باگ بانتی (Bug Bounty) چیست؟

باگ بانتی (Bug Bounty) به این امید ارائه می‌شود که آسیب‌ پذیری‌ های امنیتی قبل از اینکه توسط یک بازیگر شرور مورد سوءاستفاده قرار گیرد، شناسایی و به صاحب نرم‌افزار گزارش شود. باگ بانتی را می‌توان به عنوان رقابت بین هکرهای خوب در نظر گرفت. طرح ها به صورت عمومی باز می شوند و شرکتی که باگ بانتی را ارائه می دهد (از لحاظ نظری) می تواند هر گونه آسیب پذیری شناسایی شده را قبل از اینکه برای بازیگران بد شناخته شود پیدا کند. در بیشتر موارد، Bug Bounty بر اساس شدت آسیب پذیری شناسایی شده ارزش گذاری می شوند. طبق گزارش HackerOne، تنها در سال 2018 تقریباً 900,000 دلار باگ بانتی پرداخت شده است. ارزش پاداش‌های فردی می‌تواند بسیار پایین باشد و معمولاً شرکت‌ها برای شناسایی یک آسیب‌ پذیری با شدت کم حدود ۱۰۰ دلار به عنوان جایزه پرداخت می‌کنند. با این حال، آسیب‌ پذیری‌ های حیاتی گاهی اوقات می‌توانند جایزه‌های 10,000 دلاری یا بیشتر را جذب کنند. برخی از هکرها مبالغ قابل‌ توجهی برای شناسایی باگ‌ها کسب می‌کنند. Guido Vranken، یک محقق هلندی، 12 باگ را در مدت یک هفته شناسایی کرد و در ازای آن 120,000 دلار توسط EOS به او پرداخت شد. 

مهمترین اولویت برای توسعه دهندگان ساخت کد ایمن و به حداقل رساندن آسیب پذیری ها قبل از ارسال محصول است. با این حال، حتی دقیق ترین توسعه دهندگان نیز به ناچار باگ ها را از دست خواهند داد و برخی از آنها ممکن است خطرات امنیتی ایجاد کنند. بنابراین Bug Bounty ها به‌ عنوان خط دوم دفاعی مهم برای محافظت از صاحبان نرم‌افزار و کاربران در برابر بازیگران بد عمل می‌کنند.

وقتی صحبت از رمزنگاری به میان می‌آید، کار با فناوری‌ای که روی آن اجرا می‌شود دشوار است. هنگامی که مهندسان بلاک چین نرم افزار یا وب سایتی را راه اندازی می کنند، باید مطمئن شوند که تا حد امکان ایمن و پایدار است. اینجاست که باگ بانتی ها وارد می‌شوند.

باگ بانتی چیست؟

باگ بانتی برنامه‌ای است که به افرادی که اشکالات یا آسیب‌ پذیری‌های یک وب‌سایت یا نرم‌افزار را پیدا می‌کنند، پاداش‌های پولی ارائه می‌کند. بسیاری از شرکت‌ها از Bug Bounty ها برای یافتن و رفع اشکالات قبل از سوءاستفاده هکرها استفاده می‌کنند.

باگ بانتی روشی محبوب برای شرکت‌ها برای یافتن و رفع آسیب‌ پذیری‌های نرم‌افزاری قبل از اینکه هکرها فرصت سوءاستفاده از آنها را پیدا کنند، است. در کریپتوکارنسی، باگ بانتی اغلب توسط کسب‌وکارهای ارزهای دیجیتال مانند پروتکل‌ها، صرافی‌ ها و اپراتورهای کیف پول ارائه می‌شوند.

Bug Bounty به کسی یا تیمی ارائه می‌شود که آسیب‌پذیری را در نرم‌افزار شرکت کشف و افشا کند. جوایز می تواند از چند صد تا چند هزار دلار متغیر باشد، محققان مستقل را برای یافتن اشکالات، ایجاد اعتماد بین شرکت ها و کاربران و افزایش امنیت پایگاه های کد تشویق کند. جوایز معمولاً به شکل ارزهای دیجیتال هستند اما ممکن است شامل مشوق‌های اضافی مانند شناسایی یا نشان‌ها باشند.

چرا شرکت‌ها از باگ بانتی استفاده می‌کنند؟

همانطور که گفته شد Bug Bounty اساساً پاداشی است که یک شرکت در ازای یافتن و افشای یک آسیب‌پذیری در نرم‌افزار خود به شخص یا تیم ارائه می‌دهد. جوایز می تواند متفاوت باشد اما معمولاً از چند صد تا چند هزار دلار متغیر است.

