برترین پلتفرم های باگ باونتی (Bug Bounty) داخلی و خارجی برای هکرها کلاه سفید. اول از همه به تعریف باگ باونتی می‌پردازیم و سپس به معرفی پلتفرم‌های آن در ادامه همین مطلب خواهیم رسید. حالا چرا معرفی پلتفرم؟ برای اینکه هکرهای کلاه سفید در این پلتفرم‌ها به کسب درآمد برسند. البته این روند نیاز به دانش بالای شما در زمینه هک دارد که در ادامه مطلب به آن خواهیم رسید.

مزایا باگ باونتی برای هکرها:

• لیست برنامه‌های مختلف برای کشف آسیب پذیری، گزارش و دریافت پاداش
• رتبه‌بندی و رقابت با هکرها و پلتفرم‌های دیگر
• حمایت قانونی و عدم گرفتاری در انجام هک قانونی

مزایا باگ باونتی برای صاحب کسب و کار:

• کسب‌و‌کار شما در دید هکرهای زیادی در پلتفرم مربوطه قرار می‌گیرد تا تست نفوذ را انجام دهند و راه‌های نفوذ را برای شما شناسایی کنند.
• واسط بین شما و هکرها است و باعث می‌شود تا دقیق تر این موضوع بررسی شود و وقت شما گرفته نشود.

برترین پلتفرم های باگ باونتی داخلی

باگ بانتی یا باگ باونتی چیه؟ به زبان خیلی ساده به فرآیند کشف و ارائه گزارش آسیب‌پذیری از نرم افزار، برنامه‌های کاربردی، اپلیکیشن‌ها و یا وب سایت‌ها هست که به ازای آن پاداشی را از صاحب آن برنامه دریافت خواهیم کرد. یک مثال ساده تر بگم؟ برای مثال سرچ کنید باگ بانتی اسنپ. صفحه زیر که داخل عکس مشخصه براتون باز میشه و کافیه چند دقیقه توضیحات رو بخونید همین.

بعدش متوجه میشید که کسب‌و‌کارهای فعال در بستر اینترنت پلن‌هایی رو برای خودشون به وجود میارن. حالا کلاً به کنار، اما بحث امنیت زیادی مهمه. در قبال گزارش آسیب پذیری شما پولی رو دریافت می‌کنید که این روند باگ بانتی یا هانت کردن و از این حرفا رو بعداً کامل تر داخل مقالات دیگه‌ای به شما رفقا توضیح میدم. اما الان می‌خوام برترین پلتفرم‌های باگ بانتی رو به شما معرفی کنم. اوله سراغ پلتفرم‌های ایرانی میریم و بعد خارجی دیگه.

پلتفرم باگ بانتی راورو

«راورو» یک واژه‌ی کردی و به معنای شکارچی حرفه‌ای است. پلی بین متخصصین امنیت و کسب‌و‌کارها. این مطلب نه تبلیغیه نه چیزی پشتشه. صرفاًٌ چندین پلتفرم معتبر در زمینه باگ بانتی داریم که لازمه تک تک پلتفرم‌هارو به شما معرفی کنم.

دقت کنید که این لیست به ترتیب برترین‌ها داخل اینترنت نیست. اما تمام پلتفرم‌های معتبر در این لیست قابل مشاهده هست و بازهم تاکید می‌کنم که برای معرفی پلتفرم‌ها من هزینه‌ایی از کسی دریافت نکردم و صرفاً هدفم معرفی پلتفرم‌ها برای شما عزیزان هست. در انتهای همین مطلب هم از تجربیات شخصی خودم و افراد فعال در این زمینه به شما خواهم گفت.

پلتفرم باگ بانتی باگدشت

باگدشت پلتفرم باگ بانتی ایرانی است که هدف آن افزایش میزان همکاری در ایمن سازی سریع سامانه های فناوری اطلاعات و ارتباطات می باشد. زمان ورود به پلتفرم‌ها می‌تونید از صفحه اصلی تاپ هانترهای ایرانی رو ببینید.

هکرهای کلاه سفید ایرانی در قبال کشف آسیب پذیری و گزارش در پلتفرم‌های باگ بانتی ایرانی، پاداشی رو دریافت می‌کنند که با توجه به نوع و سطح آسیب پذیری این هزینه‌ها متفاوته. اما به سراغ آخرین پلتفرم باگ بانتی ایرانی بریم.

