ساناز امینی
روزانه تمام ما از نرمافزارها و سیستمهایی استفاده میکنیم که هیچگونه اطلاعاتی درمورد امنیت آنها نداریم. واقعیت این است که حفاظت از امنیت اطلاعات نیز بهخاطر تهدیدات سایبری، روزبهروز سختتر و دشوارتر میشود. یکی از روشهای موثر و کمککننده به شرکتها و سازمانها در راستای حفاظت از امنیت اطلاعات کاربران، برگزاری برنامههای باگ بانتی است؛ اما، باگ بانتی چیست؟ چرا و چگونه برگزار میشود؟ چه کسانی در این برنامه شرکت میکنند؟ و … . تمام این پرسشها در این مطلب از سامانه خلافی بههمراه معرفی چالش باگ بانتی خلافی معرفی و بررسی میشود.
باگ بانتی چیست؟
باگ بانتی یک برنامه است که توسط شرکتها و سازمانها برای شناسایی و رفع باگها و آسیبپذیریهای امنیتی برگزار میشود. در این برنامه، متخصصان امنیتی و هکرهای اخلاقی در کنار کاربران عادی دعوت میشوند تا باگهای نرمافزارها و سیستمها را شناسایی و گزارش کنند.
چرا و چگونه باگ بانتی برگزار میشود؟
باگ بانتی برای شناسایی سریع با هزینه کمتر از سوی شرکتها و سازمانهای دارای نرمافزار و سیستم برگزار میشود. برگزاری این چالش به آنها کمک میکند تا آسیبپذیریهایشان را متوجه شوند و در جهت ارتقا امنیت سامانههایشان بکوشند.
در ضمن، معمولا جوایز نقدی یا غیرنقدی نیز برای شرکتکنندگان در چالشهای باگ بانتی در نظر گرفته میشود تا انگیزهای برای شرکت در این چالشها و کمک به سامانهها باشد.
آیا همه میتوانند در چالش باگ بانتی شرکت کنند؟
معمولا مخاطب چالشهای باگ بانتی، هکرهای کلاه سفید، توسعهدهندگان نرمافزارها و سیستمها، دانشآموزان و دانشجویان حوزه امنیت اطلاعات و … هستند؛ اما این لزوما به معنای انحصار باگ بانتی برای این افراد نیست.
برخی از چالشهای باگ بانتی، امکان مشارکت کاربران عادی خود را در چالشهای باگ بانتی فراهم کردهاند.
چالش باگ بانتی سامانه خلافی
سامانه خلافی چند وقتی است که چالش باگ بانتی را در راستای شناسایی آسیبپذیریها و ارتقا امنیت بیشتر برگزار میکند.
مخاطبان این چالش، تمام علاقهمندان به تست نرمافزارها و سیستمها از افراد عادی بدون دانش فنی تا افراد متخصص با دانش فنی است.
سامانه خلافی برای چالش خود، محدوده، قوانین و مقررات، حوزه قابل قبول و خارج از محدوده، جوایز و … را مشخص کرده است. در ادامه، با تمام این موارد آشنا میشوید اما میتوانید برای کسب اطلاعات دقیقتر همچنین ارسال گزارشها به صفحه باگ بانتی آیان مراجعه کنید.
محدوده چالش باگ بانتی سامانه خلافی
هر چالش باگ بانتی محدوده مشخصی برای شناسایی و گزارش آسیبپذیریها دارد. محدوده چالش باگ بانتی سامانه خلافی نیز khalafi.ir است.
شما میتوانید پس از تست دامنه khalafi.ir، باگها و آسیبپذیریهای یافتهشده را گزارش دهید تا جایزه دریافت کنید.
قوانین و مقررات چالش باگ بانتی سامانه خلافی
شرکتکنندگان در چالش باگ بانتی آیان باید قوانین و مقررات زیر را رعایت کنند تا گزارشهایشان قابل قبول و بررسی باشد:
- شرکتکنندگان موظف هستند که تمامی اطلاعات بهدستآمده از فرآیند شناسایی باگ را در تمامی مراحل شرکت در چالش و حتی پس از آن حفظ کنند. در صورت افشاء، تغییر، سرقت یا نابودی اطلاعات، مسئولیت تمامی تبعات بر عهده گزارشدهنده باگ خواهد بود.
- اگر باگ گزارششده تکراری باشد و پیش از این توسط افراد دیگر گزارش شده باشد، جایزهای به گزارشدهنده تعلق نمیگیرد؛ در ضمن، در صورتی که یک باگ در چند محدوده شناسایی شود، تنها ۱ جایزه به گزارشدهنده تعلق میگیرد.
- باگ شناساییشده باید در محدوده تعیینشده چالش باگ بانتی آیان قرار داشته باشد. گزارشهایی که خارج از این محدوده باشند، مشمول پاداش نخواهند بود.
