برترین پلتفرم های باگ باونتی (Bug Bounty) داخلی و خارجی برای هکرها کلاه سفید. اول از همه به تعریف باگ باونتی میپردازیم و سپس به معرفی پلتفرمهای آن در ادامه همین مطلب خواهیم رسید. حالا چرا معرفی پلتفرم؟ برای اینکه هکرهای کلاه سفید در این پلتفرمها به کسب درآمد برسند. البته این روند نیاز به دانش بالای شما در زمینه هک دارد که در ادامه مطلب به آن خواهیم رسید.
مزایا باگ باونتی برای هکرها:
- لیست برنامههای مختلف برای کشف آسیب پذیری، گزارش و دریافت پاداش
- رتبهبندی و رقابت با هکرها و پلتفرمهای دیگر
- حمایت قانونی و عدم گرفتاری در انجام هک قانونی
مزایا باگ باونتی برای صاحب کسب و کار:
- کسبوکار شما در دید هکرهای زیادی در پلتفرم مربوطه قرار میگیرد تا تست نفوذ را انجام دهند و راههای نفوذ را برای شما شناسایی کنند.
- واسط بین شما و هکرها است و باعث میشود تا دقیق تر این موضوع بررسی شود و وقت شما گرفته نشود.
برترین پلتفرم های باگ باونتی داخلی
باگ بانتی یا باگ باونتی چیه؟ به زبان خیلی ساده به فرآیند کشف و ارائه گزارش آسیبپذیری از نرم افزار، برنامههای کاربردی، اپلیکیشنها و یا وب سایتها هست که به ازای آن پاداشی را از صاحب آن برنامه دریافت خواهیم کرد. یک مثال ساده تر بگم؟ برای مثال سرچ کنید باگ بانتی اسنپ. صفحه زیر که داخل عکس مشخصه براتون باز میشه و کافیه چند دقیقه توضیحات رو بخونید همین.
بعدش متوجه میشید که کسبوکارهای فعال در بستر اینترنت پلنهایی رو برای خودشون به وجود میارن. حالا کلاً به کنار، اما بحث امنیت زیادی مهمه. در قبال گزارش آسیب پذیری شما پولی رو دریافت میکنید که این روند باگ بانتی یا هانت کردن و از این حرفا رو بعداً کامل تر داخل مقالات دیگهای به شما رفقا توضیح میدم. اما الان میخوام برترین پلتفرمهای باگ بانتی رو به شما معرفی کنم. اوله سراغ پلتفرمهای ایرانی میریم و بعد خارجی دیگه.
پلتفرم باگ بانتی راورو
«راورو» یک واژهی کردی و به معنای شکارچی حرفهای است. پلی بین متخصصین امنیت و کسبوکارها. این مطلب نه تبلیغیه نه چیزی پشتشه. صرفاًٌ چندین پلتفرم معتبر در زمینه باگ بانتی داریم که لازمه تک تک پلتفرمهارو به شما معرفی کنم.
دقت کنید که این لیست به ترتیب برترینها داخل اینترنت نیست. اما تمام پلتفرمهای معتبر در این لیست قابل مشاهده هست و بازهم تاکید میکنم که برای معرفی پلتفرمها من هزینهایی از کسی دریافت نکردم و صرفاً هدفم معرفی پلتفرمها برای شما عزیزان هست. در انتهای همین مطلب هم از تجربیات شخصی خودم و افراد فعال در این زمینه به شما خواهم گفت.
پلتفرم باگ بانتی باگدشت
باگدشت پلتفرم باگ بانتی ایرانی است که هدف آن افزایش میزان همکاری در ایمن سازی سریع سامانه های فناوری اطلاعات و ارتباطات می باشد. زمان ورود به پلتفرمها میتونید از صفحه اصلی تاپ هانترهای ایرانی رو ببینید.
هکرهای کلاه سفید ایرانی در قبال کشف آسیب پذیری و گزارش در پلتفرمهای باگ بانتی ایرانی، پاداشی رو دریافت میکنند که با توجه به نوع و سطح آسیب پذیری این هزینهها متفاوته. اما به سراغ آخرین پلتفرم باگ بانتی ایرانی بریم.
