شکارچیان آسیب پذیری از چالشهای باگ بانتی میگویند
این بلاگپست شامل تجمیع و برداشتی هدفمند از محتوای گپوگفتهایی با متخصصین تست نفوذ ست که قبلا در بلاگ راورو منتشر کردهایم. در گپوگفتهای قبلی پرسشهای مشترک و مشابهی را از افراد متفاوت پرسیده بودیم و هر یک از افراد از دیدگاه خود، پاسخهایی منحصربهفرد و متفاوت به این سوالها دادهاند. اینطور فکر میکنیم که جمعبندی و درکنارهم قراردادن پاسخهایی به هریک از این پرسشها داده شده، در یک متن جدید میتواند نگاهی چندجانبه را فراهم سازد و ارزشمند و دارای پیامی جدید باشد. این پاسخها که شامل نکاتی هستند که هم میتوانند به کار متخصصین تست نفوذ بیایند و هم به کار شکارچیان آسیب پذیری.
آنچه در این بلاگپست خواهید خواند:
دائما یکسان نباشد حال دوران
از درآمدش بگو
رقابت مداوم
گزارش شما تکراری است
تلاش، استمرار و آپدیت نگهداشتن خود
و میرسیم به اکسپلویت
اصلا آدمِ ساعتها پای سیستم نشستن هستی؟
شکارچی آسیب پذیری بودن در این جغرافیا
هکر = ؟
باگ بانتی و امنیت سایبری، دغدغهی چندم یک کسبوکار است؟
برسد به دست کسبوکارها و پلتفرمهای باگ بانتی
در این بلاگپست گفتههایی از 12 شکارچی آسیب پذیری را خواهید خواند که تجربیات خود درخصوص باگ بانتی را به اشتراک گذاشتهاند و از نگاه خود راجع به چالشها و ناخوشایندیهایی که در باگ بانتی تجربه کردهاند، گفتهاند.
گفتههایی از:
محمدرضا تیموری، علی فیروزی، امید شجاعی، عرفان توکلی، محمدرضا عمرانی، امیر پیامنی، برنا نعمتزاده، محمدصالح مهری، پیمان زینتی، مهدی حسینی، ایلیا کشتکار و محمدجواد بناروئی
داخل پرانتز: ترتیب ارائهی پاسخهای افراد در هر قسمت، مطابق با ترتیب گپوگفتهای منتشرشده با آنها در بلاگ راوروست.
چالشهای باگ بانتی برای یک شکارچی آسیب پذیری
ما از شکارچیان آسیب پذیری پرسیدیم:
در باگ بانتی، چه چالشهایی را تجربه کردهاید؟
بهعنوان یک شکارچی آسیب پذیری، چه چالشهایی در باگ بانتی بیشتر به چشمتان میآیند؟
در ادامه، پاسخ شکارچیان آسیب پذیری را میخوانید که هر یک به انتخاب خود، به ابعاد متفاوتی از چالشهای باگ بانتی اشاره کردهاند. پس از جمعآوری پاسخهای جداگانهی افراد، ما به دنبال نقاط مشترک و متفاوت گشتیم و به دستهبندی موارد اشارهشده پرداختیم.
