مرجع اطلاعات مسابقات باگ بانتی

یک برنامه باگ باونتی به دلیل گزارش باگها، به خصوص باگهایی که باعث سو استفاده و آسیب پذیری میشوند، و اینکه در ازای گزارش این باگها افراد پاداش دریافت میکنند و یا به رسمیت شناخته میشوند، مورد توجه بسیاری از وب سایتها و توسعه دهندگان نرمافزاری قرار گرفتهاست این برنامهها به توسعه دهندگان اجازه میدهند که باگها را قبل از اینکه عموم مردم از آنها مطلع شوند کشف کنند، و مانع از حوادثی چون سو استفاده گسترده شوند. برنامههای باگ باونتی توسط تعداد زیادی از سازمانها،از جمله Mozilla، Facebook، Yahoo، Google، Reddit، Square و Microsoft اجرا شدند. شرکتهای صنعتی که با تکنولوژی سر و کار چندانی ندارند، از جمله سازمانهای محافظه کار سنتی مانند وزارت دفاع امریکا، استفاده از برنامههای باگ باونتی را آغاز کردند. استفاده پنتاگون از برنامههای باگ باونتی بخشی از برنامه تغییر دولت است و چندین آژانس دولتی آمریکا از این برنامه استفاده میکنند، بر طبق این برنامه از هکرهای کلاه سفید (در زمینه امنیت کامپیوتری) دعوت میشود تا در افشای آسیب پذیریهای امنیتی مشارکت کنند.
پلتفرم های برتر باگ بانتی :
باگ هاب پلتفرم باگ بانتی ایرانی
BugHub
Bugcrowd
https://www.bugcrowd.com/
Hackerone
https://www.hackerone.com/
Synack
https://www.synack.com/
Japan Bug bounty Program
https://bugbounty.jp/
Cobalt
https://cobalt.io/
Zerocopter
https://zerocopter.com/
Hackenproof
https://hackenproof.com/
BountyFactory
https://bountyfactory.io
AntiHack
https://www.antihack.me/
برخی از کتاب ها پر استفاده برای درک مفاهیم مورد نیاز برای شرکت در مسابقات باگ بانتی
وب اپلیکیشن
The Web Application Hacker’s Handbook
The Hacker Playbook 2: Practical Guide to Penetration Testing
The Tangled Web: A Guide to Securing Web Applications
Jhaddix Bug Hunting Methodology
Ethical Hacking and Penetration Guide
Web Penetration Testing with Kali Linux
موبایل اپلیکیشن
Owasp Mobile AppSec
سایت هایی برای آنکه هکر بهتری باشید :
Rootme
Penetration Testing Practice Labs
Damn Vulnerable iOS App (DVIA)
Mutillidae
گزارشات نحوه یافتن آسیب پذیری و اثبات آنها را بخوانید ( poc )
SecurityBreached-BugBounty POC
PentesterLand Bug Bounty Writeups
آموزش های Bug Hunting در YouTube ببینید :
DEFCON Conference videos on YouTube
How To Shot Web — Jason Haddix, 2015
Bug Bounty Hunting Methodology v2 — Jason Haddix, 2017
Hunting for Top Bounties — Nicolas Grégoire, 2014
The Secret life of a Bug Bounty Hunter — Frans Rosén, 2016
Finding Bugs with Burp Plugins & Bug Bounty 101 — Bugcrowd, 2014
How to hack all the bug bounty things automagically reap the rewards profit — Mike Baker, 2016
خوب ، اکنون شما در نقطهای قرار دارید که تقریباً وقت آن رسیده است که شروع به شکار جوایز کنید. اما اول ، بیایید بیاموزیم که چگونه پلتفرم های باگ بانتی کار می کنند و چگونه شروع می کنیم ، فقط اطمینان حاصل کنیم که شانس موفقیت خود را حداکثر می کنیم
How to approach a target
Advice from other bug hunters that will help you find more success when approaching a bug bounty
How to write a Great Vulnerability Report
This will walk you through how to write a great vulnerability report. The better your report, the higher chance you will get a bounty
How to write a Proof of Concept
Proof of Concepts show the customer how your bug is exploited and that it works. This is crucial to being rewarded successfully
How to Report a Bug
Our walkthrough for reporting a bug via the Bugcrowd platform
برگه های تقلب (ابزار های کمکی )
روش های تست نفوذ
The Penetration Testing Execution Standard
The WASC Threat Classification
The Social Engineering Framework
وبلاگ های امنیت اطلاعات و باگ بانتی
fin1te: Bug Bounty Participant
The misunderstood X-XSS-Protection
The misunderstood X-XSS-Protection

مطالب زیر را حتما بخوانید:

گسترش حملات به گواهی های دیجیتال
تکنیک به کارگیری گواهینامههای دیجیتال و کلیدهای رمزنگاری (مثل SSL/TLS و SSH) به منظور احراز هویت و امن سازی رایانه ها و تجهیزاتی که با هم ارتباط برقرار میکنند، «هویت ماشینی» نامیده می شود. با وجود این که اینترنت اشیاء...

