BugHunters Companies Targets Bug Reports Blog About
فا
BugHuntersCompaniesTargetsBug ReportsAbout
فاLogin Sign Up
This is beta version of Ravro English website. Some dynamic texts are in Persian. If you need support, contact with support@ravro.ir.

سوالات عمومی

سوال‌های عمومی در خصوص مفاهیم باگ‌بانتی در این بخش مطرح شده است...

5 questions

باگ‌بانتی چه چیزی نیست؟

باگ‌بانتی، تست‌نفوذ و یا مسابقه نیست.

شکارچی کیست؟

در راورو متخصصان امنیت و هکرهای کلاه سفید و حتی علاقمندان به حوزه‌ی امنیت سایبری با نام شکارچی شناخته می‌شوند.

میدان کیست؟

شرکت‌ها و یا سازمان‌های طرف قرارداد راورو که برنامه‌ها و یا سرویس‌های خود را جهت ارزیابی و دریافت گزارش آسیب‌پذیری تعریف کرده‌اند، میدان نامیده می‌شوند.

باگ بانتی چیست؟

فرآیند کشف و ارایه گزارش آسیب‌پذیری (حفره امنیتی/باگ) از نرم افزار، برنامه‌های کاربردی، اپلیکیشن‌ها و یا وب سایت‌ها و به ازای آن دریافت پاداش از صاحب آن را باگ بانتی (BugBounty) می‌گویند.

هدف چیست؟

به مجموعه قوانین کسب وکار‌ها هدف می‌گوییم. که این قوانین شامل باید‌ها، نبایدها، شرایط پذیرش و قیمت گذاری گزارش‌های آسیب‌پذیری است.

ثبت گزارش آسیب پذیری

سوال‌های متداول مربوط به ثبت گزارش آسیب‌پذیری در این بخش مطرح شده است ...

3 questions

گزارش آسیب‌پذیری را چگونه ثبت کنم؟

پس از وارد شدن به حساب کاربری خود به عنوان شکارچی می‌توانید در صفحه‌ی اهداف (تنها اهدافی که مجاز به فعالیت در آنها هستید نمایش داده می‌شود) یکی را انتخاب کنید و با پر کردن فرم ثبت گزارش، اقدام به ثبت گزارش کنید.

در صفحه‌ی میدان در مقابل نام هدف عبارت دعوتنامه به چه معنی می‌باشد؟

برخی از اهداف بنا به درخواست میدان‌ صرفا توسط شکارچیان خاص قابل مشاهده و فعالیت است. این دسته از اهداف با عنوان دعوتنامه/خصوصی از سایر، اهداف متمایز شده است.

گزارش‌ها چگونه ارزش گذاری می‌شود؟

به ازای هر هدف جدول قیمت‌گذاری آسیب‌پذیری‌ها در قوانین تعریف شده است. در صورت صحیح بودن گزارش، تیم داوری بر مبنای شدت، تاثیر و همچنین دسته‌بندی آسیب‌پذیری منطبق با قوانین مبلغ پیشنهادی را به میدان اعلام می‌کند. میدان بعد از بررسی مجدد گزارش، نظرش را در خصوص مبلغ پیشنهادی تیم داوری اعلام می‌کند. در صورت اعلام نظر متفاوت توسط میدان، میدان باید دلایل و مستندات مربوط به اختلاف قیمت را به شکارچی و راورو اعلام کند. بعد از بررسی نهایی نتیجه نهایی به طرفین اعلام خواهد شد.

تعرفه و هزینه

سوال‌های مربوط به میزان و نحوه‌ی محاسبه تعرفه و هزینه‌ها در این بخش مطرح شده است...

3 questions

تعرفه عضویت در پلتفرم باگ‌بانتی برای کسب‌وکارها چه میزان است؟

تعرفه عضویت بر اساس انتخاب یکی از طرح‌های (پایه/رشد/سازمانی) محاسبه می‌شود. برای مشاهده آخرین قیمت‌ تعرفه عضویت در پلتفرم به آدرس https://ravro.landin.ir/ مراجعه فرمایید.