دائما یکسان نباشد حال دوران
برنا نعمتزاده:
یکی از چالشهای باگ بانتی این است که ممکن است من مدتی وقت بگذارم (مثلا ؛یک یا دوهفته) و نتوانم آسیب پذیریای پیدا و ثبت کنم. ممکن هم هست چندروز وقت بگذارم و چند آسیب پذیری خوب را گزارش بدهم. درکنارش احتمال تکراری محسوب شدن گزارش ارسالی هم هست.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیب پذیری تماموقت؛ برنا نعمتزاده
محمدصالح مهری:
وقتی شکارچی آسیب پذیری هستی، در مواقعی پیش میآید که نتوانی هیچ آسیب پذیری ای را کشف کنی. در چنین مواقعی نباید ناراحت شوی. چون این یک مورد متداول است. در این فراز و فرودها، به یاد آوردن آسیب پذیری هایی که قبلا کشف کردهای، خیلی کمکت میکند. باید حسهای خوبی که در گذشته به واسطهی کشف آسیب پذیری ها در ذهنت شکل گرفتهاند، را مرور کنی. این طرز فکر برای کشف آسیب پذیری های بهتر کمکت میکند. مطمئن باش اگر سر جایت نایستادهای، دوباره برایت اتفاقهای خوبی میافتد. باید همینطور جلو بروی و رایتاپ بخوانی. باید جوری باشی که امروزت نسبت به دیروزت، فرق کرده باشی و اگر فرقی نکردی، عذاب وجدان بگیری. اگر این استایل ذهنیات شده باشد، در مسیر درستی قرار گرفتهای.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ محمدصالح مهری
از درآمدش بگو
علی فیروزی:
یکی از چالشهایی که باگ بانتی در سطح دنیا آن ها را دارد، عدم پیشبینیپذیری درآمد است. برخلاف شغلهای با حقوق ثابت، درآمد حاصل از باگ بانتی کاملاً وابسته به شناسایی و پذیرش آسیب پذیری ها ست. این موضوع باعث میشود بسیاری از شکارچیان آسیب پذیری، از جمله خود من، بهمنظور حفظ پایداری مالی، بخشی از تمرکز خود را به پروژههای تست نفوذ قراردادی اختصاص دهند. این ترکیب به من این امکان را میدهد که هم در فضای چالشبرانگیز باگ بانتی باقی بمانم و هم از طریق پروژههای تست نفوذ درآمدی پایدارتر داشته باشم.
رقابت مداوم
پیمان زینتی:
خوشایندی که... همهاش خوشایند است. ولی ناخوشایندیاش، رقابتی ست که همواره در جریان است. این رقابت ممکن است شکارچی آسیب پذیری را خسته کند. مثلا شما نگاه میکنی و میبینی که خودت سه روز کار کردهای و دو آسیب پذیری کشف کرده و گزارش دادهای. یک شکارچی آسیب پذیری دیگر هم همزمان کار کرده و 20 گزارش آسیب پذیری ثبت کرده است. هر چقدر هم بخواهی که مقایسه نکنی، این تفاوتی که بین خودت و یک شکارچی دیگر میبینی، در طول زمان خستهات میکند، اعتماد به نفست را میگیرد و ... .
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ پیمان زینتی
"گزارش شما تکراری است"
علی فیروزی:
یکی از چالشهایی که باگ بانتی در سطح دنیا آن ها را دارد، دوپلیکیت شدن گزارشهاست. به این معنا که ممکن است آسیب پذیری ای که شناسایی کردهام، پیش از من توسط فرد دیگری گزارش شده باشد. این مسئله تا حد زیادی به زمان فعالشدن هدف و تعداد شرکتکنندگان بستگی دارد و همیشه بخشی از کار باگ بانتی را تشکیل میدهد.
مهدی حسینی:
تکراری محسوب شدن گزارشها. در باگ بانتی یک رقابتی درمیان است. ممکن است آسیب پذیری های قبلی ثبت شوند. و ما باید عجله کنیم که زودتر آسیب پذیری ها را کشف و گزارش کنیم، تا نفر اول باشیم و گزارشهایمان تکراری محسوب نشود. در باگ پارتی هم عینا این مورد تجربه میشد.
پیشنهاد خواندنی: گپوگفتی با دو شکارچی آسیبپذیری؛ ایلیا کشتکار و مهدی حسینی
تلاش، استمرار و آپدیت نگهداشتن خود
برنا نعمتزاده:
ما بین رقبای زیادی قرار داریم و از این جهت باید هم سرعت و هم متدولوژی خوبی داشته باشیم. نکتهای که یک هانتر باید مدنظر داشته باشد این است که سعی کند بیشتر برروی دانشش تمرکز داشته باشد، آپدیت باشد و متدولوژی شخصی خودش را داشته باشد. بداند وقتی که تارگتی را باز می کند، به سراغ چه قسمتهایی از اپلیکیشن برود و چه چیزهایی را تست کند، که به ذهن بقیه نرسیده باشد یا کمتر رسیده باشد. با این مدل پیشرفتن، نیاز به تجربه و فعالیت دارد. یعنی ممکن است چندماه اول این کار سختی بیشتری داشته باشد و بعد از آن به یک روال روتین تبدیل میشود که شخص می تواند آن را انجام دهد و شکار آسیب پذیری را بهعنوان یک شغل درنظر بگیرد.