پلتفرم کشف باگ کلاه سفید

الان که داشتم این پلتفرم رو میدیدم انگار که داخل این تاریخ واقعاً مثل قبل فعالیت درستی ندارن و واقعاً می‌خواستم کلاه سفید رو از لیست حذف کنم. اما پلتفرم‌های باگ بانتی ایرانی تا الان به همین 3 موردی که معرفی کردم محدود میشن اما بازهم جای شکر داره که واقا وجود دارن :))) عبور کنیم.

همین؟ نه اینجوری هم که فکر می‌کنید نیست. جدا از این پلتفرم‌ها، مثلا سرچ کنید باگ بانتی اسنپ یا .. با کسب‌و‌کارهای بزرگی روبه‌رو میشید که اصلاً توی لیست این وب‌سایت‌ها نیستند. اما الان جای توضیح چنین چیزایی داخل این مقاله نیست! هدفمون فقط معرفی پلتفرم هست. الان به سراغ پلفترم‌های خارجی میریم.

پلتفرم‌های باگ بانتی خارجی

در پایین معتبرترین پلتفرم‌های باگ بانتی خارجی رو به شما معرفی می‌کنم. دقت کنید که ترتیب به معنای بهترین یا برتر بودن گزینه یک به دو نیست. حالا چه داخل پلتفرم‌های داخلی چه خارجی.

• OpenBugBounty
• Cobalt Bug Bounty
• Synack
• Bugcrowd
• Hackerone
• Intigriti
• YesWeHack
• yogosha
• immunefi
• hackenproof

مزیت پلتفرم‌های خارجی به‌صورت کلی اینه که درآمد دلاری داریم. البته خب این رو هم در نظر بگیرید که رقابت‌ها خیلی زیادن و ممکنه بعضی وقتا باگ شما تایید نشه یا فرد دیگه‌ای زودتر از شما باگ رو گزارش بده و… داستان زیاد داریما. حالا به سراغ معرفی پلتفرم‌ها بریم.

openbugbounty

پروژه Open Bug Bounty صاحبان وب‌سایت را قادر می‌سازد تا مشاوره و پشتیبانی از محققان امنیتی در سراسر جهان را به شیوه‌ای شفاف، منصفانه و هماهنگ دریافت کنند تا برنامه های وب را به نفع همه بهتر و ایمن تر کنند. در میان دیگر افتخارات، پروژه Open Bug Bounty در بین 5 برنامه برتر Bug Bounty در سال 2021 توسط The Hacker News و در بین 6 برنامه برتر Bug Bounty در سال 2022 توسط موسسه InfoSec قرار گرفت. (منبع openbugbounty)

دقت کنید که به عنوان یک پروژه غیرانتفاعی Open Bug Bounty هیچ جایزه‌ای پرداخت نمی‌کند و از صاحبان وب‌سایت برای میزبانی برنامه های پاداش باگ و تریاژ هزینه‌ای دریافت نمی‌کند.

Cobalt Bug Bounty

داخل داکیومنت این وب‌سایت بودم و جدا از جذابیت خفنی که وب‌سایتشون داشت نظرمو خیلی جلب کردم. به قسمتی از مستندات این لیست رسیدم و دیدم نوشتن اگر گزارش بدی ارسال کنید ما یک گزارش حرفه‌ای براتون می‌نویسیم که شما هم کارتون راه بی‌افته. واقعاً این خیلی خفنه و باعث میشه انگیزه‌ای بشه برام که داخل این پلتفرم هم به زودی شروع به کار کنم. البته معرفی پلتفرم نبود نه؟

پلتفرم‌های معروف که داخل این لیست هستند، معتبر و برترین هستند. اما هرکدوم از پلتفرم‌های باگ بانتی قوانین و شرایط استفاده خودشون رو دارن. یک پلتفرم به شما بانتی نمیده و باید رایگان کار کنید! البته برای رزومه سازی می‌تونه مفید باشه. چرا؟ یهو به یک برنامه خصوصی دعوت میشید و استخدام میشد. البته این استخدام شدن در بیشتر مواقع باید حضور فیزیکی داشته باشید 🙂

