باگ بانتی | باگ هانتینگ چیست ؟!
- کورش سنایی
- ۲ بهمن ۱۴۰۲
- 10 دقیقه
بچه پولدارای تکنولوژی باگ بانتی و باگ هانتینگ کار میکنن و با هک کردن سایت ها کسب درآمد میکنن و خوب چیزی نیست که دور از ذهن شما هم باشه البته نیاز به مهارت و دانش بالایی داره در ادامه با من همراه باشید تا بهتون بگم باگ هانتینگ و باگ بانتی چه تفاوت هایی باهم دارن و چطوری میتونین واردش بشین و چطوری میشه کسب درآمد کرد از این زمینه و خوب معمولا افراد این 2 تا رو باهم اشتباه میگیرن که زیادم باهم فرق ندارن تفاتوشون خیلی جزئیه که میگم بهتون; اول بپردازیم به این که باگ بانتی چیست !؟
باگ بانتی چیست !؟
به طور خلاصه، باگ بانتی یک برنامه است که به افراد پاداش میدهد تا آسیبپذیریهای امنیتی را شناسایی کنند یعنی چی ؟! خیلی ساده بهتون میگم یکسری سایت ها هستن که حالت شرکت های واسط رو برای شما دارن مثلا وبسایت HackerOne یکسری مشتری داره که برای ایمن شدنشون پول پرداخت میکنن یعنی میان نرمافزار، وبسایتها، یا …. شرکتشون رو در HackerOne ثبت میکنن تا هکرهای سراسر دنیا بتونن روش کار کنن و آسیب پذیری هایی که داره رو کشف کنن تا امنیت کاربران,سازمان و .. به صورت نسبی بالاتر بره.
شما هم که مفتی کار نمیکنی روی این سامانه ها وقتی آسیب پذیری های موجود رو کشف کردی بهت پاداش میدن که بهش میگن بانتی (Bounty) . پس یه جمع بندی کنم یکسری سایت های واسط هستن که بهشون میگن پلتفرم های باگ بانتی مثل HackerOne که توی خودشون یکسری میدان, برنامه, هدف دارن که البته هرچیزی که دلت میخواد میتونی صداشون بزنی و در نهایت با شناسایی آسیب پذیری های امنیتی از برنامه های موجود در پلتفرم به شما پاداش میدن این میشه باگ بانتی .
باگ هانتینگ چیست ؟!
باگ هانتیگ حالت بازی های OpenWorld رو داره همونطور که داری توی اینترنت میگردی یه سایت دلخواه واسه خودت برمیداری شروع میکنی روش کار کردن برای کشف آسیب پذیری و اگر آسیب پذیری ای کشف کردی اون رو به مدیر و یا پشتیبانی سایت با استفاده از راه ارتباطیشون اطلاع میدی که البته مهمترین بخش کار همینجاست که چطوری اطلاع میدی و درخواست بانتی (پاداشی که بخاطر پیدا کردن آسیب پذیری به شما میپردازن ) میکنی .
همونطور که گفتم زمانی که میخواین اطلاع بدید آسیب پذیری کشف کردید ممکنه باهاتون برخورد بدی بشه که بگن به چه حقی تست کردی ؟! یا مثلا آسیب پذیری رو کشف کنید و گزارشش بدید و بعد از دریافت گزارش دیگه جوابتونو ندن و آسیب پذیری رو هم رفع کنن که البته این چنین اتفاقاتی توی پلتفرم های باگ بانتی هم میفته .
تفاوت باگ بانتی با باگ هانتینگ ؟!
خیلی کلی بخوام بگم باگ بانتی یک حالت رسمی داره که یک چهارچوب خاصی رو شما جلو میرید که در نهایت ممکنه به دریافت پاداش ختم بشه اما همیشه هم اینطور نیست در باگ هانتینگ شما چهارچوب خاصی ندارید هدف برای کارکردن خیلی بیشتر از باگ بانتی داریدخوب حالا این شما و این 3 تا از اصلی ترین چهار چوب هایی که شما در باگ بانتی دارید :
- لیست آسیبپذیریهای مورد نظر
- فرآیند گزارشدهی
- سیستم پاداش
مورد اول در باگ بانتی این هست که شما براتون مشخص میشه که چه بخش هایی از سایت,اپلیکیشن و … هدف رو میتونید بررسی کنید و آسیب پذیری هایی هم که براشون مهم هست هم مشخص شده یعنی هر آسیب پذیری ای که شما کشف کنید رو قبول ندارن فقط چیزایی که مشخص شده .
