گزارش نویسی حرفه‌ای در Bug Hunting

دوره به صورت کامل در کانال یوتیوب قرار گرفت

باگ بانتی چیست؟ ( Bug Bounty )

باگ بانتی ( Bug Bounty ) یا مسابقات کشف باگ و آسیب‌پذیری، برنامه‌هایی هستند که طی آن‌ها وب‌سایت یا اپلیکیشن، سازمان یا توسعه‌دهنده‌ای بررسی می‌شود و با پیدا شدن باگ‌های امنیتی پاداشی به نفوذگر پرداخت می‌شود.

هدف از این برنامه، کشف آسیب‌پذیری‌های امنیتی قبل از انتشار عمومی آن‌ها است.

پاداش این مسابقات می‌تواند به صورت نقدی، دریافت مدرک و یا هدیه غیر نقدی باشد.

برای آشنایی بیشتر با بحث باگ بانتی می‌توانید از دوره “باگ بانتی (از روش‌های کسب درآمد در حوزه امنیت)” استفاده کنید.

باگ هانتینگ چیست ؟ ( Bug Bounty Hunting )

باگ هانتینگ به آن معنی است که درخواست ایجاد بانتی از سوی سازمان ارائه نشده است و باگ هانتر ( شکارچی باگ ) با پیدا کردن یک باگ امنیتی در سامانه‌های تحت وب و موبایل سازمانهای خصوصی و استارتاپ‌های فعال، می تواند از طریق پنل مخصوص پلتفرم  قابل اطمینان خودش ،شواهد(POC) باگ را ثبت نماید.

پلتفرم و مجموعه متخصصین قابل اعتماد هکر شواهد تایید شده را به سازمان مورد نظر ارایه می‌نماید.

در صورت موافقت سازمان، باگ ارزش‌گذاری می‌شود و پرداخت صورت می‌گیرد و معمولا مجموعه‌ای که هکر به آنها اعتماد کرده(پلتفرم باگ هانتینگ) کارمزدی را بابت برقراری ارتباط و مذاکره با سازمان از مبلغ جایزه نهایی کم می‌کند .

نکات مهم در باگ بانتی:

1. ابتدا به دقت بخش قوانین و سیاست‌ها ( policy ) و محدوده‌ها ( Scope ) را مطالعه کنید.
2. روش‌های مهندسی اجتماعی، فیشینگ،‌ DDoS و حملاتی از این قبیل جزء برنامه باگ بانتی نیستند.
3. به لیست و پاداش‌های در نظر گرفته برای آسیب‌پذیری‌ها توجه ویژه داشته باشید.
4. همیشه تست را از Subdomains ها شروع کنید.چون معمولا این بخش‌ها مشکلات بیشتری دارند.
5. CMS و زبان برنامه‌نویسی Back-end را با ابزارهایی مثل Builtwith ، Wappalyzer  شناسایی کنید.
6. از گوگل دورک (Google Dorks)  برای پیدا کردن بخش‌های مختلف سایت استفاده کنید.
7. هر درخواست ( request ) و پاسخ ( response ) را با ابزار burp suite به دقت بررسی کنید.
8. خلاق باشید و خارج از چارچوب فکر کنید.

قوانین عمومی که در اکثر مسابقات باگ بانتی وجود دارد  :

1. تست نفوذ مهندسی اجتماعی، فیشینگ،‌ DDoS و حملاتی از این قبیل در باگ بانتی مورد قبول نیست.
2. در صورتی که فعالیت شما باعث اخلال در خدمات کارفرما شود،‌ فعالیت خود را متوقف کرده و کارفرما را در جریان قرار دهید.
3. در صورت کشف باگ، سریعا آن را برای بررسی ارسال کنید و از استخراج اطلاعات اضافه پرهیز کنید.
4. گزارش باگ باید شامل مراحل بازتولید باگ به صورت کاملا شفاف باشد.
5. تمام گزارش‌ها و اطلاعات مربوط به باگ‌های کشف شده باید از طریق پلتفرم باگ‌بانتی  آپلود شود.
6. انتشار اطلاعات به دست آمده در خارج از پلتفرم باگ‌بانتی ممنوع است.
7. پاداش به اولین نفری که آسیب‌پذیری را گزارش کند تعلق می‌گیرد.
8. برای انتشار آسیب‌پذیری سازمان و مجموعه‌ها حتما از آنها اجازه‌نامه دریافت کنید.
9. زمان مناسب برای انتشار معمولا ۳۰ روز پس از تایید آسیب‌پذیری است.

آسيب‌پذيری‌ها‌ی غير قابل قبول:
در اکثر برنامه‌های باگ‌بانتی آسیب‌پذیری‌های زیر غیرقابل قبول هستند:

1. حملات از كاراندازی سرويس (DoS)
2. حملات مهندسی اجتماعی و Phishing
3. آسيب‌پذيری در دامنه‌ها و آدرس‌های IP غير از آدرس هدف
4. Best Practice ها، شامل حداقل طول كلمات عبور و نظایر آن
5. آسیب‌پذیری‌ها و Best Practiceهای مربوط به SSL
6. حمله Brute Force
7. آسیب‌پذیری‌هایی که به تعامل با کاربر نیاز است.
8. آسیب‌پذیری‌های مربوط به مرورگرهای قدیمی
9. نامه‌نگاری الکترونیکی جعلی (E-mail spoofing)
10. حمله Self XSS
11. هر موردی که مربوط به بدست آوردن نام‌های کاربری (Account/e-mail enumeration) باشد.
12. آسیب‌پذیری‌هایی که قبلاً توسط سایر متخصصین گزارش شده است.
13. آسیب‌پذیری‌های گزارش‌شده توسط اسکنرها و سایر ابزارهای اتوماتیک
14. گزارش پایین‌بودن ورژن کتابخانه‌ها و نرم‌افزارهای به کار رفته در صورت عدم بهره‌برداری
15. آسیب‌پذیری‌های مربوط به نشت اطلاعات سرور و پیکربندی نادرست آن مثل نسخه و نوع وب سرور