همه چیز درباره باگ بانتی قبضینو + معرفی چالش باگ بانتی و جوایز آن

اگر علاقه‌مندید تا باگ‌ها و اشکالات موجود در سایت‌‌ها و اپلیکیشن‌ها را کشف یا حل کنید، می‌توانید در چالش‌هایی شرکت کنید که در اصطلاح به آن‌ها «باگ بانتی» می‌گویند. برای شرکت در این چالش‌ها، باید از دانش فنی کافی برخوردار باشید؛ اما در اینجا قرار است درباره چالش باگ بانتی قبضینو صحبت کنیم که شرکت در آن برای تمامی کاربران امکان‌پذیر است؛ حتی آن‌هایی که دانش فنی ندارند. به همین خاطر، پیشنهاد می‌کنیم تا پایان با ما همراه باشید تا جوایز این باگ بانتی را از دست ندهید!

چالش باگ بانتی چیست؟

چالش باگ بانتی، مسابقه‌ای است که شرکت‌ها و سازمان‌ها برای شناسایی و رفع باگ‌های موجود در نرم‌افزارها، سایت‌ها و اپلیکیشن‌های خود برگزار می‌کنند. هکرهای کلاه سفید، کاربران حرفه‌ای و حتی کاربران عادی به این چالش‌ها دعوت می‌شوند تا باگ‌ها و مشکلات امنیتی را کشف و گزارش کنند. اگر باگ‌های گزارش‌شده معتبر باشد، به کاربر گزار‌ش‌دهنده پاداش‌ نقدی یا جوایز دیگری اهدا می‌شود.

هدف از برگزاری چالش باگ بانتی چیست؟

هدف اصلی برگزاری چالش باگ بانتی، افزایش امنیت و بهبود کیفیت محصولات است. با برگزاری این چالش، شرکت‌ها می‌توانند باگ‌های پنهان و مشکلات امنیتی را شناسایی و برطرف کرده و از آسیب‌های امنیتی احتمالی جلوگیری کنند.

چه افرادی می‌توانند در چالش باگ بانتی شرکت کنند؟

از آنجایی که محدوده چالش‌های باگ بانتی در اغلب مواقع بسیار گسترده است، کاربران مختلفی می‌توانند در چالش‌های باگ بانتی شرکت کنند که در ادامه به برخی از آن‌ها اشاره می‌کنیم.

هکرهای کلاه سفید

هکرهای کلاه سفید، متخصصان امنیت سایبری هستند که به صورت قانونی و اخلاقی، باگ‌ها و آسیب‌پذیری‌های موجود را کشف می‌کنند. آن‌ها معمولاً تجربه و دانش فنی زیادی در حوزه امنیت دارند و می‌توانند باگ‌های پیچیده را شناسایی کنند.

توسعه‌دهندگان نرم‌افزار

توسعه‌دهندگان نرم‌افزار با دانش عمیق از کدنویسی و ساختارهای نرم‌افزاری می‌توانند در این چالش‌ها شرکت کنند و باگ‌ها را از نگاه تخصصی یک برنامه‌نویس شناسایی کنند.

دانشجویان و علاقه‌مندان به امنیت سایبری

دانشجویان رشته‌های مرتبط با فناوری اطلاعات و امنیت سایبری و کسانی که به طور خودآموز به دنبال یادگیری هستند، می‌توانند از چالش‌های باگ بانتی به عنوان یک فرصت آموزشی و تمرینی استفاده کنند.

تحلیل‌گران امنیتی

افرادی که در زمینه تحلیل امنیتی و تست نفوذ فعالیت می‌کنند، می‌توانند از چالش‌های باگ بانتی برای بهبود مهارت‌های خود و کسب پاداش استفاده کنند.

کاربران عادی

کاربران عادی که دانش فنی ندارند نیز می‌توانند در چالش‌های باگ بانتی شرکت کنند. آن‌ها می‌توانند مانند توسعه‌دهندگان نرم‌افزار و کارشناسان امنیت، مشکلات امنیتی قبضینو را گزارش دهند.

آیا با دانش فنی کم هم می‌توانیم در چالش باگ بانتی شرکت کنیم؟

بله! کاربران عادی می‌توانند بسیاری از باگ‌ها در سایت‌ها و اپلیکیشن‌ها را شناسایی کرده و گزارش کنند؛ برای مثال، ممکن است شما باگ‌هایی مانند خطاهای ناگهانی در کارکرد بخش‌های مختلف را تجربه کنید. این نوع باگ‌ها نیز به اندازه باگ‌های فنی پیچیده، ارزشمند هستند و گزارش آن‌ها به تیم فنی کمک می‌کند تا مشکلات را برطرف کنند.

