پاسخ به پرسش‌های پرتکرار شکارچیان

پاسخ به پرسش‌های پرتکرار شکارچیان

۱,۱۲۲

شاید برای شما هم سوال ایجاد شده باشد...

اگر شکارچی آسیب‌پذیری یا هکر کلاه‌سفید هستید، تابه‌حال به راورو سر زده‌اید، گزارش ثبت کرده‌اید و ... احتمالا با سوال‌های مختلفی روبه‌رو شده باشید. این بلاگ‌پست برای پاسخ‌گویی به سوال‌های رایج شماست. ما سوال‌های مختلفی که برخی از شما تابه‌حال با ما درمیان‌ گذاشته‌اید را، گرد هم آوردیم و در رویداد آنلاین "پاسخ به پرسش‌های رایج شکارچیان" به پاسخ‌گویی به آن‌ها پرداختیم.

پرسش و پاسخ راورو

رویداد "پاسخ به پرسش‌های رایج" شکارچیان

در این رویداد که در تاریخ ۱۲ مهرماه ۱۴۰۰ به صورت آنلاین در کانال تلگرام راورو برگزار شد، کاظم فلاحی (هم‌بنیان‌گذار و راهبر فنی راورو) ، مرضیه لکزایی (راهبر کسب‌وکار راورو) و رامین فرج‌پور (داور و محقق ارشد امنیت راورو) به نمایندگی از تیم راورو حضور داشتند. نمایندگان تیم راورو، ابتدا به پاسخ به ۹ دسته پرسش، از پرسش‌های پرتکرار شکارچیان، پرداختند. ادامه‌ی رویداد به "پرسش و پاسخ آزاد" اختصاص داده شد و نمایندگان تیم راورو به پرسش‌های مطرح‌شده از جانب شکارچیان حاضر در رویداد پاسخ دادند.

ravro meeting

تماشای رویداد:

ویدئوی ضبط‌شده‌ی این رویداد آنلاین را می‌توانید همین‌ حالا در کانال آپارات و یوتیوب راورو مشاهده کنید:

تماشای ویدئوی ضبط‌شده‌ی رویداد در یوتیوب

تماشای ویدئوی ضبط‌شده‌ی رویداد در آپارات

۹ دسته از پرسش‌های رایج شکارچیان

۹ دسته از سوال‌های پرتکراری که شکارچیان با ما درمیان گذاشته بودند و در این رویداد به آن‌ها پاسخ داده شد، عبارت‌اند از:

۱. ثبت گزارش در اهداف دعوتنامه‌ای و خصوصی

برخی از سوال‌هایی که شکارچیان در این باره با ما مطرح کرده بودند، عبارت‌اند از:

• سلام، این میدان در حال حاظر فعال هست یا خیر؟

• سلام و خسته نباشید، میدان X برای من بسته هستش، چجوری می‌تونم گزارش ارسال کنم؟

• سلام، اگر امکانش هست میدان رو برای بنده فعال کنید تا باگ کشف‌شده گزارش شود؟

• امکان ثبت گزارش وجود نداره؟

• سلام به تیم راورو و وقت بخیر. لطفا اگر امتیاز لازم برای تیک‌آبی شدن را دارم، این قسمت را برای من فعال کنید چون نمیتوانم به اهداف دعوت‌نامه‌ای گزارش ارسال کنم.

• سلام و وقت بخیر. امکان ارسال گزارش وجود نداره. ولی دیدم چندتا از شکارچیا گزارش ثبت کردن. لطفا راهنمایی کنید که اگر برنامه خصوصی نیست چطور گزارش ارسال کنم

• سلام میدانتون فعاله ولی نمی‌شه گزارش ارسال کرد؟

۲. طولانی بودن زمان بررسی گزارش‌ها

برخی از سوال‌هایی که شکارچیان در این باره با ما مطرح کرده بودند، عبارت‌اند از:

• اینکه روند بررسی گزارش‌ها بعضی وقت ها بیشتر از دوماه طول میکشه به کنار، چرا پرداختی هایی که اعلام میکنید نهایتا ۲۴ ساعت بعد به حساب واریز میشه بیشتر از یک هفته طول میکشه و ایمیل هم میزنیم جوابگو نیستید؟

• سلام وقت بخیر. تیم ما آسیب‌پذیری با شماره شناسه‌ی XXXX را در ۱۸ روز گذشته گزارش کرده و ۱۵ روز در حالت بررسی میدان است. طبق قوانین ثبت‌شده حداکثر مدت زمان بررسی گزارش توسط میدان ۱۵ روز کاری است لطفا جهت بررسی و جواب به گزارش اقدام کنید با تشکر.

۳. ثبت گزارش خارج از محدوده

برخی از سوال‌هایی که شکارچیان در این باره با ما مطرح کرده بودند، عبارت‌اند از:

• با سلام و عرض احترام. میخواستم ببینم امکانش هست واستون گزارش آسیب پذیری بفرستم؟

• سازمان جز محدوده های شما نیست ولی باگ حیاتی داره. امکان گزارش کردن هست؟

۴. پرداخت‌ها

برخی از سوال‌هایی که شکارچیان در این باره با ما مطرح کرده بودند، عبارت‌اند از:

• مدت زمان تصفیه حساب راورو هر چند وقته؟

• اینکه روند بررسی گزارش‌ها بعضی وقت ها بیشتر از دوماه طول میکشه به کنار، چرا پرداختی هایی که اعلام میکنید نهایتا ۲۴ ساعت بعد به حساب واریز میشه بیشتر از یک هفته طول میکشه و ایمیل هم میزنیم جوابگو نیستید؟

• اطلاعات کارت بانکی رو کی باید برای میدان بفرستم؟

• سلام میخواستم بدونم چقدر طول میکشه تا کارت بانکی تایید بشه؟!

۵. دریافت "تیک آبی"

برخی از سوال‌هایی که شکارچیان در این باره با ما مطرح کرده بودند، عبارت‌اند از:

• سلام می خواستم برای تیک آبی اقدام کنم ممنون میشم راهنمایی کنید رزومه را کجا بفرستم

• سلام امروز برای من پیام اومده که هویت من تایید شده ولی ظاهرا نشده چون تیک آبی رو نمی‌ بینم و به میدان‌های Private دسترسی ندارم. جریان چیه؟

• با تمام احترامی که برای تیم راورو قائلم، ولی باید بگم این روند مسخره ترین روندی است که دیدم. چرا باید هانتر مصاحبه بشه؟ چرا باید رزومه بده؟ شاید کسب نخواد رزومه بده و مصاحبه شه و فقط میخواد ریپورت بده.

۶. قیمت‌گذاری گزارش‌ها

برخی از سوال‌هایی که شکارچیان در این باره با ما مطرح کرده بودند، عبارت‌اند از:

• نحوه محاسبه قیمت ها در راورو برخلاف گفته ها أصلا قانون نداره به عکسها دقت کنین هردو باگ Account Takever هستن، هردو در یک میدان. تازه اگه ماله این دوستمون OneClick هستش، من باید حداقل ۴ یا ۵ تومن میگرفتم! که ۳ تومن گرفتم! خدا میدونه در پشت این سیستم چه خبره! #باگ_بانتی

• به عقیده من نباید فقط براساس یه سری قوانین ثابت قیمت بذارن روی باگ ها. من الان با ترکیب دو تا باگ میتونم حساب کل کاربرای سایت بزنم. حداقل تو چنین مواردی باید محدودها رو افزایش بدن. سر حرف بقیه میگن ماها بیشترین درآمد داریم. والا این طوری نیست.

• من دقیقا نقدم قسمت ارزش گذاری مجموعه هاست. به نظر من وقتی مجموعه یه فروشگاه باشه نباید فقط براساس تعداد کاربر و رتبه الکسا ضریب بگیره.

