با برنامه باگ بانتی یا Bug Bounty آشنا شوید

باگ بانتی ( Bug Bounty )

کسب ثروت با شرکت در مسابقات باگ بانتی

اگر این سوال برای شما هم پیش آمده که چگونه می توانید از علمی که در حوزه تست نفوذ و امنیت دارید کسب درآمد کنید و کسب ثروت کنید و به فعالیت خود در این حوزه ادامه دهید به این منظور باید بگوییم که شما می توانید با کشف باگ های مختلف در نرم افزار ها , وب سایت ها , وب اپلیکشین ها و … به کسب در آمد برسید و نسبت به خطرناک بودن و سطح باگ پیدا شده توسط شما هزینه ای به شما پرداخت می شود که هر باگ در یک رنج قیمت مشخص شده ای خواهد داشت.

برای مثال می توانید زمانی که از یک وب سایت یک باگ یا اسیب پذیری پیدا کردید با مدیر وب سایت ارتباط برقرار کنید و این مسئله را با او در میان بگذارید و سپس قبل از اینکه باگ مورد نظر توسط اشخاص سودجو مورد سو استفاده قرار بگیرد شما با دریافت هزینه باگ مورد نظر را برای کارفرکای خود پچ یا رفع کنید .

دقت داشته باشید که باگ بانتی کار چندان ساده ای نیست و باید در این زمینه از مهارت خوبی برخوردار باشید و تجربه خوبی کسب کرده باشید تا بتوانید از چنین پروژه هایی موفق و سربلند بیرون بیایید و نکته ای که حائز اهمیت است این است که هزینه ای که به شما داده می شود نسبت به مهارت شما متغیر است .

برای وارد شدن به حوزه باگ بانتی باید چه مهارت هایی داشته باشیم ؟

برای آنکه بتوانید در حوزه باگ بانتی فعالیت کنید همانگونه که پیش تر گفته شد باید از مهارت خوبی برخوردار باشید و تجربه خوبی کسب کرده باشید که در ابتدا باید تصمیم بگیرید که در چه قسمتی از این حوزه قصد دارید فعالیت کنید و سپس نسبت به علاقه خود در یکی از این حوزه ها شرکت کنید ، برای مثال اگر قصد دارید در زمینه شکار باگ در وب سایت ها و وب اپلیکیشن ها فعالیت کنید باید بگوییم که باید در حوزه برنامه نویسی تحت وب حرفی برای گفتن داشته باشید و به زبان هایی مانند php و asp.net و . . . مسلط باشید، نکته بعدی در این است که باید با فریمورک های برنامه نویسی تحت وب هم آشنا باشید و با آن ها کار کرده باشید  البته این نکته حائز اهمیت است که نباید زبان javascript را فراموش کنید زیرا که این زبان برنامه نویسی در حملات xss یا cross site scripting به شما کمک شایانی می کند .

کشف آسیب پذیری و اکسپلیوت کردن

مهارت بعدی که در حوزه باگ بانتی باید به ان مسلط باشید مهارت کشف باگ است ،به این منظور شما باید با حملات تحت وب به خوبی آشنا باشید و توانایی پیداکردن باگ های مختلف و اکسپلویت کردن باگ هارا داشته باشید.

نکته : تنها پیدا کردن باگ کافی نیست و شما باید
مهارت اکسپلویت کردن باگ را داشته باشید تا بتوانید از آن استفاده کنید .