چالش باگ بانتی قبضینو

سامانه قبضینو با راه‌اندازی چالش باگ بانتی از شما دعوت می‌کند تا در شناسایی و کشف آسیب‌پذیری‌های این سامانه، با ما همکاری کنید. اگر علاقه‌مند به کشف یا حل باگ در قبضینو هستید، می‌توانید گزارش‌های خود را طبق قوانین و مقررات این چالش برای ما ارسال کنید تا علاوه‌بر کمک به بهبود و توسعه زیرساخت‌های قبضینو، پاداش ارزشمندی نیز دریافت کنید.

چگونه می‌توانیم در چالش باگ بانتی قبضینو شرکت کنیم؟

برای شرکت در چالش باگ بانتی کافیست به صفحه‌ی «چالش باگ بانتی آیان» مراجعه کرده و پس از مطالعه شرایط و قوانین، روی دکمه‌ی «ارسال گزارش» کلیک کنید. گزارش شما باید به‌صورت کتبی یا ویدیویی به آدرس bugbounty@ayanco.com ایمیل شود. در این ایمیل، شما باید گزارش خود را به‌طور قدم به قدم و واضح توضیح دهید تا امکان تست را برای تیم ما فراهم کنید. 

محدوده چالش باگ بانتی قبضینو چیست؟

هر چالش باگ بانتی دارای محدوده مشخصی است که شامل سایت‌ها و اپلیکیشن‌های خاصی می‌شود. محدوده چالش باگ بانتی قبضینو نیز عبارت است از:

• سایت قبضینو به آدرس ghabzino.com؛
• پنل قبضینو سازمانی به آدرس organization.ghabzino.com؛
• پنل وب‌سرویس قبضینو به آدرس api.ghabzino.com؛
• پنل درآمدزایی قبضینو به آدرس counter.ghabzino.com؛
• اپلیکیشن Android قبضینو؛
• اپلیکیشن iOS قبضینو.

آسیب‌پذیری‌های قابل‌قبول و غیرقابل‌قبول

آسیب‌پذیری‌های سامانه قبضینو که از طرف کاربران برای شرکت در چالش باگ بانتی گزارش می‌شود، شامل آسیب‌پذیری‌های قابل و قبول و غیرقابل قبول است. آسیب پذیری‌های قابل قبول عبارت‌اند از:

• Insecure direct object references (IDOR)
• Server-side request forgery (SSRF)
• XML External Entity (XXE)
• SQL injection
• Authentication flaws
• Authorization flaws
• Server-side code execution
• Data leakage
• Business Logic
• SMS-Bombing

آسیب پذیری‌های غیرقابل‌قبول نیز شامل موارد زیر است:

• Cross-site scripting (XSS)
• Missing secure flag in Cookie
• Missing secure HTTP headers
• Disclosure of server or software version numbers
• Reports extracted from vulnerability scans
• Password complexity
• Username / email enumeration
• Disclosure of JavaScript API keys (e.g. API key for map service)
• CSRF and CORS misconfiguration with no security impact
• Clickjacking
• Brute-force
• Self XSS
• Missing best practices in SSL/TLS configuration
• DOS and DDOS (Application and Network)
• Social Engineering
• Lack of SPF/DKIM/DMARC implementation

شرایط و مقررات شرکت در چالش باگ بانتی قبضینو چیست؟

شرکت‌کنندگان چالش باگ بانتی قبضینو باید قوانین و مقررات این چالش را رعایت کنند تا گزارش آن‌ها قابل‌قبول باشد و بررسی شود. این قوانین و مقررات در زیر آمده است:

• حفظ اطلاعات به‌دست‌آمده از فرآیند شناسایی باگ، در تمام مراحل شرکت در چالش حتی پس از آن، واجب و لازم است. در صورت افشاء، تغییر، سرقت یا نابودی اطلاعات، مسئولیت تمام و کمال تبعات پیش‌آمده با گزارش‌دهنده باگ است.
• اگر یک باگ در چند محدوده چالش باگ بانتی قبضینو شناسایی شود، تنها یک پاداش به گزارش‌دهنده آن تعلق می‌گیرد؛ همچنین به باگ گزارش‌شده تکراری، جایزه‌ای تعلق نمی‌گیرد.
• باگ شناسایی‌شده باید در محدوده چالش باگ بانتی قبضینو قرار داشته باشد. گزارش‌های خارج از محدوده چالش، مشمول پاداش نخواهد بود.
• هرگونه ایجاد اختلال در سایت‌ها و اپلیکیشن‌های محدوده چالش قبضینو از سوی گزارش‌دهنده باگ ممنوع است.
• درج پیلود (کد، اسکریپت و…) استفاده‌شده برای شناسایی باگ، در گزارش لازم و واجب است.
• باگ شناسایی‌شده باید اثبات‌شونده و تکرارپذیر باشد تا مشمول پاداش شود.
• معیار سنجش باگ برای تخصیص پاداش، استاندارد CVSS است.