آیا امکان استفاده از خدمات پلتفرم به صورت رایگان وجود دارد؟

بله، امکان عضویت و استفاده از پلتفرم راورو به صورت رایگان در طرح پایه برای صاحبان کسب‌وکار در نظر گرفته شده است. لازم به ذکر است در طرح پایه،به میزان موجودی حساب، امکان دریافت گزارش‌های جدید را خواهید داشت.

هزینه نهایی تمام شده خدمت باگ‌بانتی چقدر خواهد بود؟

بسته به طرحی که انتخاب کرده‌اید هزینه‌ی تعرفه عضویت را پرداخت می‌کنید. حساب خود را به مبلغ دلخواه شارژ می‌کنید و به ازای هر گزارش تایید شده، مبلغ گزارش به همراه کارمزد پلتفرم از موجودی حساب شما کسر خواهد شد.

متخصص امنیت هستم

سوال‌های رایج شکارچیان و متخصصان امنیت در خصوص نحوه‌ی فعالیت در پلتفرم در این بخش مطرح شده است...

9 questions

چطور به عنوان شکارچی فعالیت کنم؟

هر شخص تنها با داشتن آدرس ایمیل معتبر و پس از تکمیل ثبت نام می تواند به عنوان شکارچی فعالیت خود را در سامانه آغاز کند.

آیا می‌توان هر باگ یا حفره‌ی امنیتی از هر سامانه یا شرکتی را در راورو ثبت کرد؟

خیر، پلتفرم باگ بانتی راورو صرفا نسبت به دریافت گزارش مربوط به آسیب‌پذیری‌های اهداف میدان‌های طرف‌قرارداد خود تعهد دارد و هیچ‌گونه گزارشی از کسب‌وکارهای خارج از لیست میدان‌های خود و یا مغایر با اهداف و قوانین تعیین‌شده‌ی میدان‌ها را به رسمیت نمی‌شناسد.

آیا به عنوان یک شکارچی آسیب‌پذیری برای حضور در راورو باید هزینه ای پرداخت کنم؟

خیر! با ثبت نام بصورت کاملا رایگان می‌توانید به عنوان یک شکارچی در سامانه باگبانتی راورو فعالیت و از امکانات این پلتفرم استفاده نمایید.

آیا برای استفاده از خدمات راورو به عنوان شکارچی هزینه‌ای باید پرداخت کنیم؟

خیر، استفاده از امکانات سامانه راورو برای شکارچیان کاملا رایگان می‌باشد.

برای فعالیت در پلتفرم چه مدارکی مورد نیاز است؟

ایجاد حساب کاربری در پلتفرم به نشانه‌ی موافقت و پذیرش قوانین پلتفرم است. و شکارچیانی که حداقل یک گزارش تایید شده دارند، برای دریافت پادادش گزارش خود باید اقدام به تکمیل شماره حساب به همراه تصویر کارت ملی/شناسنامه بکنند.

چرا برخی از میدان‌ها گزارش‌ها رو دیر بررسی می‌کنند؟

اکثر میدان‌ها بصورت چابک و در مدت زمان اعلامی تعهداتشان را انجام می‌دهند. در خصوص گزارش‌هایی که مهلت قانونی بررسی آنها گذشته است ما به عنوان پلتفرم تمامی پیگیری لازم برای تعیین تکلیف وضعیت گزارش انجام می‌دهیم. اما طولانی شدن این زمان، بسیار به فرآیند‌ها و فرهنگ سازمانی میدان برمی‌گردد. ما به عنوان پلتفرم محدودیت‌هایی برای میدان‌هایی که به تعهدات خود عمل نمی‌کنند در نظر گرفته‌ایم، اما متاسفانه مشابه هر موضوع جدید، این بخش هم نیاز به زمان و فرهنگ سازی دارد.

کاربرد مدال‌ها و نشان‌ها چیست؟

شکارچیان آسیب‌پذیری و متخصصان امنیت بر اساس سوابق فعالیت در پلتفرم نشان هایی دریافت می‌کنند که تصویر این نشان‌ها در نمایه‌ی حساب کاربری هر شکارچی قابل مشاهده است. این مدال‌ها انتهای هر فصل محاسبه می‌شوند و به شکارچیان منتخب اهدا می‌شود. یکی از شرایط انتخاب شکارچیان برای مشارکت در اهداف خصوصی و دعوتنامه ای بر اساس مدال‌های دریافت شده است.