پلتفرم کشف باگ کلاه سفید
الان که داشتم این پلتفرم رو میدیدم انگار که داخل این تاریخ واقعاً مثل قبل فعالیت درستی ندارن و واقعاً میخواستم کلاه سفید رو از لیست حذف کنم. اما پلتفرمهای باگ بانتی ایرانی تا الان به همین 3 موردی که معرفی کردم محدود میشن اما بازهم جای شکر داره که واقا وجود دارن :))) عبور کنیم.
همین؟ نه اینجوری هم که فکر میکنید نیست. جدا از این پلتفرمها، مثلا سرچ کنید باگ بانتی اسنپ یا .. با کسبوکارهای بزرگی روبهرو میشید که اصلاً توی لیست این وبسایتها نیستند. اما الان جای توضیح چنین چیزایی داخل این مقاله نیست! هدفمون فقط معرفی پلتفرم هست. الان به سراغ پلفترمهای خارجی میریم.
پلتفرمهای باگ بانتی خارجی
در پایین معتبرترین پلتفرمهای باگ بانتی خارجی رو به شما معرفی میکنم. دقت کنید که ترتیب به معنای بهترین یا برتر بودن گزینه یک به دو نیست. حالا چه داخل پلتفرمهای داخلی چه خارجی.
- OpenBugBounty
- Cobalt Bug Bounty
- Synack
- Bugcrowd
- Hackerone
- Intigriti
- YesWeHack
- yogosha
- immunefi
- hackenproof
مزیت پلتفرمهای خارجی بهصورت کلی اینه که درآمد دلاری داریم. البته خب این رو هم در نظر بگیرید که رقابتها خیلی زیادن و ممکنه بعضی وقتا باگ شما تایید نشه یا فرد دیگهای زودتر از شما باگ رو گزارش بده و… داستان زیاد داریما. حالا به سراغ معرفی پلتفرمها بریم.
openbugbounty
پروژه Open Bug Bounty صاحبان وبسایت را قادر میسازد تا مشاوره و پشتیبانی از محققان امنیتی در سراسر جهان را به شیوهای شفاف، منصفانه و هماهنگ دریافت کنند تا برنامه های وب را به نفع همه بهتر و ایمن تر کنند. در میان دیگر افتخارات، پروژه Open Bug Bounty در بین 5 برنامه برتر Bug Bounty در سال 2021 توسط The Hacker News و در بین 6 برنامه برتر Bug Bounty در سال 2022 توسط موسسه InfoSec قرار گرفت. (منبع openbugbounty)
دقت کنید که به عنوان یک پروژه غیرانتفاعی Open Bug Bounty هیچ جایزهای پرداخت نمیکند و از صاحبان وبسایت برای میزبانی برنامه های پاداش باگ و تریاژ هزینهای دریافت نمیکند.
Cobalt Bug Bounty
داخل داکیومنت این وبسایت بودم و جدا از جذابیت خفنی که وبسایتشون داشت نظرمو خیلی جلب کردم. به قسمتی از مستندات این لیست رسیدم و دیدم نوشتن اگر گزارش بدی ارسال کنید ما یک گزارش حرفهای براتون مینویسیم که شما هم کارتون راه بیافته. واقعاً این خیلی خفنه و باعث میشه انگیزهای بشه برام که داخل این پلتفرم هم به زودی شروع به کار کنم. البته معرفی پلتفرم نبود نه؟
پلتفرمهای معروف که داخل این لیست هستند، معتبر و برترین هستند. اما هرکدوم از پلتفرمهای باگ بانتی قوانین و شرایط استفاده خودشون رو دارن. یک پلتفرم به شما بانتی نمیده و باید رایگان کار کنید! البته برای رزومه سازی میتونه مفید باشه. چرا؟ یهو به یک برنامه خصوصی دعوت میشید و استخدام میشد. البته این استخدام شدن در بیشتر مواقع باید حضور فیزیکی داشته باشید 🙂
Synack
نام Synack از سنگ بنای امنیت سایبری گرفته شده است. “دست دادن سه طرفه” مورد استفاده برای ایجاد اتصالات شبکه قابل اعتماد دارای مراحل همگام سازی و تایید برای انتقال اطلاعات بین فرستنده و گیرنده است. در آن جریان دائمی دادهها، ما پتانسیل اتحاد فناوری و هوش انسانی را در نوع دیگری از دست دادن دیدیم که دنیای امنیت سایبری را متحول میکند. (منبع Synack)
پلتفرمهایی هستند که باهاشون کار نکردم و در تایم مشخص میخوام باهاشون کار کنم و نظرمو در قالب مقاله در هکفا منتشر کنم. البته طبق توضیحاتی که ارائه دادن باید خوب باشن. البته پلتفرمهایی مثل هکروان و… داریم که در ادامه بهش میپردازیم.