جلوگیری از رفتن نیروهای متخصص امنیت اطلاعات از شرکتها
در سالهای اخیر پیشرفت تکنولوژی و در کنار آن تهدیدات سایبری منجر به تشکیل بخش اجتنابناپذیر فناوری اطلاعات در تمام سازمانها دولتی و شرکتهای خصوصی شده است. این بخشها، به دلیل اهمیت ویژه خود متشکل از نیروهایی بااستعداد و تیزهوش...

افشای اطلاعات شرکت Broadvoice
وجود خطا در پیکربندی یکی از پایگاه داده های شرکت آمریکایی Broadvoice که در حوزه ارایه سرویسهای VoiP فعالیت میکند، باعث افشای ۳۵۰ میلیون رکورد اطلاعاتی از مشتریان این شرکت شد. یک محقق امنیتی، کلاسترهای پایگاه داده موتور جستجوی Elasticsearche...

چگونه مبلغ پاداش را تعیین کنم؟
یکی از چالش برانگیزترین مراحل هنگام اجرای برنامهbug bounty ، اغلب تعیین میزان پاداش است. دلیل این امر این است که عوامل بسیاری در این فرآیند دخیل هستند. هدف اصلی بانتی ، پاداش است حداقل باید مبلغی براساس شدت کلی...

رمزنگاری تمام پیام ها در سیستم عامل اندروید
رمزنگاری سراسری، یک سیستم ارتباطی امن است که تنها افراد دو طرف ارتباط، قادر به خواندن پیام ها هستند و هیچ فرد و سیستمی از جمله ارایه دهندگان خدمات اینترنتی و مخابراتی امکان شنود کلیدهایی که برای رمزنگاری استفاده می...

هکرهای کلاه سفید چه کاری انجام میدهند؟
منظور از هکرهای کلاه سفید چیست؟ در این مطلب قصد بررسی این موضوع را داریم. یک هکر کلاه سفید عملکردی متفاوت دارد و هدف او از هک نیز چیز دیگری است. بهتر است قبل از بررسی اینکه منظور از هکرهای...

نحوه مقابله با حملات سایبری مربوط به DNS
بر اساس گفتههای کارشناسان امنیت سایبری، انتظار می رود در چند هفته آینده تعداد تهدیدهای امنیتی مرتبط با DNS (سرویس نام دامنه که وظیفه آن تبدیل نام دامنه به آدرس آیپی و فراهم کردن امکان ارسال درخواستها به مسیر و...

حریم خصوصی کودکان در اینستاگرام چگونه است
بر اساس ادعاهای مطرح شده بر ضد اینستاگرام مبنی بر عدم محافظت کافی از اطلاعات کودکان، اتحادیه اروپا این شبکه اجتماعی را تحت پیگرد قانونی قرار داد. طبق این اتهام، شیوه مدیریت داده ها توسط اینستاگرام به گونه ای است...

درآمد میلیون دلاری هکرهای اخلاقی از باگ باونتی
یک هکر اخلاقی (Ethical Hacker) با نام «کوزمین یورداچه» که وظیفه پیدا کردن نقاط آسیبپذیر در سیستمهای مختلف و برطرف کردن آنها را داشته و با شناسه “@inhibitor181” در HackerOne (ارایهدهنده پلتفرم برنامههای عیبیابی) فعالیت میکند، حدود یک سال پیش...

چرا مسابقات باگ باونتی Bug Bounty برگزار کنیم
Bug Bounty (باگ باونتی) لبه اصلی خدمات امنیت سایبری است. در ابتدا از زبان ویکی پدیا باگ باونتی برای شما تعریف می کنیم : به زبان ساده Bug Bounty معامله ای است که توسط بسیاری از وب سایت ها...

نسخه تقلبی عربی نتفلیکس برای اجرای حملات فیشینگ
محققان امنیت سایبری شرکت کسپرسکی (Kaspersky) متوجه اجرای گروهی از حملات فیشینگ شده اند که از یک وب سایت مخرب خاص که به عنوان نسخه عربی نتفلیکس (شرکت آمریکایی که به پخش آنلاین در سطح جهانی و تولید محصولات نمایشی...

ابزار های مورد نیاز مسابقات باگ بانتی
لیستی از ابزارهایی است که می تواند برای محققان برای کارهای مختلفی که باید انجام دهند مفید باشد. لطفا در صورت داشتن پیشنهاد برای منابعی که باید به این پست اضافه کنیم ، به ما اطلاع دهید! ابزار های...
قوانین ارسال دیدگاه در سایت
- چنانچه دیدگاهی توهین آمیز باشد و متوجه اشخاص مدیر، نویسندگان و سایر کاربران باشد تایید نخواهد شد.
- چنانچه دیدگاه شما جنبه ی تبلیغاتی داشته باشد تایید نخواهد شد.
- چنانچه از لینک سایر وبسایت ها و یا وبسایت خود در دیدگاه استفاده کرده باشید تایید نخواهد شد.
- چنانچه در دیدگاه خود از شماره تماس، ایمیل و آیدی تلگرام استفاده کرده باشید تایید نخواهد شد.
- چنانچه دیدگاهی بی ارتباط با موضوع آموزش مطرح شود تایید نخواهد شد.
Warning: _() expects exactly 1 parameter, 2 given in /home/ddbjkbmb/public_html/wp-content/themes/Sigma/comments.php on line 12
Warning: _() expects exactly 1 parameter, 2 given in /home/ddbjkbmb/public_html/wp-content/themes/Sigma/comments.php on line 12