Synack

نام Synack از سنگ بنای امنیت سایبری گرفته شده است. “دست دادن سه طرفه” مورد استفاده برای ایجاد اتصالات شبکه قابل اعتماد دارای مراحل همگام سازی و تایید برای انتقال اطلاعات بین فرستنده و گیرنده است. در آن جریان دائمی داده‌ها، ما پتانسیل اتحاد فناوری و هوش انسانی را در نوع دیگری از دست دادن دیدیم که دنیای امنیت سایبری را متحول می‌کند. (منبع Synack)

پلتفرم‌هایی هستند که باهاشون کار نکردم و در تایم مشخص می‌خوام باهاشون کار کنم و نظرمو در قالب مقاله در هکفا منتشر کنم. البته طبق توضیحاتی که ارائه دادن باید خوب باشن. البته پلتفرم‌هایی مثل هکروان و… داریم که در ادامه بهش می‌پردازیم.

Bugcrowd

شرکت BugCrowd یک شرکت آموزشی امنیتی واقع در سان فرانسیسکو آمریکا هست که در زمینه های مختلف هک و امنیت فعالیت داره و شامل یک پلتفرم باگ بانتی BugCrowd میشه که توسط کیسی الیس، متخصص امنیت سایبری تأسیس شده است.

اما به سراغ معرفی پلتفرم‌های دیگه بریم و در آخر جمع‌بندی رو داشته باشیم.

hackerone

در سال 2012، هکرها و رهبران امنیتی HackerOne را به دلیل اشتیاقشان برای ایمن‌تر کردن اینترنت تشکیل دادند. امروزه، HackerOne به عنوان رهبر در مدیریت مقاومت در برابر حمله (ARM)، شکاف امنیتی بین آنچه سازمان‌ها در اختیار دارند و آنچه می‌توانند محافظت کنند، می‌بندد. ARM تخصص امنیتی هکرهای اخلاقی را با کشف دارایی، ارزیابی مستمر و بهبود فرآیند ترکیب می‌کند تا شکاف‌ها را در سطح حمله دیجیتالی در حال تکامل پیدا کند و ببندد. این رویکرد سازمان ها را قادر می سازد تا کسب و کار خود را تغییر دهند و در عین حال جلوتر از تهدیدات بمانند. (منبع خود هکروان)

اینو هم اینجا بهتون بگم که برای مشاهده تاریخچه و مکان فعالیت این پلفترم‌ها و جواب به سوالات خودتون در این زمینه کافیه که وارد وب‌سایت هاشون بشید و از قسمت درباره ما یا مستندات و یا سوالات، به جواب خودتون برسید.

intigriti

Intigriti یک شرکت امنیت سایبری است که به سرعت در حال رشد است و در خدمات امنیتی جمع‌سپاری تخصص دارد تا به سازمان‌ها کمک کند از خود در برابر جرائم سایبری محافظت کنند. پلتفرم پیشرو در صنعت باگ بوونتی ما شرکت ها را قادر می سازد تا از جامعه جهانی هکرهای اخلاقی ما استفاده کنند که از تخصص خود برای یافتن و گزارش آسیب پذیری ها برای محافظت از مشاغل استفاده می کنند.

بسیاری از سازمان‌ها از جمله اینتل، یاهو و ردبول به پلتفرم ما برای کاهش خطر حملات سایبری و نقض اطلاعات اعتماد دارند. با توجه به اهمیت فزاینده امنیت سایبری، طیف خدمات تست امنیتی تکمیلی ما برای کمک به شرکت‌ها در هر اندازه‌ای طراحی شده است تا دارایی‌های دیجیتال خود را ایمن نگه دارند. Intigriti که در سال 2016 تأسیس شد، اکنون یک تیم جهانی متشکل از 100+ کارمند دارد که در سراسر بلژیک، بریتانیا، هلند و آفریقای جنوبی پراکنده شده است. و با حمایت مالی اخیر سری B، در حال برنامه ریزی برای ارتقای رشد خود به سطح بعدی هستیم. (منبع intigriti)

YesWeHack

YesWeHack که در سال 2013 ایجاد شد، با دفاتری در فرانسه، سوئیس، آلمان و سنگاپور به یکی از پیشروترین پلتفرم های Bug Bounty در جهان تبدیل شده است.