Bugcrowd
شرکت BugCrowd یک شرکت آموزشی امنیتی واقع در سان فرانسیسکو آمریکا هست که در زمینه های مختلف هک و امنیت فعالیت داره و شامل یک پلتفرم باگ بانتی BugCrowd میشه که توسط کیسی الیس، متخصص امنیت سایبری تأسیس شده است.
اما به سراغ معرفی پلتفرمهای دیگه بریم و در آخر جمعبندی رو داشته باشیم.
hackerone
در سال 2012، هکرها و رهبران امنیتی HackerOne را به دلیل اشتیاقشان برای ایمنتر کردن اینترنت تشکیل دادند. امروزه، HackerOne به عنوان رهبر در مدیریت مقاومت در برابر حمله (ARM)، شکاف امنیتی بین آنچه سازمانها در اختیار دارند و آنچه میتوانند محافظت کنند، میبندد. ARM تخصص امنیتی هکرهای اخلاقی را با کشف دارایی، ارزیابی مستمر و بهبود فرآیند ترکیب میکند تا شکافها را در سطح حمله دیجیتالی در حال تکامل پیدا کند و ببندد. این رویکرد سازمان ها را قادر می سازد تا کسب و کار خود را تغییر دهند و در عین حال جلوتر از تهدیدات بمانند. (منبع خود هکروان)
اینو هم اینجا بهتون بگم که برای مشاهده تاریخچه و مکان فعالیت این پلفترمها و جواب به سوالات خودتون در این زمینه کافیه که وارد وبسایت هاشون بشید و از قسمت درباره ما یا مستندات و یا سوالات، به جواب خودتون برسید.
intigriti
Intigriti یک شرکت امنیت سایبری است که به سرعت در حال رشد است و در خدمات امنیتی جمعسپاری تخصص دارد تا به سازمانها کمک کند از خود در برابر جرائم سایبری محافظت کنند. پلتفرم پیشرو در صنعت باگ بوونتی ما شرکت ها را قادر می سازد تا از جامعه جهانی هکرهای اخلاقی ما استفاده کنند که از تخصص خود برای یافتن و گزارش آسیب پذیری ها برای محافظت از مشاغل استفاده می کنند.
بسیاری از سازمانها از جمله اینتل، یاهو و ردبول به پلتفرم ما برای کاهش خطر حملات سایبری و نقض اطلاعات اعتماد دارند. با توجه به اهمیت فزاینده امنیت سایبری، طیف خدمات تست امنیتی تکمیلی ما برای کمک به شرکتها در هر اندازهای طراحی شده است تا داراییهای دیجیتال خود را ایمن نگه دارند. Intigriti که در سال 2016 تأسیس شد، اکنون یک تیم جهانی متشکل از 100+ کارمند دارد که در سراسر بلژیک، بریتانیا، هلند و آفریقای جنوبی پراکنده شده است. و با حمایت مالی اخیر سری B، در حال برنامه ریزی برای ارتقای رشد خود به سطح بعدی هستیم. (منبع intigriti)
YesWeHack
YesWeHack که در سال 2013 ایجاد شد، با دفاتری در فرانسه، سوئیس، آلمان و سنگاپور به یکی از پیشروترین پلتفرم های Bug Bounty در جهان تبدیل شده است.