محمدصالح مهری:
یک چالش دیگر شکارچی آسیب پذیری بودن در عصر انفجار اطلاعات این است که افرادی که در سطح متوسط ( mid level) و یا پایین (low level) هستند، به راحتی حذف میشوند. چرا؟ به خاطر هوش مصنوعی. چون کاری که آن فرد (در سطح پایین یا متوسط) انجام میدهد را هوش مصنوعی (AI) هم میتواند انجام دهد. فرد متخصص در حوزهی امنیت سایبری، باید یک مزیت افزوده به آن بیفزاید. مزیت افزوده چیست؟ یکیاش این است که تو بیایی و آسیب پذیری های مختلف را باهم زنجیر (Chain) کنی. یک مورد دیگرش این است که خیلی از تستهایی که ممکن است هوش مصنوعی (AI) فعلا قادر به انجامش نباشد، را شناسایی کنی و بتوانی انجام دهی. این جا ست که فرق تو و آن هوش مصنوعی مشخص میشود. وگرنه، اگر غیر از این باشد، ذهنت مدام فقط یک روال و روتین ثابت را طی میکند. مثلا؛ ممکن است من یک آسیب پذیری XSS کشف کنم و فکرکنم الان شاخ غول را شکستهام. توانایی کشف آسیب پذیری XSS یا CSRF خیلی هم خوب است. ولی کافی نیست. چون الان عصر انفجار اطلاعات است. کمکم دیگر اکثر افراد میدانند که چه طور باید جلوی آن آسیب پذیری XSS و CSRF را بگیرند. حملات هم به سمت پیچیدهترشدن میروند. شکارچی آسیب پذیری هم باید خودش را متناسب با زمان، ویژگیها و تکنولوژیها ارتقا دهد. وقتی که تکنولوژی جدیدی میآید، باید بررسی کرد تا ببینیم حملات درآن تکنولوژی جدید به چه شکل قابل انجاماند. به دنبال آن، منی که کارم کشف آسیب پذیری است، باید تکنولوژی جدید و Security Misconfiguration های آن را بررسی کنم و روند و نکات تست نفوذش را هم یاد بگیرم. این موارد، مرتبط با همان "آپدیتکردن خود" میشود.
ایلیا کشتکار:
یکی از مواردی که احتمالش در CTF کمتر و در باگ بانتی بیشتر است، این است که در لحظه نیاز دارید که یک ریسرچ را انجام دهید. در تجربهی من از CTF این گونه بوده است که معمولا در یک مسابقه میشود نزدیکترین چالش به چیزی که طراحی شده است را با جستوجو در اینترنت پیدا کرد. چالشها نزدیک به هم هستند. فردی که رایتاپهای زیادی از CTF خوانده باشد، آن رایتاپها بهش کمک میکنند و به کارش میآیند. ولی در باگ بانتی به این صورت نیست. هر تارگت طراحی خاص خودش را دارد و این یک مقدار کار را متفاوت و سخت میکند. به همین خاطر ما نمیدانستیم دقیقا به دنبال چه چیزی بگردیم که نزدیک به این سامانه باشد یا حداقل بتوانیم آسیب پذیری مشابهی پیدا کنیم. گاهی مواردی پیدا میکردیم، مثلا؛ سایتی یا سامانهی نسبتا مشابهی که یک آسیب پذیری را داشت. اما وقتی تست میکردیم، میدیدیم که در اینجا متفاوت است و همچین بخشی وجود ندارد. به نظرم در این مورد در باگ بانتی، بیشتر تجربه به فرد کمک میکند.