تا اینجا در سال 2023 معتبرترین پلتفرم‌های باگ باونتی رو به شما عزیزان معرفی کردم. اما آیا به اتمام رسید؟ نه. قبلاً داخل مقاله کسب در آمد از هک و امنیت  روش‌های درآمدزایی از هک و امنیت رو به شما رفقا توضیح دادم. حتماً اون مقاله رو بخونید و در انتهای این مقاله با من همراه باشید.

yogosha

یوگوشا در سال 2015 توسط کارآفرینان و علاقه مندان قدیمی infosec تأسیس شد که دیدگاه مشابهی داشتند: ایجاد دنیای امن تر با پر کردن شکاف بین جوامع و افرادی که برای امنیت بهتر تلاش می کنند. این بدان معنی است که سازمان ها و هکرهای اخلاقی، اما همچنین CISO ها، توسعه دهندگان، تیم های امنیتی…

immunefi

بنیانگذار و مدیر عامل شرکت میچل آمادور Immunefi را در 9 دسامبر 2020 راه اندازی کرد، به عنوان یک پلتفرم پاداش باگ با تمرکز بر امنیت وب 3 و قراردادهای هوشمند با هدف ایمن کردن وب 3 برای همه. Immunefi خدمات میزبانی، مشاوره و مدیریت برنامه باگ باونتی را برای پروژه های بلاک چین و قراردادهای هوشمند ارائه می‌دهد.

hackenproof

HackenProof بخشی از اکوسیستم Hacken است. یک تجارت توکن شده جهانی که توسط امنیت سایبری هدایت می‌شود. ما مشتریان خود را با جامعه هکرهای جهانی مرتبط می‌کنیم تا مسائل امنیتی در محصولات آنها را کشف کنیم. با اجرای برنامه‌های پاداش اشکال سفارشی، به مشتریان خود کمک می‌کنیم تا خطر از دست دادن داده‌های خود را به مجرمان سایبری کاهش دهند.

برنامه های باگ بانتی

خب ما پلتفرم‌هارو دیدیم آیا راه دیگه‌ایی هم برای برنامه باگ بانتی هم هست؟ بله چراکه نه؟ نه من، بلکه افراد حرفه‌ای داخل زمینه هانت به هکرهای تازه‌کار پیشنهاد میکنن که در ابتدای کار فقط با این پلتفرم‌ها کار کنن. چرا؟ یکی باعث میشه رزومه کاری شما داخل اون پلتفرم بالاتر بره و به برنامه های خصوصوص اون پلتفرم یا شرکت دعوت بشید. البته فکر این رو نکنید که باگ بانتی رزومه شمارو قوی میکنه. چنین چیزی نیست و در آینده راجع‌به این موضوع توضیح میدم.

جدا از پلتفرم‌ها باگ بانتی ما کسب و کارهایی داریم که داخل این پلتفرم‌ها برنامه‌ایی ندارن. حالا نمونه داخلی هم بخوام بهتون بگم مثل ابرآروان یا .. خارجی هم زیاد داریم که در مقالات بعدی بهتون یاد میدم چجوری این برنامه‌هارو با سرچ ساده در گوگل پیدا کنید. کاش میشد صفر تا صد این موضوع رو اینجا نوشت! اما بزاریم برای مقالات بعدی که راجع‌به هر موضوع کامل و شفاف تر توضیح بدم. امیدوارم از معرفی این لیست لذت برده باشید.

جمع‌بندی

در این مقاله ابتدا به تعریف باگ باونتی پرداختم و سپس به معرفی برترین و معتبرین پلتفرم‌های باگ بانتی ایرانی و خارجی پرداختم. معرفی این پلتفرم‌ها بدون دریافت هزینه برای تبلیغ یا هرگونه هدف تجاری بوده و صرفاً هدف من از معرفی این لیست، برای آشنایی شما عزیزان با پلتفرم‌های باگ باونتی معروف و معتبر داخلی و خارجی بوده. امیدوارم لذت برده باشید. در مورد باگ بانتی و آموزش باگ بانتی در مقالات آینده در هکفا به جزئیات بیشتری خواهم پرداخت و مقالات بیشتری رو برای شما عزیزان تولید و منتشر خواهم کرد.