تا اینجا در سال 2023 معتبرترین پلتفرمهای باگ باونتی رو به شما عزیزان معرفی کردم. اما آیا به اتمام رسید؟ نه. قبلاً داخل مقاله کسب در آمد از هک و امنیت روشهای درآمدزایی از هک و امنیت رو به شما رفقا توضیح دادم. حتماً اون مقاله رو بخونید و در انتهای این مقاله با من همراه باشید.
yogosha
یوگوشا در سال 2015 توسط کارآفرینان و علاقه مندان قدیمی infosec تأسیس شد که دیدگاه مشابهی داشتند: ایجاد دنیای امن تر با پر کردن شکاف بین جوامع و افرادی که برای امنیت بهتر تلاش می کنند. این بدان معنی است که سازمان ها و هکرهای اخلاقی، اما همچنین CISO ها، توسعه دهندگان، تیم های امنیتی…
immunefi
بنیانگذار و مدیر عامل شرکت میچل آمادور Immunefi را در 9 دسامبر 2020 راه اندازی کرد، به عنوان یک پلتفرم پاداش باگ با تمرکز بر امنیت وب 3 و قراردادهای هوشمند با هدف ایمن کردن وب 3 برای همه. Immunefi خدمات میزبانی، مشاوره و مدیریت برنامه باگ باونتی را برای پروژه های بلاک چین و قراردادهای هوشمند ارائه میدهد.
hackenproof
HackenProof بخشی از اکوسیستم Hacken است. یک تجارت توکن شده جهانی که توسط امنیت سایبری هدایت میشود. ما مشتریان خود را با جامعه هکرهای جهانی مرتبط میکنیم تا مسائل امنیتی در محصولات آنها را کشف کنیم. با اجرای برنامههای پاداش اشکال سفارشی، به مشتریان خود کمک میکنیم تا خطر از دست دادن دادههای خود را به مجرمان سایبری کاهش دهند.
برنامه های باگ بانتی
خب ما پلتفرمهارو دیدیم آیا راه دیگهایی هم برای برنامه باگ بانتی هم هست؟ بله چراکه نه؟ نه من، بلکه افراد حرفهای داخل زمینه هانت به هکرهای تازهکار پیشنهاد میکنن که در ابتدای کار فقط با این پلتفرمها کار کنن. چرا؟ یکی باعث میشه رزومه کاری شما داخل اون پلتفرم بالاتر بره و به برنامه های خصوصوص اون پلتفرم یا شرکت دعوت بشید. البته فکر این رو نکنید که باگ بانتی رزومه شمارو قوی میکنه. چنین چیزی نیست و در آینده راجعبه این موضوع توضیح میدم.
جدا از پلتفرمها باگ بانتی ما کسب و کارهایی داریم که داخل این پلتفرمها برنامهایی ندارن. حالا نمونه داخلی هم بخوام بهتون بگم مثل ابرآروان یا .. خارجی هم زیاد داریم که در مقالات بعدی بهتون یاد میدم چجوری این برنامههارو با سرچ ساده در گوگل پیدا کنید. کاش میشد صفر تا صد این موضوع رو اینجا نوشت! اما بزاریم برای مقالات بعدی که راجعبه هر موضوع کامل و شفاف تر توضیح بدم. امیدوارم از معرفی این لیست لذت برده باشید.
جمعبندی
در این مقاله ابتدا به تعریف باگ باونتی پرداختم و سپس به معرفی برترین و معتبرین پلتفرمهای باگ بانتی ایرانی و خارجی پرداختم. معرفی این پلتفرمها بدون دریافت هزینه برای تبلیغ یا هرگونه هدف تجاری بوده و صرفاً هدف من از معرفی این لیست، برای آشنایی شما عزیزان با پلتفرمهای باگ باونتی معروف و معتبر داخلی و خارجی بوده. امیدوارم لذت برده باشید. در مورد باگ بانتی و آموزش باگ بانتی در مقالات آینده در هکفا به جزئیات بیشتری خواهم پرداخت و مقالات بیشتری رو برای شما عزیزان تولید و منتشر خواهم کرد.