مورد دوم فرآیند گزارش دهی هست که شما به راحتی بعد از کشف آسیب پذیری در پلتفرم مربوطه به راحتی میتونید گزارش بدید ارتباططون رو با تیم فنی هدف برقرار کنید و بهشون کمک کنید آسیب پذیری رو رفع کنن.
مرحله سوم هم بعد از بررسی آسیب پذیری و تِریاژ شدنش به شما پاداش تعلق میگیره که به دلار هم هست و خوب نسبت به تارگتتون(هدفتون) میزان پاداش دریافتی تفاوت خواهد داشت .
اما باگ هانتینگ شامل چهار چوب بالا نیست; و نظارتی روی کار شما نیست در واقع در آخر که شما گزارش کردید ممکنه کسی اصلا جواب شمارو نده, به شما بگن حق نداشتید این کارو بکنید اگر ایرانی باشه تارگت که میتونه ازتون شکایت کنه و … از این جور داستانا هم داره باگ هانتینگ چون گفتم شما به صورت OpenWorld یه تارگت برمیداری و شروع میکنی به کارکردن روش و باید توقع هر اتفاقی رو داشته باشی از جمله دریافت پاداش و یا دریافت نکردن پاداش.
من خودم زیاد با باگ هانتینگ و باگ بانتی حال نمیکنم ولی خوب اگه از این زاویه بهش نگاه کنید خودم باگ هانتینگ انجام میدم به خاطر علاقم و نه به خاطر پولش و زمانی که شما آسیب پذیری رو کشف میکنید و گزارش میدید در واقع شما دارید یک عمل کلاه سفید رو اجرایی میکنید .
5 مزیت باگ بانتی برای هکرها
حالا بیاین مزیت های باگ بانتی برای هکر ها رو بررسی کنیم ببینیم به چه صورت هست :
کسب درآمد: برنامه های بانتیمیتوانند به هکرها درآمد خوبی برسونن. پاداشهای باگ بانتی میتوانند از چند دلار تا چند میلیون دلار متغیر باشند. و از همه مهم تر این که شما یک روش درآمدی دلاری و آنلاین رو به صورت دورکاری دارید .
بهبود مهارتها: برنامه های بانتی میتوانند به هکرها کمک کنند تا مهارتهای خود را در زمینه امنیت سایبری بهبود بخشند. این امر به این دلیل است که باگ بانتیها به هکرها فرصت میدهند تا آسیبپذیریهای امنیتی را در سیستمهای مختلف شناسایی و گزارش کنند.
کسب شهرت: برنامه های بانتی میتوانند به هکرها کمک کنند تا شهرت خود را در جامعه امنیت سایبری بهبود بخشند. این امر میتواند به هکرها کمک کند تا شغلهای بهتری پیدا کنند یا به پروژههای مهمتری دعوت شوند.
کمک به جامعه: برنامه های بانتی میتوانند به هکرها کمک کنند تا به جامعه کمک کنند. این امر به این دلیل است که برنامه های بانتی به هکرها فرصت میدهند تا آسیبپذیریهای امنیتی را شناسایی و برطرف کنند. این امر به محافظت از افراد و سازمانها در برابر حملات سایبری کمک میکند.
تجربه عملی: برنامه های بانتی میتوانند به هکرها تجربه عملی در زمینه امنیت سایبری دهند. این امر میتواند به هکرها کمک کند تا مهارتهای خود را در زمینههای مختلف امنیت سایبری مانند تست نفوذ، تحلیل کد، و .. رشد بدن .
5 مزیت باگ هانتینگ برای هکرها
حالا بیاین مزیت های باگ هانتینگ برای هکر ها رو بررسی کنیم ببینیم به چه صورت هست :
کسب درآمد: هکرها میتوانند با شناسایی و گزارش آسیبپذیریهای امنیتی در سیستمهای مختلف، درآمد کسب کنند. این درآمد میتواند از طریق فروش آسیبپذیریها به افراد سودجو، یا از طریق ارائه خدمات امنیت سایبری، مانند تست نفوذ، تأمین امنیت شبکه، یا مشاوره امنیت سایبری، کسب شود.
بهبود مهارتها: باگ هانتینگ میتواند به هکرها کمک کند تا مهارتهای خود را در زمینه امنیت سایبری بهبود بخشند. این امر به این دلیل است که باگ هانتینگ به هکرها فرصت میدهد تا آسیبپذیریهای امنیتی را در سیستمهای مختلف شناسایی و گزارش کنند.
