چگونه مبلغ پاداش را تعیین کنم؟

یکی از چالش برانگیزترین مراحل هنگام اجرای برنامهbug bounty ، اغلب تعیین میزان پاداش است. دلیل این امر این است که عوامل بسیاری در این فرآیند دخیل هستند.
هدف اصلی بانتی ، پاداش است
حداقل باید مبلغی براساس شدت کلی آسیب پذیری امنیتی ارزیابی شود. دلیل این امر به این دلیل است که شما سعی می کنید هکرها را تشویق کنید که یافته های خود را مستقیماً به شما گزارش دهند نه اینکه آنها را به شخص ثالث بفروشند یا حتی از این اشکال استفاده کنند. یکی از معیارهای گسترده ای که برای ارزیابی شدت آسیب پذیری امنیتی استفاده می کنند سیستم رایج امتیاز دهی آسیب پذیری (CVSS) است.
تیم پشتیبان برنامه باگ بانتی باید بتواند نمرات CVSS را درک کند و آنها را بر اساس گزارش محاسبه کند. توجه به این نکته ضروری است که شدت کلی در CVSS شامل هر سه گروه متریک – Base Score, Environmental Score,Temporal Score است – و در ارزیابی ارزش گذاری گزارش برای پاداش باید هر سه مورد در نظر گرفته شود.
CVSS به هیچ وجه کامل نیست ، اما در حال حاضر گزینه های بسیار کمی وجود دارد ، بنابراین تا انتشار یک راه حل جدید ، ما از این سیستم متریک استفاده می کنیم.
ساختار
همانطور که در “ریاضیات پشت پرده باگ باونتی- فرمولی برای محاسبه مبلغ پاداش” مشاهده می شود ، یکی از راه های ایجاد یک ساختار واضح هنگام محاسبه مبالغ پرداختی ، صرفاً با استفاده از یک فرمول ریاضی است. فرمول ارائه شده در قطعه حداکثر مقدار پاداش برنامه شما و یک نمایشگر را به عنوان ورودی می گیرد. سپس مقدار پاداش را به کلیت یافته نقشه می کشد. خروجی لیستی از مقادیر پاداش با نمره شدت مربوط به آنها است.
رقابت
جنبه دیگری که هنگام تعیین مبلغ پاداش باید در نظر گرفته شود ، رقابت است. اگر واقعاً می خواهید شکارچیان برتر را برای شرکت در برنامه خود ترغیب کنید ، مبالغ رقابتی پاداش یکی از راههای جذب این شکارچیان بسیار ماهر است.
مطالب زیر را حتما بخوانید:

افزایش نشت اطلاعات پزشکی
مطالعات و بررسی های جدید، بیانگر افزایش سه برابری میزان نشت دادهها در صنعت مراقبتهای بهداشتی در سال آینده است. در گزارش «وضعیت امنیت سایبری صنعت مراقبتهای بهداشتی ۲۰۲۰»، از تعداد زیادی از کارشناسان امنیتی در سازمان های مختلف در...

افشای اطلاعات شرکت Broadvoice
وجود خطا در پیکربندی یکی از پایگاه داده های شرکت آمریکایی Broadvoice که در حوزه ارایه سرویسهای VoiP فعالیت میکند، باعث افشای ۳۵۰ میلیون رکورد اطلاعاتی از مشتریان این شرکت شد. یک محقق امنیتی، کلاسترهای پایگاه داده موتور جستجوی Elasticsearche...

درآمد میلیون دلاری هکرهای اخلاقی از باگ باونتی
یک هکر اخلاقی (Ethical Hacker) با نام «کوزمین یورداچه» که وظیفه پیدا کردن نقاط آسیبپذیر در سیستمهای مختلف و برطرف کردن آنها را داشته و با شناسه “@inhibitor181” در HackerOne (ارایهدهنده پلتفرم برنامههای عیبیابی) فعالیت میکند، حدود یک سال پیش...

مرجع اطلاعات مسابقات باگ بانتی
یک برنامه باگ باونتی به دلیل گزارش باگها، به خصوص باگهایی که باعث سو استفاده و آسیب پذیری میشوند، و اینکه در ازای گزارش این باگها افراد پاداش دریافت میکنند و یا به رسمیت شناخته میشوند، مورد توجه بسیاری از وب سایتها...

