BugHunters Companies Targets Bug Reports Blog About
فا
BugHuntersCompaniesTargetsBug ReportsAbout
فاLogin Sign Up
This is beta version of Ravro English website. Some dynamic texts are in Persian. If you need support, contact with support@ravro.ir.
توضیح باگ بانتی، باگ هانتینگ و VDP

توضیح باگ بانتی، باگ هانتینگ و VDP

2233

شاید شما هم به فکر ارتقای امنیت سایبری سامانه‌ی کسب‌وکارتان افتاده باشید. احتمال دارد در میان جست‌وجوها به کلمات یا راهکارهای مشابهی برخورده باشید. و حالا کنجکاو باشید که کمی بیش‌تر و دقیق‌تر درباره‌ی هر راهکار بدانید. ما در این بلاگ‌پست به معرفی و توضیح اجمالی سه راهکار رایج ارتقای امنیت در دنیای امنیت سایبری پرداخته‌ایم.

در این بلاگ‌پست درباره‌ی معانی اصطلاحات و کلمات زیر خواهید خواند:

VDP؛ سیاست افشای آسیب پذیری

باگ هانتینگ

باگ بانتی

VDP؛ سیاست افشای آسیب پذیری ( Vulnerability Disclosure Policy ) : در VDP، کسب‌وکار آغوش خود را برای دریافت گزارش‌های آسیب‌پذیری از سوی افراد باز می‌گذارد و صندوق انتقادات و پیشنهاداتی را مختص توصیه‌های امنیتی تدارک می‌بیند. این‌گونه متخصصین امنیت، هکرهای کلاه‌سفید و … می‌توانند بدون نگرانی از مشکلات حقوقی نظیر جرم‌انگاری و اتهام‌زنی، آسیب‌پذیری‌ها و حفره‌های امنیتی کشف‌کرده‌ی خود را در گزارشی و از طریق این بستر برای کسب‌وکار ارسال کنند. کسب‌وکار نیز تعهدی در قبال پرداخت پاداش در ازای گزارش‌های آسیب پذیری دریافت‌شده ندارد ولی در صورت تمایل، مبلغی را به عنوان پاداش به آن‌ها پرداخت می‌کند.

پیشنهاد خواندنی: VDP؛ صندوق پیشنهادها و انتقادات امنیتی

باگ هانتینگ ( Bug Hunting ) : در روش باگ هانتینگ، چارچوبی توافق‌شده از پیش میان شکارچیان آسیب پذیری و کسب‌وکار وجود ندارد. شکارچیان آسیب پذیری، آزادانه و بدون چارچوبی به بررسی آسیب پذیری های سامانه‌های دلخواه خود می‌پردازند و گزارش آن را به‌طور شخصی برای کسب‌وکار مربوطه ارسال می‌کنند و می‌توانند طلب بانتی کنند، اما کسب‌وکار تعهد قانونی‌ای در ازای پرداخت بانتی یا محدوده‌ی پرداخت آن ندارد.

باگ بانتی ( Bug Bounty ) : نام "باگ بانتی" تلفیقی از دو کلمه‌ی "باگ (Bug)" و "بانتی (Bounty)" ست و در زبان فارسی می‌توان آن را فرآیند "پرداخت پاداش در ازای گزارش آسیب پذیری (باگ) های امنیتی" دانست. در باگ بانتی، کسب‌وکارها تمایل خود را به پرداخت پاداش در ازای دریافت گزارش از حفره‌های امنیتی سامانه‌ی خود، اعلام می‌کنند. سپس جمعی از هکرهای کلاه‌سفید و شکارچیان آسیب پذیری، هر یک از دیدگاه خود به ارزیابی امنیتی سامانه‌ی کسب‌وکار می‌پردازند و آسیب پذیری‌های کشف‌کرده‌ی خود را به کسب‌وکار گزارش می‌دهند و بانتی دریافت می‌کنند. در باگ‌بانتی، پیش از اقدام شکارچی به شکار آسیب پذیری، قوانین و چارچوب توسط کسب و کار تعیین و اطلاع‌رسانی می‌شود.

باگ بانتی

داخل پرانتز: یک کسب‌وکار می‌تواند به‌طور مستقل به تعریف برنامه‌ی باگ بانتی برروی سایت کسب‌وکار خود بپرداز و یا برروی پلتفرم‌های باگ بانتی، برنامه‌ی خود را تعریف کند.

پیشنهاد خواندنی: باگ بانتی؛ حمله‌ای برای دفاع از امنیت کسب‌وکار

۱۴+۱ دلیل برای انتخاب باگ بانتی

سخن آخر:

اما از میان راهکارهای بالا، کدام یک بیش‌تر مناسب کسب‌وکار شماست؟ کدام یک بیش‌تر می‌تواند به ارتقای امنیت سایبری سامانه‌ی شما کمک کند؟ پاسخ واحدی وجود ندارد. پاسخ این است که بستگی به شرایط، نیازها و … در کسب‌وکار شما دارد.

بلاگ‌پست‌های مرتبط:

مقایسه تست نفوذ و باگ بانتی

تقابل هجوم و دفاع در امنیت سایبری

چرا کسب‌وکارهای ایران امنیت اطلاعات را جدی نمی‌گیرند؟

آیا هر باگی، یک باگ امنیتی ست؟

چگونه بفهمیم هر آسیب‌پذیری چقدر خطرناک است؟ (معرفی ۳ سنگ محک جهانی)

Ravro

"Ravro" is a Kurdish word that means professional hunter.
We, in Ravro, try to provide the best cybersecurity solutions for businesses in order to decrease their cybersecurity challenges especially weaknesses. Ravro tries to make communication between BugHunters & Businesses easier for a safer future.

Subscription

To receive latest Ravro's newsletter

Links
BugHunter
Company
Be Secure ;)© All Rights Reserved.