دلیل اصلی استفاده شرکت‌ها از باگ بانتی این است که روشی کارآمد برای یافتن و رفع آسیب‌ پذیری‌ها بدون نیاز به مرور کل پایگاه کد است. این به ویژه برای شرکت‌های بزرگتر مفید است، جایی که پایگاه کد بزرگ و پیچیده است و زمان زیادی طول خواهد کشید. با باگ بانتی، شرکت‌ها می‌توانند به سرعت آسیب‌ پذیری‌های احتمالی را شناسایی و برطرف کنند.

یکی دیگر از مزایای Bug Bounty این است که می توانند محققان امنیتی مستقل را برای یافتن و گزارش اشکالات تشویق کنند. این می تواند به افزایش امنیت پایگاه کد و محصولات و خدماتی که روی آن اجرا می شوند کمک کند. علاوه بر این، با ارائه یک جایزه، شرکت‌ها می‌توانند محققان بیشتری را به برنامه‌های Bug Bounty خود جذب کنند.

در نهایت، باگ بانتی ها نیز می‌توانند به ایجاد اعتماد بین یک شرکت و کاربرانش کمک کنند. با نشان دادن اینکه این شرکت امنیت را جدی می گیرد، کاربران به محصولات و خدمات شرکت اعتماد بیشتری خواهند داشت.

به طور کلی، Bug Bounty یک راه عالی برای شرکت‌ها جهت یافتن آسیب‌ پذیری‌ها  و رفع آنها در پایگاه کدشان است. آنها همچنین یک راه عالی برای شرکت ها هستند تا به کاربران خود نشان دهند که امنیت را جدی می گیرند و مایلند برای اطمینان از ایمن بودن محصولات و خدمات خود سرمایه گذاری کنند.

اگر در زمینه کریپتوکارنسی تازه کار بوده و به دنبال آموزش ارز دیجیتال هستید روی لینک کلیک کنید.

چگونه می توان با باگ بانتی درآمد کسب کرد؟

وقتی نوبت به کسب پاداش برای یافتن اشکالات می رسد، فرآیند نسبتاً ساده است. اگر اشکالی پیدا کردید، می‌توانید آن را مستقیماً به شرکت گزارش دهید یا آن را از طریق وب‌سایت برنامه Bug Bounty ارسال کنید.

هنگامی که شرکت اشکال را تأیید کرد، ممکن است برای کشف آن پاداشی در نظر بگیرد. بسته به شدت اشکال و دشواری یافتن آن، جوایز می تواند از چند صد دلار تا ده ها هزار دلار متغیر باشد.

شرکتی که برنامه باگ بانتی را اجرا می کند معمولاً مقدار پاداش جایزه را تعیین می کند. در برخی موارد، پاداش ممکن است بر اساس شدت اشکال باشد، در حالی که در برخی دیگر ممکن است میزان آن بر اساس پیچیدگی اشکال باشد.

Bug Bounty معمولاً به عنوان ارز دیجیتال ارائه می شود. به عنوان مثال، اگر برنامه باگ بانتی توسط یک شرکت بلاک چین اجرا شود، ممکن است پاداشی در قالب توکن اصلی خود ارائه دهند.

هنگامی که باگ بانتی را دریافت می کنید، ممکن است از شما خواسته شود که یک توافق نامه عدم افشا (NDA) را امضا کنید. این کار برای جلوگیری از افشای جزئیات این اشکال برای عموم است.

در برخی موارد، ممکن است از شما خواسته شود که قراردادی را برای انتقال حقوق باگ به شرکت امضا کنید. این بدان معنی است که شما نمی توانید در آینده حق ثبت اختراع ثبت کنید یا از این باگ بهره مند شوید.

برخی از برنامه‌های Bug Bounty ممکن است شامل مشوق‌های اضافی مانند شناسایی عمومی یا نشان ویژه نیز باشند.

به طور کلی، باگ بانتی ها یک راه عالی برای کسب درآمد و در عین حال به ایمن کردن اکوسیستم کریپتو کمک می‌کنند. با یافتن و گزارش اشکالات، می‌توانید جوایزی کسب کنید و در عین حال به امن‌تر کردن فضا کمک کنید.

چگونه از هک کیف پول های ارز دیجیتال جلوگیری کنیم؟ برای آشنایی با این مطلب روی لینک مربوط کلیک کنید.