چطور بانتی بیشتری دریافت کنم؟

اکثر متخصص‌ها زمان زیادی رو برای کشف آسیب پذیری صرف می‌کنند اما در هنگام گزارش نویسی با عجله و ناقص گزارش را ارسال می‌کنند و متاسفانه نتیجه‌ی خوبی نمی‌گیرند. یک گزارش خوب از: تشریح کامل سناریو، پیاده‌سازی دقیق، توضیح شدت آسیب‌پذیری و ارایه راه‌حل به همراه ارسال ویدئو از نحوه‌ی پیاده‌سازی تشکیل میشه، گزارشی که این موارد رو رعایت کرده باشه شانس بیشتری در دریافت بانتی داره.

چطور می‌توانم در اهداف دعوتنامه‌ای مشارکت کنم؟

در صورتی که سابقه‌ی فعالیت خوبی (امتیاز بالا و گزارش‌های با درجه حساسیت بالا) داشته باشید، به پیشنهاد تیم راهبری شکارچیان امکان دعوت شما در اهداف دعوتنامه‌ای فراهم می‌شود. از طرفی با تکمیل فرآیند‌های تایید هویت و ارسال رزومه‌ی کاری به انتخاب تیم راهبری شکارچیان امکان دعوت شما در اهداف دعوتنامه‌ای میسر می‌شود.

صاحب کسب‌وکار هستم

سوال‌های رایج صاحبان کسب‌وکارها در خصوص نحوه‌ی فعالیت در پلتفرم در این بخش مطرح شده است...

8 questions

صاحب شرکت/کسب‌وکار هستیم چطور می‌توانیم از خدمات راورو استفاده کنیم؟

در صورتی که شرکت و یا صاحب کسب‌وکار هستید می‌توانید در ساعت ۹ الی ۱۷ روزهای کاری با پشتیبانی راورو تماس بگیرید. و یا در بخش ثبت نام به عنوان میدان اطلاعات تماس خود را برای ما ارسال کنید، همکاران ما با شما تماس خواهند گرفت و شما را راهنمایی خواهند کرد.

آیا حضور در باگ‌بانتی ممکنه در سرویس دهی کسب‌وکارم اختلال ایجاد کنه؟

خیر، رسالت ما کشف آسیب‌پذیری‌ها بدون آسیب دیدن کسب‌و‌کار شماست. ما در راورو قوانین سختگیرانه‌ای برای این موضوع داریم و تمام شکارچیان ملزم به رعایت کردن آن‌ هستند. متخصصان امنیت بدون هماهنگی و کسب‌اجاره از شما اجازه‌ی Dump، دسترسی به اطلاعات کاربران و یا پیاده سازی حملات منع سرویس رو ندارن و تنها باید شواهد اثبات رو ارسال کنند.

آیا باگ‌بانتی می‌تونه ۱۰۰ درصد کسب‌وکارم رو امن کنه؟

خیر، ما همچین ادعای نمی‌کنیم. امنیت یک کالا یا یک خدمت نیست، که با یکبار تهیه‌ی اون بتونید برای همیشه امن باشید. امنیت یک زیرساخته و باید در هر شرایطی و در تمامی بخش‌های کسب‌وکار به صورت مستمر ارزیابی بشه. ما در راورو بستری ایجاد کرده ‌ایم که کسب‌وکارها با کمترین هزینه بتوانند به صورت مستمر از تخصص هکر‌های کلاسفید و شکارچیان آسیب‌پذیری استفاده کنند و گام‌هایی به سمت امن‌تر شدند بردارند.