پیشنهاد خواندنی: گپوگفتی با دو شکارچی آسیبپذیری؛ ایلیا کشتکار و مهدی حسینی
و میرسیم به اکسپلویت
محمدجواد بناروئی:
قسمت سخت فعالیت در برنامههای باگ بانتی آن جایی ست که آن میدان و داورش، حتی با وجود محرز شدن آسیب پذیری، خواستههای عمیقتری دارند و شکارچی را به چالش میکشند. بهعنوان مثال ممکن است که من یک آسیب پذیری sql injection blind پیدا کنم و از من خواسته شود که اکسپلویتش کنم. درخصوص این آسیب پذیری، از آنجایی که مقدار زمان زیاد و سختی اکسپلویت قابلتوجه است، چالشهایی به همراه میآورد. درخصوص برخی آسیب پذیری های دیگر نیز، همینطور.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیب پذیری؛ محمدجواد بناروئی
اصلا آدمِ ساعتها پای سیستم نشستن هستی؟
محمدصالح مهری:
به نظرم زمانی که یک نفر میخواهد یک رشته را به عنوان فیلد کاریاش انتخاب کند، قبلش باید شخصیت خودش را بشناسد. یک لازمهی مشاغل حوزهی امنیت سایبری این است که فرد مدت زیادی پشت میزش بنشیند و حتی از اتاقش بیرون نیاید. من فکر میکنم اگر واقعا آدم پشت میز نشستن نباشی و پشت میز دوام نیاوری، هر چه قدر هم که استعداد داشته باشی، نمیتوانی به نقطهی مطلوبت برسی. باید این ویژگی شغلی با ویژگیها و مدل فرد همخوانی داشته باشد تا فرد بتواند پشت میز بنشیند. اگر این طور نباشد، فرد نمیتواند در مسیرش پیش برود و به اهدافش برسد. به همین دلیل فکر میکنم که این که آدم خودش را بشناسد، یکی از نیازهای ضروری است. کسانی که به سمت حوزهی امنیت سایبری و مخصوصا شکار آسیب پذیری میآیند، معمولا انسانهای درونگرایی هستند. ممکن است یک فرد بعد از شناخت خودش، بفهمد که فرد برونگرایی است. برونگرایی و شکار آسیب پذیری؟ به نظر من این دو با هم در تعارض هستند.
شکارچی آسیب پذیری بودن در این جغرافیا
محمدرضا تیموری:
چالش دیگری که در حوزه شکار آسیب پذیری میبینم، وضعیت اینترنت است. ما تحریم هستیم و خودمان هم یک سری جاها را فیلتر کردهایم. در این وضعیت و محدودیت، دسترسیداشتن به خیلی از سایتها، منابع، ابزارها و …. بسیار سخت شده.
عرفان توکلی:
از چالشهای باگ بانتی خارجی برای ما میشود به محدودیتهایی که به خاطر ملیت ایرانیمان داریم، اشاره کرد. باید فرم مالیاتی پر کنیم. اگر هم بفهمند که ایرانی هستیم حسابمان را میبندند و ... .
هکر = ؟
امیر پیامنی:
مهمترین چالشی که در این مسیر داشتهام، این بوده که همیشه سعی کنم به دلایل مختلف، کاری که انجام میدهم را از دید بقیه مخفی نگه دارم. همانطور که به این موضوع واقف هستید، در بین مردم هکر به عنوان یک خرابکار تلقی میشود. اگر بخواهم یکی از آن دلایل را بگویم، این است که همیشه فکر میکردم که اگر یک فرد از فامیل، آشنا و یا دوستان ازطریق حملهای مثل فیشینگ ( که رایجترین شکل کلاهبرداری است) مورد نفوذ و کلاهبرداری قرار بگیرند، نکند با خودشان فکر کنند که کار من بوده!
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیب پذیری؛ امیر پیامنی
محمدرضا تیموری:
بهنظرم در زمینهی هک، فرهنگسازی مناسبی هم وجود ندارد و نیاز به فرهنگسازی بیشتری ست. من چند وقت پیش به یه نفر گفتم که من هکرم. طرف واقعا ترسید! گفت: شما خیلی آدمهای بدی هستید و کارهای خیلی بدی میکنید! بعدش من کلی برایش توضیح دادم که هکر لزوما آدم بدی نیست... .
عرفان توکلی:
هنوز که هنوز است، برخی کسبوکارهای ایرانی سبت به کلمه ی هکر دید منفی دارند. وقتی بهشان میگویی :" آقا، سامانهات را بده که یک هکر تستش کند." میگویند : " هکر!؟ هکر میخواهد چهکار کند؟" و این داستانها.
پیشنهاد خواندنی:
برخی از مصائب و چالشهای هکر بودن
باگ بانتی و امنیت سایبری، دغدغهی چندم یک کسبوکار است؟
محمدرضا تیموری:
باتوجه به آنچه که تجربه و مشاهده کردهام، فکر میکنم واقعا فرهنگ باگ بانتی بین شرکتهای ایرانی جا نیفتاده است. بارها شاهد این بودهام که شکارچیهای مختلف آسیب پذیریهایی از یک سری بانکها پیدا کردهاند، ولی بانکها اصلا از آسیب پذیریای که برایشان گزارش شده، استقبال نکردهاند و حتی ناراحت شدهاند!