- هرگونه ایجاد اختلال در سایتها و اپلیکیشنهای محدوده چالش سامانه خلافی از سوی گزارشدهنده باگ ممنوع است.
- گزارشدهنده باید پیلود (کد، اسکریپت و …) استفادهشده برای شناسایی باگ را در گزارش خود درج کند.
- باگ شناساییشده باید قابل اثبات و تکرارپذیر باشد تا مشمول پاداش شود.
- عیار سنجش باگ برای تخصیص پاداش، استاندارد CVSS است.
حوزه قابل قبول و خارج از محدوده باگ بانتی خلافی
هر چالش باگ بانتی حوزه قابل قبول و خارج از محدوده برای شناسایی و گزارش آسیبپذیریها دارد. حوزه قابل قبول و خارج از محدوده باگ بانتی خلافی در ادامه آورده شده است:
حوزه قابل قبول خلافی
- Insecure direct object references (IDOR)
- Server-side request forgery (SSRF)
- XML External Entity (XXE)
- SQL injection
- Authentication flaws
- Authorization flaws
- Server-side code execution
- Data leakage
- Business Logic
- SMS-Bombing
خارج از محدوده خلافی
- Cross-site scripting (XSS)
- Missing secure flag in Cookie
- Missing secure HTTP headers
- Disclosure of server or software version numbers
- Reports extracted from vulnerability scans
- Password complexity
- Username / email enumeration
- Disclosure of JavaScript API keys (e.g. API key for map service)
- CSRF and CORS misconfiguration with no security impact
- Clickjacking
- Brute-force
- Self XSS
- Missing best practices in SSL/TLS configuration
- DOS and DDOS (Application and Network)
- Social Engineering
- Lack of SPF/DKIM/DMARC implementation
جوایز باگ بانتی خلافی
جوایز باگ بانتی سامانه خلافی چهار سطح دارد. این سطحبندی جوایز بر اساس استاندارد CVSS مشخص شده است که شامل موارد زیر است:
- سطح Vital: تا ۱٬۵۰۰٬۰۰۰٬۰۰۰ ریال
- سطح Critical: تا ۲۵۰٬۰۰۰٬۰۰۰ ریال
- سطح High: تا ۱۵۰٬۰۰۰٬۰۰۰ ریال
- سطح Medium: تا ۵۰٬۰۰۰٬۰۰۰ ریال
آموزش ارسال گزارش باگ بانتی برای سامانه خلافی
ارسال گزارش باگ بانتی خلافی ساده است. شما فقط باید مراحل زیر را قدم به قدم بگذرانید تا گزارش خود را ارسال کنید:
- وارد سایت ayanco.com/bugbounty شوید.
- مطالب آوردهشده در این صفحه را به دقت بخوانید.
- انتهای صفحه بخش گزارش شما را مطالعه کنید تا قالب گزارش را رعایت کنید.
- پس از آمادهسازی گزارش استاندارد و پر کردن فرم مربوط به باگ بانتی آیان، بر روی دکمه آدرس ایمیل bugbounty@ayanco.com کلیک کنید و گزارش را ارسال کنید.
سخن آخر
اگر شما هم بهدنبال فرصتی برای سنجش توانایی و دقت خود هستید، میتوانید همین حالا در چالش باگ بانتی خلافی شرکت کنید تا جایزه نیز بگیرید. حتما یادتان باشد که گزارشهای خود را طبق استانداردهای مشخصشده در صفحه باگ بانتی آیان آماده کنید. از اینکه ما را در ارتقا امنیت اطلاعات کاربران عزیزمان یاری میکنید، متشکریم.
سوالات متداول
در این بخش سوالات متداول مربوط به باگ بانتی سامانه خلافی را آوردهایم:
چه کسانی میتوانند در چالش باگ بانتی شرکت کنند؟
مخاطبان چالشهای باگ بانتی شامل هکرهای کلاه سفید، توسعهدهندگان نرمافزار، دانشآموزان و دانشجویان حوزه امنیت اطلاعات و حتی کاربران عادی هستند.
محدوده چالش باگ بانتی سامانه خلافی چیست؟
محدوده چالش باگ بانتی سامانه خلافی دامنه khalafi.ir است. شرکتکنندگان باید باگها و آسیبپذیریهای شناساییشده در این دامنه را گزارش دهند.
چگونه گزارش باگ بانتی را ارسال کنیم؟
برای ارسال گزارش، به سایت ayanco.com/bugbounty بروید، اطلاعات موجود در این صفحه را مطالعه کنید، گزارش را طبق قالب مشخصشده آماده کنید و به آدرس ایمیل bugbounty@ayanco.com ارسال کنید.