رایج ترین حملات تحت وب حملات زیر است :

• SQL Injection
• باگ XSS
• اسیب پذیری SCRF
• باگ LFI
• باگ RFI
• باگ LFD
• باگ RFU
• حملات DOS/DDOS
• باگ RCE
• اسیب پذیری buffer overflow

باگ های بسیار زیاد و متوعی در حوزه وب وجود دارد که در بالا رایج ترین آنها را نام بردیم

اما اگر قصد دارید فعالیت خود را در زمینه کشف باگ در نرم افزار ها پیش ببرید باید بگوییم که مجددا این حوزه به زیر شاخه هایی تبدیل می شود و در ابتدا باید مشخص کنید که قصد دارید بر روی نرم افزار های ویندوزی کار کنید یا نرم افزار های اندرویدی یا نرم افزار های ios و سپس زبان برنامه نویسی مربوطه را یاد بگیرید و سپس در نهایت با استفاده از مهارت برنامه نویسی خود باید به دنبال باگ در نرم افزار های مختلف باشید که می توانید با استفاده از هنر مهندسی معکوس به سورس نرم افزار های مختلف دسترسی داشته باشید.

مهارت شبکه

مهارت شبکه یکی از نیاز هایی است که نبود آن به شدت احساس می شود
و باید حتما با شبکه و زیر ساخت شبکه آشنا باشید تا بتوانید پروژه های خود را بهتر پیش ببرید.

مهارت کار با لینوکس

شما در هر زمینه ای از باگ بانتی که بخواهید فعالیت کنید باید مهارت کار با لینوکس را داشته باشید به این دلیل که اکثر ابزار های قدرتمند برای این سیستم عامل نوشته شده اند که یکی از مهارت هایی است که جز واجبات است و حتما باید توانایی کار کردن با این سیستم عامل دوست داشتنی را داشته باشید.

نکته دیگری که قابل ذکر است این است که خیلی کم پیش می اید که شما با سیستم عامل لینوکس در ارتباط نباشید و امروزه دنیا در حال پیشروی به سمت لینوکس است و به جرات می توان گفت شما در هر جایی می توانید وجود لینوکس را حس کنید برای مثال شما زمانی که دارید از اندروید استفاده کنید به صورت غیر مستقیم در حال استفاده از لینوکس هستید چرا که هسته سیستم عامل اندروید لینوکس است و همانگونه که گفته شد وجود لینوکس را در اکثر موقعیت ها  می توانید حس کنید مانند : روتر بورد ها , فایروال ها , سیستم عامل های مختلف و …

اما چگونه باید بروز باشیم ؟؟

یکی دیگر از مهارت هایی که به شدت برای باگ بانتی مورد نیاز شما است بروز بودن است.

برای انکه بتوانید همیشه خود را بروز نگه دارید باید همیشه به دنبال آموزش های جدید باشید و هرگز یادگیری فراموش نکنید زیرا اکثر متد های هک و امنیت پس از گذر زمانی دیگر قابل استفاده نیستند و نتیجه خوبی که در ابتدای کار به شما میداد را به شما نمی دهد  و درضمن از اخبار دنیای هک و امنیت هم قافل نشوید که یکی از بهترین منبع های خبری خارجی سایت the hacker news است که می توانید از طریق لینک زیر به این سایت دسترسی داشته باشید

نکته ای قابل ذکر است این که شما باید زبان انگلیسی خود را تقویت کنید تا بتوانید از منابع مختلف استفاده کنید و دقت داشته باشید که باید خلاقیت خود ارتقا دهید تا همیشه بتوانید روش های جدید کشف کنید و از پیچیده ترین مشکلات بهترین روش ها را پیدا کنید و به سادگی از چالش های موجود در باگ بانتی عبور کنید که تنها کاری که باید برای افزایش خلاقیت خود انجام دهید این است که با علاقه و پشت کار زیاد به راه خود ادامه دهید. ?

خلاصه آموزش

در این قسمت از آموزش شما را با باگ بانتی یا bug Bounty آشنا کردیم و نحوه ورود به این حوزه را خدمت شما شرح دادیم و موارد لازم برای ورود به این حوزه را بررسی کردیم و نیز می توانید نسبت به علاقه خود در یکی از این حوزه ها اقدام به فعالیت کنید همچنین می توانید سوالات و نظرات خود را با ما از بخش دیدگاه در میان بگذارید.