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیب پذیری؛ محمدرضا تیموری
علی فیروزی:
در حوزهی باگ بانتی در ایران، بسیاری از شرکتها توجه کافی را به امنیت سایبری و باگ بانتی ندارند. البته وضعیت در سالهای اخیر نسبت به گذشته بهبود قابلتوجهی داشته است. امروزه کسبوکارها به امنیت سایبری اهمیت بیشتری میدهند، اما زمانی که به بررسی جدول جوایز (Bounty table) و مبالغی که برای این جوایز در نظر گرفته میشود میپردازیم، به وضوح میبینیم که مدیران کسبوکارها علیرغم اختصاص هزینههای میلیاردی برای سایر بخشهای کسبوکار، به باگ بانتی و امنیت سایبری بودجه کمتری اختصاص میدهند. در بسیاری از موارد، شکارچیان آسیب پذیری با Bounty tableهای بسیار پایین مواجه میشوند. این موضوع انگیزه کمتری برای آنها ایجاد میکند. در چنین شرایطی، طبیعی است که شکارچیان آسیب پذیری تمایل کمتری داشته باشند که زمان خود را به کار برروی این اهداف اختصاص دهند. نتیجهی این رویکرد مالی، این است که ممکن است شکارچیان آسیب پذیریای که عملکرد خوبی دارند، برحسب ارزیابی شرایط خود، کمتر به تارگتهای ایرانی توجه کنند و بیشتر تمرکز خود را بر روی تارگتهای خارجی بگذارند. تجربهی شخصی من هم در ابتدا بر این اساس بود که برای افزایش تجربه، بیشتر روی اهداف داخلی کار میکردم و توانستم تجربیات مفیدی کسب کنم. اما به مرور زمان متوجه شدم که میتوانم برروی اهداف خارجی و پلتفرمهای بینالمللی بزرگتری مانند Hackerone و BugCrowd تمرکز کنم که فرصتهای بهتری را در اختیار قرار میدهند. در پلتفرمهای باگ بانتی خارجی، اوضاع به مراتب متفاوت است. زیرا باگ بانتی های خارجی معمولاً مبلغ قابلتوجهی دارند. از آنجا که جوایزشان معمولا به دلار پرداخت میشود، ارزش مالی بیشتری دارند. به طور مثال، برای یک آسیبپذیری مشابه، ممکن است بانتیای که در یک پلتفرم خارجی پرداخت میشود، ده برابر (یا حتی بیشتر) از بانتیای باشد که در پلتفرمهای ایرانی به آن اختصاص داده میشود. به همین دلیل، شکارچیان آسیب پذیری ترجیح میدهند وقت خود را بیشتر بر روی تارگتهای خارجی صرف کنند. با وجود این، به عنوان یک شکارچی آسیب پذیری، در صورتی که Bounty table مناسبی برای یک تارگت داخلی در نظر گرفته شود و زمان کافی برای بررسی آن وجود داشته باشد، منطقی است که بخشی از زمان خود را به این اهداف اختصاص دهم. زیرا من به طور پارهوقت به باگ بانتی میپردازم و زمان محدودی برای این کار دارم. در چنین شرایطی، برایم بهصرفهتر است که بیشتر بر روی برنامههای باگ بانتی خارجی وقت بگذارم. اما اگر در کنار این فرصتها، تارگت جدیدی در پلتفرمهای باگ بانتی داخلی با Bounty table مناسب اضافه شود، بخشی از زمان خود را به آن اختصاص میدهم تا هم از فرصتهای خارجی استفاده کنم و هم در اهداف داخلی فعالیت داشته باشم .