چند نمونه از اشکالات یافت شده از طریق Bug Bounties

باگ بانتی ها بخش عمده‌ای از صنعت ارزهای دیجیتال از زمان پیدایش آن بوده است. از آنها برای تشویق محققان امنیتی و هکرها برای یافتن آسیب‌ پذیری‌ها و باگ‌های امنیتی در پروژه‌های مبتنی بر بلاک چین و رمزارز استفاده می‌شود.

بنابراین، چند نمونه از باگ‌هایی که از طریق Bug Bounty پیدا شده‌اند، چیست؟ در اینجا به چند نمونه اشاره شده است:

SQL Injection: تزریق SQL نوعی حمله است که به عوامل مخرب اجازه می دهد تا با تزریق کد مخرب یا پرس و جو به یک برنامه آسیب پذیر به پایگاه داده دسترسی پیدا کنند. این حملات معمولاً برای سرقت داده ها از پایگاه داده یا تغییر داده های موجود در پایگاه داده استفاده می شوند.

Cross-Site Scripting (XSS) :XSS نوعی حمله است که به عوامل مخرب اجازه می دهد کدهای مخرب را به یک وب سایت تزریق کنند. سپس می توان از این کد برای سرقت داده ها، هدایت کاربران به وب سایت های مخرب یا حتی کنترل مرورگر کاربر استفاده کرد.

اجرای کد از راه دور (RCE): RCE نوعی حمله است که به عوامل مخرب اجازه می دهد تا کدهای مخرب را روی یک سیستم آسیب پذیر اجرا کنند. این حمله می تواند برای دسترسی به یک سیستم مورد استفاده قرار گیرد و در صورت موفقیت آمیز بودن می تواند عواقب مخربی داشته باشد.

اینها تنها چند نمونه از باگ‌هایی هستند که از طریق باگ بانتی ها پیدا شده‌اند. همانطور که صنعت ارزهای دیجیتال به رشد خود ادامه می‌دهد، تعداد Bug Bounty و انواع باگ‌هایی که از طریق آنها یافت می‌شوند نیز افزایش می‌یابد.

پل های بلاک چین چگونه هک می شود. برای خواندن مطلب هک پل های بلاک چین کلیک کنید.

آیا هک کردن وب سایت شخصی قانونی است؟

هک کردن وب سایت شخصی بدون اجازه در اکثر کشورها قانونی نیست. این کار نوعی جرایم سایبری در نظر گرفته می شود و می تواند با جریمه نقدی، حبس یا هر دو مجازات شود.

با این اوصاف، چند استثنا وجود دارد. به عنوان مثال، بسیاری از کشورها قوانین خاصی دارند که به شرکت‌ها اجازه می‌دهد برنامه‌های باگ بانتی را اجرا کنند که هکرهای اخلاقی را قادر می‌سازد تا به دنبال آسیب‌ پذیری‌های امنیتی در وب‌سایت‌ها و برنامه‌های خود بگردند.

در بیشتر موارد، برنامه‌های Bug Bounty به صورت داوطلبانه اجرا می‌شوند، به این معنی که هکرهای اخلاق مند نیازی به نگرانی در مورد مواجهه با عواقب قانونی کار خود ندارند. با این حال، برخی از شرکت‌ها برای کسانی که نقص‌های امنیتی جدی پیدا می‌کنند، مشوق‌هایی مانند پاداش‌های پولی ارائه می‌کنند.

مهم است که در نظر داشته باشید که هک کردن وب‌سایت شخصی بدون اجازه صاحب آن، همچنان جرم محسوب می‌شود، حتی اگر به عنوان بخشی از برنامه باگ بانتی انجام شود. اگر قصد شرکت در برنامه Bug Bounty را دارید، مطمئن شوید که شرایط و ضوابط را به دقت بخوانید و با قوانین محلی خود بررسی کنید تا مطمئن شوید که هیچ قانونی را نقض نمی کنید.

نتیجه گیری

باگ بانتی یک راه عالی برای شرکت‌ها برای شناسایی سریع و رفع مشکلات امنیتی در محصولات و خدماتشان است. با ارائه پاداش برای کشف آسیب پذیری ها، شرکت ها می توانند محققان مستقل را تشویق کنند تا به آزمایش سیستم های خود کمک کنند، نقاط ضعف را شناسایی کنند و سپس آنها را به شرکت گزارش دهند تا بتوان آنها را برطرف کرد.