کسب‌وکارم تا حالا هک نشده، اگه بیام تو پلتفرم میرم تو تیرس هکرها چرا باید همچین کاری کنم؟

این سوالیه که اکثر صاحبان کسب‌وکار در برخورد اول از ما می‌پرسند، در پاسخ باید خدمتون بگیم که: وقتی هک می‌شین، شما آخرین نفر هستید که از وجود آسیب‌پذیری اطلاع پیدا می‌کنید. بر اساس گزارش mitre در اکثر حملات سایبری حداقل ۶ ماه قبل از یک رخداد، دسترسی و نفوذ اتفاق افتاده و دیفیس یا انتشار داده‌ها صرفا زمانی اتفاق می‌افته که قربانی چیزی جدیدی برای ارایه به نفوذگر نداشته. حال تصمیم با شماست، اینکه پیش قدم باشید تا با کمک متخصصان امنیت و جلوی رخداد را بگیرید یا منتظر بمانید پرهزینه‌تر نفوذگر شما رو از وجود رخنه مطلع کنه ...

چرا حساب کاربری تعدادی از میدان‌ها محو شده هستند؟

در راورو این امکان برای صاحبان کسب‌وکارها فراهم شده است که به صورت ویژه و دعوتنامه‌ای در باگ‌بانتی شرکت‌کنند. در این حالت حساب کاربری شما تنها به متخصصانی که برایشان دعوتنامه ارسال کرده‌اید نمایش داده می‌شود. تصویر و اطلاعات حساب کاربری شما به صورت محو شده برای سایر کاربران در پلتفرم نمایش داده می‌شود.

تفاوت بین تست نفوذ و باگ‌بانتی چیه؟

در خدمت تست نفوذ در بهترین حالت تیم ۳ نفره از متخصصان به ارزیابی چک لیستی از سناریو‌های امنیتی بر روی سامانه‌ی شما اقدام می‌کنند. از طرفی فرآیند تست نفوذ سنتی حداقل یک ماه زمان میبره و در صورتی که سامانه شما بروز رسانی بشه نیازه تا سناریو‌های جدید مجدد ارزیابی بشه. اما در باگ‌بانتی شما همواره و نامحدود در معرض ارزیابی توسط بیش از ۲۷۰ متخصص امنیت با مهارت‌های متفاوت هستید. باگ‌بانتی و تست نفوذ جایگزین همدیگر نیستند و به عنوان ۲ خدمت مجزا تکمیل کننده‌ی همدیگر هستند. اگر تا کنون هیچ اقدامی برای امنیت در مجموعه خود انجام نداده‌اید به شما پیشنهاد می‌کنیم تا ابتدا مورد ارزیابی تست نفوذ قرار بگیرید بعد وارد باگ‌بانتی شوید، این روند به شما کمک می‌کند تا در هزینه‌های خود صرفه جویی کنید.

چه محصولاتی می‌توانند در باگ‌بانتی شرکت کنند؟

مالکان محصول‌های زیر می‌توانند برای محصول خود در پلتفرم باگ‌بانتی هدف تعریف کنند. وب‌سایت‌ها - APIها - برنامه‌های موبایلی اندروید - برنامه‌های موبایلی IOS - برنامه‌های سیستمی (به شرط قرار گرفتن نسخه‌ی قابل دسترس برای متخصصان) - سخت‌افزار‌ها

چرا باید برای شرکت در باگ‌بانتی حتما مالک محصول باشیم؟

چون اثبات وجود آسیب‌پذیری و همچنین امکان برطرف کردن آسیب‌پذیری تنها برای مالک محصول امکان پذیر است. تنها مالکان محصول مجاز هستند تا محصول خود را در پلتفرم باگ‌بانتی در معرض ارزیابی قرار دهند. برای مثال اگر از CMS آماده مثل ورودپرس استفاده می‌کنید شما مجاز به ارایه ورودپرس در باگ‌بانتی نیستید.
Ravro

"Ravro" is a Kurdish word that means professional hunter.
We, in Ravro, try to provide the best cybersecurity solutions for businesses in order to decrease their cybersecurity challenges especially weaknesses. Ravro tries to make communication between BugHunters & Businesses easier for a safer future.

Subscription

To receive latest Ravro's newsletter

Links
BugHunter
Company
Be Secure ;)© All Rights Reserved.