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ علی فیروزی
امید شجاعی:
یکی از چالشهای اصلی در این بخش، این است که سازمان ها نسبت به کسانی که شکارچی آسیب پذیری هستند، موضعگیری خاصی دارند و معمولا آنها را بهعنوان یک هکر کلاه سیاه میشناسند. این موردی ست که به صورت عمومی وجود دارد و به نظر من طبیعتا، آهسته آهسته این نگاه تغییر میکند.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ امید شجاعی
عرفان توکلی:
در برنامههای باگ بانتی ایرانی، برخی کسبوکارهایی هستند که حقیقتا خیلی خوب هزینه میکنند و بانتی میدهند. این موارد، تعداد محدودی هستند. برخی کسبوکارها هم هستند که آسیب پذیری را میگیرند و بابتش بانتی نمیدهند. من به شخصه، هم تجربههای خوشایندی داشتهام و هم ناخوشایند. ولی خب، تعداد تجربههای ناخوشایند بیشتر بوده است. کسبوکارها دارند کم کم وارد این مسیر میشوند، ولی هنوز این ورود کامل صورت نگرفته است.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ عرفان توکلی
محمدرضا عمرانی:
پایین بودن Bounty table روی انگیزهی شکارچی تاثیر زیادی دارد. مخصوصا وقتی پای شرکتهای بزرگ وسط میآید، خب انتظار هم میرود که بودجهی متناسبی برای بانتیها در نظر گرفته شود. واقعا اگر کسبوکارها فقط 5% از بودجهی تبلیغاتشان را صرف بهبود امنیت سازمان کنند، چه با ارتقای تیم امنیت و چه با افزایش Bounty tableشان، قطعا نتیجهی بهتری میگیرند. البته این به این معنی نیست که باگ بانتی باید تنها اولویت باشد؛ امنیت باید به طور کلی در سازمان جدیتر گرفته شود و بودجهی امنیتی کل سازمان افزایش پیدا کند، نه اینکه همه چیز به باگ بانتی محدود شود.
پیشنهاد خواندنی:
گپوگفتی با شکارچی آسیبپذیری؛ محمدرضا عمرانی
چرا کسبوکارهای ایران امنیت اطلاعات را جدی نمیگیرند؟
برسد به دست کسبوکارها و پلتفرمهای باگ بانتی
محمدرضا تیموری:
چالش دیگری که در پلتفرمهای باگ بانتی ایرانی وجود دارد، این است جایی وجود ندارد که فرد بتواند در آن رایتاپهای ایرانی بخواند و آسیب پذیری هایی که فیکس شدهاند را ببیند. این انتشار و بهاشتراکگذاری دانش خیلی میتواند به جامعهی شکارچیان آسیب پذیری ایرانی کمک کند. برخی شکارچیها هستند که با محتوای انگلیسی مشکل دارند. برای این افراد رایتاپ فارسی خواندن خیلی خوب و کمککننده است. این هم یک چالش است که خیلی از شرکتها چنین کاری نمیکنند و رایتاپ آسیب پذیری رفعشدهیشان را پخش نمیکنند. چرا؟ به خاطر اعتباری که دارند و میترسند از بین برود.
محمدرضا عمرانی:
در کار ما چالشهای زیادی وجود دارد. یکی از مشکلات رایج، کمبود مستندات فنی یا نبود اطلاعات کافی برای انجام تست هاست. این مورد، باعث میشود که فرایند تست زمانبر و کند شود.
در چنین فضایی، از طرفی دیگر، تعامل ضعیف یا کند با تیم فنی یا داوری هم مزید بر علت میشود.
همچنین، عدم شفافیت در فرآیند رسیدگی به گزارشها یکی دیگر از چالشهای مهم است. وقتی یک گزارش را ارسال میکنی و بازخورد دقیقی نمیگیری، یا بدون اینکه دلیل روشنی ارائه شود صرفا با جملهای مثل "تکراری است" یا "نامعتبر است" مواجه میشوی، عملا انگیزهات برای ادامهی کار برروی آن تارگت از بین میرود. اگر شرکتها با یک پلتفرم باگ بانتی همکاری نکنند یا بستر مناسبی برای مدیریت گزارشها نداشته باشند، ادامه دادن به کار روی آن تارگت برای یک متخصص واقعا سخت میشود.
پیشنهاد خواندنی:
شکارچیان آسیب پذیری بیشتر چه میدانهایی را برای شکار انتخاب میکنند؟
سخن آخر:
در این بلاگ پست دیدگاه 12شکارچی آسیب پذیری را درمورد چالشهای باگ بانتی در کنار هم قرار دادیم؛ چالشهایی که از دل تجربه زیستهی خود بهعنوان یک شکارچی آسیب پذیری، بیرون کشیده و به اشتراک گذاشتهاند.
بلاگپستهای مرتبط:
نگاهی گذرا به پلتفرم باگ بانتی راورو و شکارچیان آسیب پذیری؛ گزارش سالانه راورو
درآمد باگ بانتی بهعنوان یک شغل
هکرهای ایرانی از چه راههایی برای یادگیری هک استفاده میکنند؟