کسب شهرت: باگ هانتینگ میتواند به هکرها کمک کند تا شهرت خود را در جامعه امنیت سایبری بهبود بخشند. این امر میتواند به هکرها کمک کند تا شغلهای بهتری پیدا کنند یا به پروژههای مهمتری دعوت شوند.
کمک به جامعه: باگ هانتینگ میتواند به هکرها کمک کند تا به جامعه کمک کنند. این امر به این دلیل است که باگ هانتینگ به هکرها فرصت میدهد تا آسیبپذیریهای امنیتی را شناسایی و برطرف کنند. این امر به محافظت از افراد و سازمانها در برابر حملات سایبری کمک میکند.
تجربه عملی: باگ هانتینگ میتواند به هکرها تجربه عملی در زمینه امنیت سایبری دهد. این امر میتواند به هکرها کمک کند تا مهارتهای خود را در زمینههای مختلف امنیت سایبری مانند تست نفوذ، تحلیل کد، و مهندسی اجتماعی بهبود بخشند.
5 تا از برترین پلتفرم های باگ بانتی برای کشف باگ
همین اول کار بهتون بگم; این پلتفرم های باگ بانتی به آسونی بهتون پول نمیدن خیلیارو دیدم که اسکمشون کردن یعنی همین برترین پلفترم های باگ بانتی که الان باهاشون آشنا میشید بارها پیش اومده که پول افراد رو ندادن و خوب کوچکترین بهونه ای بهشون بدید پولتونو نمیدن و بزرگترین مشکل ما هم این هست که IP ما واسشون خار داره و بفهمن برای ایران هست اذیت میکنن یا ممکنه کلا مثلا حسابی که باید بهش چند هزار دلار پرداخت کنن رو بن کنن و باید با پولت هم خدافظی کنی این 1 مورد مورد دوم شما باید اول reputation خودتون رو توی پلتفرمی که میخواین کار کنین ببرین بالا چرا ! ؟ چون بازهم بارها دیدم افرادی که اینکارو نکردن وقتی آسیب پذیری گزارش میدن میپیچوننشون به هر دلیلی و پولشون رو نمیدن و اول باید ثابت کنید که اینکاره هستید با کسب Reputation و بعد خیلی راحت میشه واستون کسب درآمد دلاری این یکی از بدی های این پلتفرم های هست .
- HackerOne: HackerOne یکی از بزرگترین و محبوبترین پلتفرمهای باگ بانتی در جهان است. این پلتفرم بیش از 2.5 میلیون گزارش باگ را از بیش از 600 هزار گزارشدهنده دریافت کرده است. HackerOne برنامههای باگ بانتی را برای طیف گستردهای از سیستمها، از جمله نرمافزار، وبسایتها، و سختافزار ارائه میدهد.
- Bugcrowd: Bugcrowd یک پلتفرم باگ بانتی دیگر است که بیش از 1 میلیون گزارش باگ را از بیش از 500 هزار گزارشدهنده دریافت کرده است. Bugcrowd برنامههای باگ بانتی را برای طیف گستردهای از سیستمها، از جمله نرمافزار، وبسایتها، و سختافزار ارائه میدهد.
- YesWeHack: YesWeHack یک پلتفرم باگ بانتی است که بر روی سیستمهای اروپایی تمرکز دارد. این پلتفرم بیش از 400 هزار گزارش باگ را از بیش از 200 هزار گزارشدهنده دریافت کرده است. YesWeHack برنامههای باگ بانتی را برای طیف گستردهای از سیستمها، از جمله نرمافزار، وبسایتها، و سختافزار ارائه میدهد.
- Intigriti: Intigriti یک پلتفرم باگ بانتی است که بر روی امنیت سایبری در سازمانها تمرکز دارد. این پلتفرم بیش از 200 هزار گزارش باگ را از بیش از 100 هزار گزارشدهنده دریافت کرده است. Intigriti برنامههای باگ بانتی را برای طیف گستردهای از سیستمها، از جمله نرمافزار، وبسایتها، و سختافزار ارائه میدهد.
- Tenable: Tenable یک پلتفرم باگ بانتی است که بر روی امنیت سایبری در سازمانها تمرکز دارد. این پلتفرم بیش از 100 هزار گزارش باگ را از بیش از 50 هزار گزارشدهنده دریافت کرده است. Tenable برنامههای باگ بانتی را برای طیف گستردهای از سیستمها، از جمله نرمافزار، وبسایتها، و سختافزار ارائه میدهد.