برنامه های bug bounty از من چه انتظاری دارند؟
برخی از این نکات ممکن است واضح به نظر برسند ، اما برای تعامل هر چه بهتر با برنامه های bug bounty مهم هستند. توجه همیشه به تیم برگزار کننده بانتی احترام بگذارید. اگر از تصمیمی که گرفته اند...

نفوذ به شبکه از طریق VPN
آژانس امنیت زیرساخت و امنیت سایبری آمریکا (CISA) پس از نفوذ یک مهاجم سایبری به یکی از نهادهای فدرال آمریکا اطلاعیه ای صادر کرد. CISA در بیانیهای که منتشر کرد، اعلام کرده است که: «یک مهاجم سایبری با استفاده از...

نکات امنیتی در تعطیلات کریسمس
بیشتر کارمندانی که با شیوع بیماری کرونا مجبور به دورکاری شده اند، همچنان مایل به ادامه این شرایط هستند؛ زیرا در هنگام دورکاری بیش از قبل از تجهیزات و امکانات سازمانی برای انجام کارهای شخصی شان استفاده میکنند. در این...

هکرهای کلاه سفید چه کاری انجام میدهند؟
منظور از هکرهای کلاه سفید چیست؟ در این مطلب قصد بررسی این موضوع را داریم. یک هکر کلاه سفید عملکردی متفاوت دارد و هدف او از هک نیز چیز دیگری است. بهتر است قبل از بررسی اینکه منظور از هکرهای...

اختلال در سرویسهای لایو استریم
یکی از سرویس های پرطرفدار که استفاده از آن قبل از شیوع بیماری کرونا نیز بین افراد بسیار متداول بود، سرویس های استریمینگ است. با وجود این که پس از شروع قرنطینه خانگی و افزایش تقاضا برای استفاده از این...

چطور می توانم باگ باونتی شروع کنم؟
چطور می توانم باگ باونتی شروع کنم؟ چگونه مهارت های خود را بهبود بخشم؟ اینها مراحل ساده ای است که هر شکارچی باگ می تواند برای شروع و بهبود مهارت های خود از آنها استفاده کند: یاد بگیرید که...

آشنایی با گروه های CERT یا CSIRT در ایران
CERT یا CSIRT واحد خدماتی است که مسئول دریافت، مرور و پاسخگویی به گزارشات ارسالی و فعالیتهای مربوط به مشکلات و رخدادهای کامپیوتری است. سرویس های این واحد معمولا برای محدوده مشخصی تعریف می شود که می تواند یک شرکت،...

چگونه می توان فرآیند اولویت بررسی گزارشات را آسانتر کرد؟
پاسخ به گزارشات آزمون نفوذ ممکن است کار سخت و تکراری باشد. در اینجا چند گام ساده وجود دارد که می تواند باعث افزایش کارآیی شما شود . از الگوهای پاسخ استفاده کنید مخزن باگ بانتی از مجموعه الگوهای...
قوانین ارسال دیدگاه در سایت
- چنانچه دیدگاهی توهین آمیز باشد و متوجه اشخاص مدیر، نویسندگان و سایر کاربران باشد تایید نخواهد شد.
- چنانچه دیدگاه شما جنبه ی تبلیغاتی داشته باشد تایید نخواهد شد.
- چنانچه از لینک سایر وبسایت ها و یا وبسایت خود در دیدگاه استفاده کرده باشید تایید نخواهد شد.
- چنانچه در دیدگاه خود از شماره تماس، ایمیل و آیدی تلگرام استفاده کرده باشید تایید نخواهد شد.
- چنانچه دیدگاهی بی ارتباط با موضوع آموزش مطرح شود تایید نخواهد شد.
Warning: _() expects exactly 1 parameter, 2 given in /home/ddbjkbmb/public_html/wp-content/themes/Sigma/comments.php on line 12
Warning: _() expects exactly 1 parameter, 2 given in /home/ddbjkbmb/public_html/wp-content/themes/Sigma/comments.php on line 12