• مورد دیگه قیمت ها بود که برای منم عجیب بود ولی زیاد دقت نکرده بودم، تجربه خودم رو میگم برای باگ P2 فقط ۲۰٪ مبلغ تعیین شده رو جایزه دادن! به نظر کسی این مورد عجیب نیس؟! یعنی نباید حداقل نصف مبلغ رو میدادن؟! هیچ جدول بانتی در سایت قرار نمیگیره برای همین دلخواه رفتار میکنن!

۷. بررسی گزارش در راورو

برخی از سوال‌هایی که شکارچیان در این باره با ما مطرح کرده بودند، عبارت‌اند از:

• سه تا باگ گزارش دادم. اولیا رو ۳۰۰ و ۱ م دادن. این آخری که امتیازش بیشتر از ۳۰۰ تومنیه شده رو الان میدان محاسبه کرده 50 هزار تومن بانتی. یعنی رد گزارش می‌ کردند بهتر بود

۸. گزارش‌های تکراری

برخی از سوال‌هایی که شکارچیان در این باره با ما مطرح کرده بودند، عبارت‌اند از:

• اطلاعات جدید از راورو آوردم. همونطور که قبلا گفتم من ۲ تا Account Takeover از یک میدان گزارش دادم ۲ تاشو تکراری زدن! حالا فهمیدم که هردوشو به یک گزارش لینک کردن با اینکه کلا باگ‌ها متفاوت بودن و ربطی به هم نداشتن! اگر این یک اشتباهه خواهشا باگها رو دوباره بررسی کنین! #باگ_بانتی

• من کار نکردم با پلتفرم راورو هنوز اما توی پلتفرم های غیربومی اگه گزارش داپلیکیت بشه اجازه دسترسی به گزارش اولی رو برای شفافیت میدن.

• معمولا کسی که باگش dup شده رو به report اصلی اضافه میکنن و میتونه ببینه کل فرایند رو. من با پلتفرم های داخلی کار نکردم اصلا نمیدونم سیستمشون چیه کلا

• والا همه جای دنیا مرسومه اگه باگی داپلیکیت میخوره به هانتر گزارش قبلی رو نشون میدن ولی تو راورو اینطور نیست. و تا زمانی که شفاف نشه این موضوع همیت ظن و گمان هم وجود داره

• به نظر شما این حد از گزارش تکراری توی راورو عادیه؟ گزارش رو میفرستی فرداش میگن تکراریه! گزارش تکراریش هم ۳ ماه پیش فرستاده شده! باگ هم روی سایت هدف همچنان موجوده! واقعا من نمی دونم یکی راهنمایی کنه! مگه باگ بعد از رفع نهایی نمیشه؟! #باگ_بانتی

۹. وضعیت "نیازمند اطلاعات بیشتر"

برخی از سوال‌هایی که شکارچیان در این باره با ما مطرح کرده بودند، عبارت‌اند از:

• برای گزارش بنده "گزارش شما نیاز به اصلاح دارد" خورده. باید گزارش اصلاح شده را دوباره ثبت گزارش کنم یا به ...

شما هم سوال‌های خود را با ما درمیان بگذارید:

اگر در خصوص نحوه‌ی عملکرد پلتفرم راورو سوالی دارید، می‌توانید از طریق روش‌های زیر با ما درمیان بگذارید. ما پاسخ‌گویتان هستیم ؛)

Telegram Contact: @RavroSupport

Email :support@Ravro.ir

Phone: 021-9103-5315

Telegram Channel: https://t.me/ravro_ir

Website: https://ravro.ir

بلاگ‌پست‌های مرتبط:

چگونه یک گزارش آسیب‌پذیری بنویسیم؟

از باگ تا بانتی؛ ۴ مرحله‌ای که هر گزارش آسیب‌پذیری در راورو طی می‌کند.

چگونه آسیب‌پذیری در راورو ارزش‌گذاری می‌شود؟

ماشین‌حساب CVSS راورو چگونه کار می‌کند؟ (قسمت اول)