مهارت های لازم و کسب درآمد از باگ بانتی
افرادی که در حوزه تست نفوذ، هک و امنیت دانش و اطلاعات کافی دارند می توانند درآمد خوبی از این طریق کسب کنند. یکی از راه های کسب درآمد با داشتن چنین دانشی درآمد حاصل از باگ بانتی است. ابتدا لازم است بدانیم که Bug bounty چیست؟ افرادی که دانش زیادی در حوزه امنیتی دارند می توانند از طریق پیدا کردن و شناسایی باگ های وب سایت ها، نرم افزارها، اپلیکیشن های موبایل و …با توجه به اهمیت باگ شناسایی شده و سطح خطرناک بودن آن پس از گزارش به مدیر و صاحب شرکت مبلغی را به عنوان پاداش دریافت کنند.
افراد به منظور کسب درآمد از باگ بانتی می توانند در حوزه وب یا نرم افزار به کسب درآمد بپردازند.
به منظور اینکه افراد از باگ بانتی درآمد کسب کنند می بایست مهارت های مختلفی داشته باشند. این افراد باید با انواع باگ مانند XSS، SQL Injection، DOS/DDOS، IDOR، SSRF، LFD، RFI و …آشنایی و تسلط داشته باشند.
بهتر است افراد متقاضی درآمد از وب باگ بانتی با فریم ورک هایی چون Laravel، Django، Flask و … آشنایی داشته باشند تا بوسیله آن ها هر موردی را بررسی کرده و باگ ها و خلل امنیتی آن را شناسایی کنند.
افراد برای کسب درآمد از باگ بانتی نرم افزار بهتر است تا با تست نفوذ سیستم عامل های ویندوز، لینوکس و مکینتاش آشنایی داشته و همچنین بر سیستم عامل های موبایل نظیر اندروید و IOS آشنا باشند. آشنایی و تسلط بر زبان های برنامه نویسی چون C++، JAVA، PHP و …به منظور باگ بانتی در حوزه نرم افزار کمک می کند.
البته بهتر است قبل از اینکه افراد به سراغ درآمد باگ بانتی بروند با شبکه و کار با سیستم عامل لینوکس آشنایی پیدا کنند. الفبای هک و امنیت شبکه را بیاموزند و دوره CEH برای تبدیل شدن به هکر کلاه سفید و قانونمند را بگذرانند و پس از این موارد تخصصی شده و به کسب درآمد از حوزه وب یا نرم افزار بپردازند.
معایب باگ بانتی برای شرکت ها
با وجود مزایای باگ بانتی یا گرفتن جایزه به ازا یافتن آسیب پذیری برای سازمان ها به این خاطر که با خلل نرم افزاری و شبکه ای خود آشنا می شوند، باگ بانتی دارای معایبی نیز هست. اما مزایای آن در مقایسه با معایب آن بیشتر است، برای مثال هزینه تست نفوذ در مقایسه با باگ بانتی بالاتر است، در تست نفوذ محدود به تعدادی افراد هستیم که در پروژه نقش دارند در حالیکه در باگ بانتی با محدوده وسیعی از افراد متخصص مرتبط هستیم. در تست نفوذ سرعت کشف باگ ها پایین و در باگ بانتی این سرعت به مراتب بیشتر است.
با تمامی این تفاسیر سازمان دغدغه دارند که با جه تضمینی هکرها خلل امنیتی کشف شده را گزارش می کنند و به اعمال کارهای خرابکارانه و سرقت و فروش اطلاعات و یا آسیب به محصول نمی پردازند. شاید تضمین روش باگ بانتی برای سازمان ها به این صورت پوشش داده شود که در صورتی که اگر هکری به سیسم نفوذ کرده و گزارش را به سازمان ارائه ندهد و در اختیار فرد دیگری با اهداف دیگر قرار دهد، به دلیل تعدد افراد هکر که از باگ بانتی کسب درآمد می کنند، شخص دیگری سیستم را هک کرده و این بار او گزارش حفره های امنیتی را به مدیران سازمان ارائه کرده و پاداش دریافت می کند.
برای ورود به حوزه باگ بانتی باید چه مهارت هایی را بلد باشیم؟
برای ورود به حوزه باگ بانتی افراد تا جایی که می توانند باید خود را به روز نگاه دارند، چون فناوری در حال تغییر سریع است. بنابراین افراد در این حوزه باید بسیار اهل مطالعه باشند. بهتر است افراد در این حوزه استانداردهای تست نفوذ با عنوان OWASP را یاد بگیرند. بهتر است افراد این حوزه با سیستم لینوکس و کار با آن آشنایی کامل داشته باشند.
گذراندن دوره های Web Hacking خالی از لطف نیست. آشنایی با زبان های برنامه نویسی نظیر C++، PHP، Sql server، Java، ASP.NET و …به فرد بسیار کمک می کند. افراد بهتر است با فریم ورک برنامه نویسی تحت شبکه نیز آشنا شوند. مهارت های کشف باگ چه در حوزه شبکه و چه در حوزه نرم افزار و سیستم عامل از جمله دیگر مهارت های مورد نیاز است.
چگونه از باگ بانتی درآمد کسب کنیم؟
افرادی که مهارت لازم در حوزه شناسایی باگ نرم افزاری یا شبکه ای را دارند با پیدا کردن باگ های اپلیکیشن و سیستم عامل و یا پیدا کردن خلل امنیتی در شبکه سازمان ها این اطلاعات و نکات امنیتی را به صاحبان مشاغل و سازمان ها گزارش داده و از این راه به کسب درآمد می پردازند.