درست ست که این سایتها همگی تیم امنیتی و برنامهنویسان قوی دارند اما شما هم ذهن خلاق یک نفوذگر را دارید.شما به مسائل از جنبههای دیگری نگاه میکنید و این باعث میشود که هیچ موردی ناممکن نباشد.
از کجا شروع کنم؟
این سوالیه که اکثر افراد از من میپرسند.آموزشها در اینترنت زیاد است در حالی که مدرس دوره تفاوت باگ بانتی و باگ هانیتنگ را نمیداند، سابقهای در باگ بانتی ندارد و صرفا چند ترفند و نکته را یاد گرفته و متاسفانه شروع به فعالیت آموزشی کرده است.