جوایز چالش باگ بانتی قبضینو چیست؟

پاداش باگ بانتی قبضینو ۴ سطح دارد که این سطوح بر اساس استاندارد CVSS مشخص شده است. پاداش شما پس از قبول و بررسی از سوی تیم ما، مشخص و پرداخت می‌شود.

نکاتی برای ارائه گزارش‌های موثر و دقیق

ارائه گزارش‌های موثر و دقیق در چالش‌های باگ بانتی بسیار مهم است. یک گزارش خوب باید به تیم فنی کمک کند تا به راحتی باگ را برطرف کند. در این بخش به شما نکاتی را خواهیم گفت که کمک می‌کند گزارش‌های ارزشمندی برای شرکت در چالش باگ بانتی قبضینو بنویسید.

عنوان‌نویسی دقیق

عنوان باید به‌طور واضح، نوع باگ و محل وقوع آن را توضیح دهد؛ مثل: «”XSS در صفحه ورود به سیستم” یا “SQL Injection در فرم ثبت‌نام.»

توضیحات کامل و شفاف

باید به‌طور شفاف توضیح دهید که باگ مدنظر شما چیست، چگونه پیدا شده و چه تاثیری دارد. در واقع باید به زبان ساده و روان، توضیحات خود را بنویسید.

گام‌های بازتولید باگ

به‌طور کامل به گام‌های دقیق و مرحله‌به‌مرحله برای بازتولید اشاره کنید. هر مرحله را با جزئیات توضیح دهید تا تیم فنی بتواند به راحتی باگ را مشاهده کند.

محیط تست

محیطی که در آن باگ را پیدا کرده‌اید، شرح دهید. این شامل سیستم عامل، مرورگر و نسخه‌های مورد استفاده است.

اثبات مفهومی (Proof of Concept – PoC)

در صورت امکان باید یک اثبات مفهومی ارائه کنید. این اثبات می‌تواند شامل کد، اسکرین‌شات یا ویدیو باشد که نشان دهد باگ چگونه کار می‌کند.

شدت و تاثیر باگ

توضیح دهید که باگ چقدر جدی است و چه تاثیری می‌تواند بر کاربران یا سیستم داشته باشد. این کار می‌تواند به اولویت‌بندی رفع باگ کمک کند.

راهکارهای پیشنهادی

اگر ایده‌ای برای رفع باگ دارید، حتما به آن اشاره کنید. این کار می‌تواند به تیم فنی کمک کند تا سریع‌تر به یک راه حل برسند.

اطلاعات تماس

اطلاعات تماس خود مثل ایمیل خود را برای پیگیری‌های بیشتر ارائه دهید تا در صورت نیاز، تیم فنی با شما تماس بگیرد.

منابع و مراجع

اگر از منابع یا مقالات خاصی برای پیدا کردن و فهمیدن باگ استفاده کرده‌اید، نام آن‌ها را در گزارش خود بنویسید. این کار به افزایش اعتبار گزارش شما کمک می‌کند.

دقت و وضوح

پس از تکمیل گزارش، مطمئن شوید که گزارش شما بدون خطاهای نگارشی و به‌صورت شفاف و دقیق نوشته شده است. استفاده از زبان ساده و شفاف کمک می‌کند تا تیم فنی راحت‌تر باگ را درک کند.

جمع‌بندی

در این مقاله به شما گفتیم که چالش باگ بانتی چیست، چه هدفی دارد و چه افرادی می‌توانند در این چالش شرکت کنند؛ همچنین شما را با قوانین و شرایط شرکت در چالش باگ بانتی قبضینو آشنا کردیم. در پایان لازم است تاکید کنیم که چالش باگ بانتی قبضینو فقط برای توسعه‌دهندگان نرم‌افزار و کارشناسان امنیت نیست؛ بلکه کاربران عادی نیز می‌توانند گزارش‌های خود را با توجه به قواعد گفته‌شده برای تیم فنی قبضینو ارسال کنند و از جوایز آن بهره‌مند شوند. این ویژگی، تفاوت اصلی چالش باگ بانتی قبضینو با چالش‌ سایر سایت‌ها و اپلیکیشن‌هاست!