مفاهیم و تعاریف اولیه
منوی شکارچیهادر ابتدا به تعریف کلی مفاهیم بکار برده شده در سامانه راورو خواهیم پرداخت.
راورو
کلمهای با ریشه کردی و به معنی شکارچی حرفهای میباشد. نام سامانهای است که با ایجاد بستری مناسب، زمینه فعالیت علاقمندان به حوزه امنیت، هک و نفوذ را درخصوص شناسایی آسیبپذیری بر روی وب سایتها، برنامههای کاربردی، اپلیکیشنهای موبایلی، سخت افزارها و سامانههای داخل کشور فراهم مینماید.
(ڕاڤ ڕۆ - برگرفته از کتاب فرهنگ لغت کردی-فارسی ههنبانه بورینه)
باگ بانتی
(به انگلیسی:BugBounty) فرآیند کشف و ارایه گزارش آسیبپذیری یا حفره امنیتی یا باگ از نرم افزار، برنامههای کاربردی، اپلیکیشنها و وب سایتها و دریافت پاداش چه نقدی و چه غیرنقدی از صاحب نرم افزار را باگ بانتی میگویند.
شکارچی
در راورو، علاقمندان و متخصصانی که بصورت حرفهای اقدام به کشف و ثبت گزارش آسیبپذیری میکنند، شکارچی نامیده میشوند.
میدان
در راورو، شرکتها و سازمانهای دولتی/خصوصی که اقدام به معرفی اهداف بر روی سامانهها/برنامههای خود میکنند، میدان نامیده میشوند.
هدف
هر میدان بر اساس نیاز میتواند برای سامانههای خود یک یا چند هدف تعریف کند. هدف شامل ویژگیهای زیر میباشد.
عنوان هدف، نوع دسترسی(عمومی، منتخب، هدف خصوصی)، توضیحات، پاداش، بازهی زمانی فعالیت، قوانین
گزارش شکار
به گزارشهای آسیبپذیری یا حفرههای امنیتی که توسط شکارچیها از اهداف میدانها ثبت میشود گفته میشود که پس از ارزیابی تیم داوری در صورت تایید و بنا به ارزش گذاری صورت پذیرفته، میتواند شامل پاداش شود. هر گزارش شکار پس از ارسال در صفحهی میدان در راورو ثبت و نمایش داده میشود و میتواند شامل یکی از دو وضعیت زیر باشد:
- گزارش شکار موفق: به گزارشی گفته میشود که قوانین مربوطه در آن رعایت شده و از نظر فنی مورد تایید تیمداوری باشد.
- گزارش شکار ناموفق: به گزارشی گفته میشود که در مراحل ارزیابی و بررسی توسط تیم داوری، میدان و... به دلیل نقص و یا عدم رعایت قوانین رد شده باشد.
تالار افتخار
تالار افتخار جهت ثبت فعالیتها و رزومه تخصصی شکارچیان در صفحه نمایه هر شکارچی طراحی شده است و شامل رتبه، امتیاز، لیست مدالها و تشکرهای دریافت شده توسط شکارچی به ازای گزارش شکار موفق میباشد.
CVSS
سیستم امتیازدهی آسیبپذیری عام یا CVSS (به انگلیسی: Common Vulnerability Scoring System) یک استاندارد آزاد و صنعتی برای ارزیابی و تعیین شدت یک آسیبپذیری است. در این استاندارد سعی شده است تا با اختصاص دادن امتیاز به میزان شدت آسیب پذیریها، به پاسخ دهندگان این امکان را بدهد که بتوانند برای رفع آسیبپذیری مورد نظر اولویت بندی کرده و منابع مورد نیاز را به آن اختصاص بدهند. این امتیازدهی به وسیله فرمولی محاسبه میشود که دارای چندین معیار میباشد و سعی دارد سهولت اکسپلویت کردن و همچنین اثرات اکسپلویت آن آسیبپذیری را مشخص کند. هر امتیاز، در بازه عددی بین مقدار ۰ تا ۱۰ قرار میگیرد که ۱۰ به شدیدترین تهدید اشاره دارد.