باگ بانتی چیست؟

باگ بانتی ( Bug Bounty ) یا مسابقات کشف باگ و آسیب‌پذیری، برنامه‌هایی هستند که طی آن‌ها یک وب‌سایت یا اپلیکیشن و حتی سخت افزار، سازمان یا توسعه‌دهنده برای کشف باگ‌های سرویس خود، به خصوص رخنه‌ها و باگ‌های امنتی،‌ به افراد و هکرها پاداش و جایزه می‌دهد.

هدف از این برنامه، کشف آسیب‌پذیری‌های امنیتی قبل از انتشار عمومی آن‌ها است. پاداش این مسابقات می‌تواند به صورت نقدی یا به رسمیت شناختن متخصصین این زمینه یا هر دو باشد.

اولین بار در سال ۱۸۵۱ در ازای باز کردن یک قفل فیزیکی این عبارت مطرح شد که شرکت تولیدکننده قفل، ارزش معادل ۲۰۰ شمش طلا پرداخت کرد.

در سال ۱۹۸۳ شرکت hunter & ready اولین باگ بانتی دیجیتال رو برگزار کرد.

این شرکت بعدها با شرکت microtec ادغام شد و این باگ بانتی برای سیستم‌عامل اختصاصی شرکت اجرا شد و به عنوان جایزه به کسی که باگ گزارش داده بود، ماشین فولکس واگن هدیه دادند.

در سال ۲۰۰۲ شرکت IDefense به عنوان واسط فنی، پرداخت ۴۰۰ دلار برای مشکلات امنیتی نرم‌افزارهای مختلف را انجام داد.

در سال ۲۰۰۴ شرکت Mozilla این برنامه را با ۵۰۰ دلار شروع کرد.

این روند ادامه پیدا کرد، تا در نهایت در سال ۲۰۱۰ شرکت گوگل به همراه ۲ شرکت آلمانی و هلندی و دو شرکت Mozilla و Baracuda پلتفرم باگ بانتی را ایجاد نمودند.

 

 

مقایسه باگ بانتی و پنتست:

وجود یک سامانه‌ Bug Bounty مزایای بسیاری نسبت پنتست دارد.

مهم‌ترین ویژگی آن‌ تبدیل هکرهای کلاه خاکستری و حتی در برخی موارد هکرهای کلاه سیاه به هکرهای کلاه سفید یا به عبارت دیگر ورود هکرها به یک چرخه مولد است.

به عنوان نمونه برخی از ویژگی‌های باگ‌بانتی را با پنتست مقایسه می‌کنیم:

1-هزینه در روش سنتی آزمون نفوذ نسبت به برنامه بانتی بسیار بالا می‌باشد، قراردادهای آزمون نفوذ عموما مشروط به کشف آسیب‌پذیری نمی‌باشد، درصورتی که در برنامه بانتی، به ازای هر آسیب‌پذیری، بعد از تائید کارفرما و صدور وصله امنیتی، وجه توافقی پرداخت می‌شود.

2-در تست نفوذ سنتی، قدرت تست نفوذ محدود به دانش افراد گروه است اما در باگ‌بانتی تعداد افرادی که در پروژه مشارکت دارند بسیار زیاد است و در نتیجه قدرت کار به مراتب بیشتر خواهد بود.

3-سرعت کشف آسیب‌پذیری در باگ‌بانتی به مراتب بالاتر از تست نفوذ سنتی است که علت آن حضور تعداد افراد بیشتر است.

4-باگ‌بانتی هزینه اولیه ندارد، در حالی که تست نفوذ سنتی حتی در شرایطی که آسیب‌پذیری شناسایی نشود، هزینه اولیه‌ای را برای شرکت خواهد داشت.

5-در تست نفوذ سنتی به دلیل محدود بودن نیروی انسانی و زمان که 2 عنصر اصلی کار هستند، بررسی‌ها فقط روی بخش‌های اصلی کار انجام می‌شود در حالی که این خود یک ضعف است زیرا در مقوله نفوذ، بخش مهم و غیر مهم برای هکر معنا ندارد و اتفاقا این بخش‌های فراموش شده هستند که معمولا توسط هکرها شناسایی و استفاده می‌شوند، زیرا به روزرسانی‌ها در این بخش‌ها به درستی انجام نمی‌شود و در اصطلاح رها شده‌ هستند.

6-مدت در قراردادهای سنتی، محدود می‌باشد و معمولا بسیاری از سازمان‌ها به صورت ادواری قراردادهای خود را با پیمان‌کاران تمدید می‌کنند، ولی در برنامه بانتی، زمان آزمون به‌صورت خیلی آسان قابل تمدید می‌باشد.

7-در تست نفوذ سنتی ممکن است کارشناس، آسیب‌پذیری شناسایی شده را گزارش نکند، چون سازوکار مشخصی برای بررسی این مورد وجود ندارد، اما در سامانه بانتی، هکر بدون فوت وقت، آسیب‌پذیری را گزارش می‌کند، زیرا اولا انگیزه مالی برای انجام این امر دارد، ثانیا ممکن است هکری دیگر این آسیب‌پذیری را گزارش کند، و علاوه بر رفع شدن آسیب‌پذیری، امتیازی به ایشان نرسد.

8-در آزمون نفوذ سنتی، انگیزه کارشناسان قابل اندازه‌گیری نمی‌باشد. بسیاری از کارشناسان ممکن است برای رفع تکلیف آزمون را انجام دهند و تلاشی برای کشف آسیب‌پذیری نکنند. در سامانه بانتی، هکر برای پیشرفت مالی/کاربری در سامانه، حداکثر تلاش خود را برای انجام آزمون انجام می‌دهد.

 

 

لیستی از پلتفرم‌های برتر باگ بانتی :

بسته به نوع برنامه‌ای که شما برای راه اندازی برنامه‌ریزی کرده اید ، ممکن است برای برگزاری نیاز به استفاده از یک بستر متفاوت داشته باشید.

قابل توجه‌ترین پلتفرم‌های bug bounty عبارتند از:

 

 

البته در این بین، ایران هم چندسالی است که وارد حوزه باگ‌بانتی شده است و پلتفرم‌هایی همچون کلاه سفید، باگدشت و راورو در این حوزه مشغول فعالیت هستند.

 

وب‌سایت آموزشی پرتقال نیز در این امر پیشرو بوده و به متخصصان تست‌نفوذی که از وب‌سایت آسیب‌پذیری گزارش کنند، پس از بررسی و تایید نهایی آسیب پذیری بانتی پرداخت خواهد کرد.