برای مشاهده لیست علاقه مندی ها وارد شوید!
مشاهده محصولات فروشگاههیچ محصولی در سبد خرید نیست.
برای اینکه واقعاً چگونگی نوشتن یک سیاست امنیتی خوب را توضیح دهیم ، از سیاست امنیتی Security.txt به عنوان نمونه استفاده خواهیم کرد.
خط مشی امنیتی خود را با توضیحات مختصری درباره شرکت یا پروژه خود شروع کنید. این معادل شرح متا تگ توضیحات در وب سایت است. این به شکارچی اجازه می دهد تا مختصراً از آنچه انجام می دهید ، بداند.
دقیقاً توضیح دهید که سیاست افشای شما چیست.
مثال :
ما گزارش های ارسالی را بررسی خواهیم کرد و تمام تلاش خود را برای حل سریع آسیب پذیری ها انجام خواهیم داد. برای تشویق گزارش دهی مسئولانه شما پاداش خواهیم داد و همچنین ، علیه شما اقدام قانونی نخواهیم کرد و از نیروی انتظامی و دادگاه نیز درخواستی نخواهیم کرد که شما را در مورد تعقیب قضایی قرار دهد لطفا از موارد زیر پیروی کنند: در این کار حسن نیت انجام دهید تا از نقض حریم خصوصی ، تخریب داده ها و قطع شدن یا تخریب خدمات ما جلوگیری کنید.
security.txt از این بخش برای روشن شدن روندهای افشای ، گزارش اولیه تا رفع نهایی و دریافت پاداش، استفاده می کنند. این برنامه در واقع شامل یک نمودار برای توصیف فرایندهاست که در زیر می بینید:
این یک بخش اختیاری است و با الهام از برنامه پاداش آسیب پذیری (Google (VRP. بخشی را درج کنید که شامل همه زبان های مختلفی است که شما گزارش های خود را در آن پذیرش می کنید. به یاد داشته باشید برخی شکارچیان در توصیف یافتن خود به زبان مادری خود احساس راحتی بیشتری می کنند ، بنابراین زبان می تواند کمک بزرگی باشد.
یک شکارچی خردمند یک بار گفت:
محدوده خونین کجاست ؟!
من شک دارم که برای هر برنامه ای می خواهد در مورد سیاست امنیتی آن بنویسید کار های تکراری انجام دهید. بنابراین برای حل این مشکل یک راز طلایی دارم که به طور مستقیم با برنامه نمونه ای که در این توضیحات استفاده می کنم مرتبط است. برای تعریف دامنه و محدوده خود از پرونده های Security.txt استفاده کنید. سپس تمام شکارچیان و تیم شما باید برای بررسی صحت بررسی محدوده این کارها اقدام کنند:
$ curl http://example.com/.well-known/security.txt
# This project is in scope!
Contact: [email protected] Policy: https://example.com/security-policy.html
Signature: https://example.com/.well-known/security.txt.sig
همچنین ، بیان کنید که چه دارایی در محدوده نیست. ضروری است که شما همچنین شکارچیان را تشویق کنید که با پاداش دادن به آنها نباید ، از محدوده خارج شوند. به نظر من ، یک استثناء قابل قبول از این قاعده در صورتی است که آسیب پذیری در دامنه محدوده بحرانی باشد.
اکنون می توانید از پاداش و پول صحبت کنید . دستورالعمل های مربوط به “چگونه می توانم مبلغ پاداش را تعیین کنم؟” و یک جدول با تمامی مبلغ پاداش خود را در این بخش قرار دهید.
الگوی زیر را با آنچه شکارچی باید از عملکرد برنامه شما انتظار داشته باشد پر کنید.
Time to first response: 2 business days or less.
Time to triage: 3 business days or less.
Time to resolution: 5 business days or less.
برای این بخش از خط مشی امنیتی خود می توانید بیان کنید که چه نوع آزمایشی و سپس چه محدوده برنامه bug bounty شما حذف شده اند. انواع آزمون شامل استراتژی هایی است که هکرها ممکن است هنگام شکار از آن استفاده کنند. انواع دسته های آسیب پذیری هستند که برنامه شما معمولاً آن را نمی پذیرد. ، می توانید از نمونه های زیر استفاده کرده و طبق قوانین برنامه خود را تطبیق دهید.
The following test types are excluded from the scope:
وقتی صحبت از بخش انواع مسئله آسیب پذیری می شود ، بهتر است که شما فقط انواع مشکلات را ذکر نکنید ، بلکه دلیل دقیقی را بیان کنید که چرا آن یافته ها را قبول نمی کنید – یادتان باشد که ارتباط مهم است. برنامه bug bounty با استفاده از یک جدول Markdown برای تحقق این هدف استفاده می کند.
از این بخش از خط مشی خود استفاده کنید تا آنچه را می خواهید شکارچی در اثبات مفهوم خود نشان دهد ، توصیف کنید. به عنوان مثال ، برای تعیین سریع محل آسیب پذیری برنامه نویسی در سطح سایت ، alert(document.domain)
متداول ترین روش تأیید سریع است.
یاهو به شکارچیان اجازه می دهد دسترسی ریشه ای را بدون تأثیرگذاری بر خدماتشان نشان دهند.
Security.txt از یک جدول استفاده می کند.
به شکارچیان توصیه کنید که حداقل 2 کتابی که در “چه کتابهایی باید بخوانم؟” معرفی کردیم را بخوانند. و لینک آنها را در Security.txt قرار دهید . سپس بیان می کنید که اگر شکارچی سوالی داشته باشد می تواند در هر زمان با تیم شما تماس بگیرد.
ما هکرها را تشویق می کنیم تا Web Hacking 101 و Breaking into Security Information را بخوانند
از آنجا که بسیاری از اصطلاحات ممکن است به صورت متناوب مورد استفاده قرار گیرد ، ایده خوبی است که برای جلوگیری از هرگونه سردرگمی احتمالی ، اصطلاحات خود را در Security.txt تعریف کنید. اصطلاحات “شدت” ، “تأثیر” و “اولویت” را تعریف می کنید – اصطلاحات اساسی ، که اغلب در طی فرآیند افشاء استفاده می شود. ( “severity”, “impact” ,”priority” )
شرکت آمریکایی سیتریکس که در حوزه ارایه خدمات رایانه ای و شبکه فعالیت می کند، از مشتریان خود درخواست کرده هر چه سریعتر نسبت به دانلود و نصب بهروزرسانی های منتشر شده برای دستگاههای ADC (که از آنها برای تبدیل...
حمله گسترده و پیچیده سایبری به شرکت سولارویندز (SolarWinds) که روسیه عامل اصلی اجرای آن شناخته می شود، مؤسسههای محلی، ایالتی و فدرال آمریکا و بعضی از شرکتهای بزرگ این کشور را با تهدیدات جدی و بزرگترین نشت اطلاعاتی تاریخ...
(Zero rust Network (ZTN یک مدل امنیتی مدیریت و کنترل شبکه است که در سازمانهای فناوری محور از آن استفاده می شود. در این مدل امنیتی به صورت پیش فرض به هیچ ماشین، سرویس یا شخصی اعتماد نمی شود و...
رمزنگاری سراسری، یک سیستم ارتباطی امن است که تنها افراد دو طرف ارتباط، قادر به خواندن پیام ها هستند و هیچ فرد و سیستمی از جمله ارایه دهندگان خدمات اینترنتی و مخابراتی امکان شنود کلیدهایی که برای رمزنگاری استفاده می...
یک هکر اخلاقی (Ethical Hacker) با نام «کوزمین یورداچه» که وظیفه پیدا کردن نقاط آسیبپذیر در سیستمهای مختلف و برطرف کردن آنها را داشته و با شناسه “@inhibitor181” در HackerOne (ارایهدهنده پلتفرم برنامههای عیبیابی) فعالیت میکند، حدود یک سال پیش...
Naked Security (اتاق خبر شرکت امنیتی سوفوس) ایمیلی را دریافت کرده که در آن چنین وانمود شده بود از وب سایت “WordPress.com” ارسال شده است. در این ایمیل، به گیرنده اطلاع داده شده که وب سایت او مشمول دریافت به...
با نزدیک شدن به تعطیلات سال نو میلادی و مراجعه مردم برای خریدهای آخر سال که امسال با شیوع بیماری کرونا نیز همزمان شده است، دولتها دائماً به شهروندان گوشزد میکنند که اهمیت ماسک زدن، رعایت فاصله اجتماعی و شستشوی...
بیشتر کارمندانی که با شیوع بیماری کرونا مجبور به دورکاری شده اند، همچنان مایل به ادامه این شرایط هستند؛ زیرا در هنگام دورکاری بیش از قبل از تجهیزات و امکانات سازمانی برای انجام کارهای شخصی شان استفاده میکنند. در این...
جیمی سندرز، مدیر امنیت شرکت Netflix DVD و رئیس شعبه سانفرانسیسکوی اتحادیه امنیت سیستمهای اطلاعاتی (ISSA) به دنبال یک تیم امنیتی است که بتواند اقدامات پیش رو، از پشتیبانی راهبرد امنیتی اعتماد صفر شرکت وی گرفته تا پیادهسازی ابر با...
تست نفوذ – فروشگاه ابزار های هک و امنیت | باگ بانتی
© کليه حقوق محصولات و محتوا متعلق به شرکت تیم سار ” تست نفوذ ” می باشد و هر گونه کپی برداری از محتوا و محصولات سایت پیگرد قانونی دارد.