ایا کسب درآمد دلاری از راه باگ بانتی تضمینی است ؟!
خیر; هم ممکن هست که شما اسکم بشید همونطور که در پاراگراف بالا توضیح دادم و هم اینکه نیاز به دانش و خلاقیت بالایی داره که نمیگم شما اینارو ندارید منظورم اینه که باید وقت بزارید و اون خلاقیت درونتون رو روشن کنید و یادبگیرید درواقع خیلی باید کار و تمرین کنید ممکنه این روند به بیش از 6 ماه هم برسه یعنی بعد از 6 ماه تازه شما بتونی از یه سایت آسیب پذیری بزنی شایدم زودتر و بعد که تازه آسیب پذیری هارو یادگرفتی نوبت به این میرسه که جنابعالی بتونی بری بین هزاران هکر شروع کنی روی هدفی که اونا هم میبینن کار کنی و کشف آسیب پذیری انجام بدید که ممکنه همین روند خودش کلی طول بکشه پس خیلی فکر نکن همه چی گل و بلبل هست اما همین الانم نگو نمیشه و من نمیتونم خودت و نباز هنوز هیچی نشده تو چیزایی میدونی که اونا نمیدونن و با همین چیزای که بلدی و با خلاقیتت پول دربیار اوک !؟
مهارت های لازم برای ورود به دنیای باگ بانتی و باگ هانتینگ ؟
برای این که بتونید خیلی پول دربیارید به یک نقشه راه خیلی خوب نیاز دارید که بتونید از روش جلو برید و نتیجه خوبی بگیرید اوک !؟ حالا من یک لینکی رو براتون میزارم که میرید داخلش و یکی یکی مطالب رو میبرید جلو و این نکته رو هم بهتون بگم که وقتی میخواین یچیزی یادبگیرین خیلی مهمه که از کی دارین یادمیگیرین باید از کسی یادبگیرین که خودش جای شما بوده و الان چیزی که شما میخواین رو بدست آورده این لینکیم که میرید داخلش صفحه گیت هاب NahamSec هست کسی که میلیون دلاری درآورده از این کار و این مطالب رو قرار داده که شما یادش بگیرید اوک !؟ برای ورود به صفحه مورد نظر اینجا کلیک کن.
برای شروع حرفه ای وب هکینگ می تونید در دوره وب هکینگ زیرزمین سایبری شرکت کنید.
البته تمامی مطالبی که اینجا میزارم روی لینک بالا که بزنید میتونید ببینید اینارو اینجا میزارم که مطالب کامل باشه و خوب اینکه چه هکرهایی رو دنبال کنید و چه کتابی بخونید و … که مثل خود NahamSec باگ بزنید دیگه باید برید توی صفحه گیتهابی که بالا گذاشتم و شروع کنید به یادگیری که البته نیاز به بلد بدون زبان انگلیسی در این زمینه واجب هست چون تمامی مطالبی که داریم اشاره میکنیم خارجی هست و بعضیا هم با اینکه انگلیسی بلد نیستن به خودشون میگن درسته زبانم خوب نیست ولی شروع میکنم و یادمیگیریم 😉 :
- HTTP basics
- Networking basics
- Programming Basics
- Automation
- Linux basics
- Web Server Basics
- Computing Fundamentals
- Hacking Basics
میزان درآمد از باگ بانتی | باگ هانتینگ ؟
میزان مشخصی نمیشه گفت که چقدر میتونید کسب درآمد کنید ولی خوب بودن هکرهایی که تا +60 هزار دلار هم بهشون بانتی تعلق گرفته و خوب معمولا اینها به صورت تیمی کار میکنن یا به شدت Automation خوبی رو برای خودشون ایجاد کردن و خوب بانتی ای که به شما تعلق میگیره بستگی به سطح آسیب پذیری ای که کشف میشه داره و همینطور اینکه بستگی به شرکتش هم داره بعضیا بین مثلا 50$ تا 5 هزار دلار پرداخت کنن بعضیا بین 500$ تا 50 هزار دلار پرداخت کنن پس نرخ ثابتی رو نمیتونم بهتون دقیق اعلام کنم اما برترین هکرهای این پلتفرم ها سالیانه +- 500 هزار دلار کسب درآمد دارن . البته این رو هم بگم که ما پاداش های 2.4 میلیون دلاری و 1 ملیون دلاری و … هم داشتیم 🙂
مطلب پیشنهادی: