گزارش فصلینگاهی گذرا به گزارش‌های آسیب‌پذیری در پلتفرم باگ‌بانتی راورو ۱۴۰۳مشاهده گزارش
تعریف هدف در باگ‌بانتی به چه معناست؟ و چه دلیلی دارد؟

تعریف هدف در باگ‌بانتی به چه معناست؟ و چه دلیلی دارد؟

۲,۹۲۸

اگر تا حدودی با باگ بانتی آشنایی داشته باشید، احتمالا کلمات میدان (Company) و هدف (Scope) به گوشتان خورده‌باشند. اما هر یک از این کلمات در راورو چگونه معنا می‌شوند؟ چه تفاوتی با یک‌دیگر دارند؟ و چرا در باگ بانتی میدان‌ها به تعریف اهداف و قوانین می‌پردازند؟ این‌ها سوالات رایجی هستند که ما می‌خواهیم در این بلاگ‌پست به آن‌ها پاسخ دهیم.

میدان و هدف به چه معنا هستند؟

اجازه دهید ابتدا تعریفی خلاصه از این مفاهیم ارائه دهیم: میدان: کسب و کار هایی که تمام یا بخشی از سامانه‌ی خود را برای ارتقای امنیت به باگ بانتی سپرده‌اند تا شکارچیان آسیب پذیری های آن‌ها را کشف و گزارش کنند، در اصطلاح میدان نامیده می‌شوند. به عنوان مثال: کسب و کار «سازمان نمونه» که به باگ بانتی پیوسته‌است را می‌توان میدان «سازمان نمونه» نامید. هدف: به محدوده‌ای از میدان که طبق قوانین تعیین‌شده توسط کسب و کار، شکارچیان فقط اجازه دارند که در آن محدوده به کشف آسیب پذیری بپردازند. به عنوان مثال: میدان «سازمان نمونه»، «وب‌سایت تست» را از سامانه‌ی کسب و کار خود را به همراه قوانین مشخصی، به عنوان هدف برای شکارچیان تعیین می‌کند. «وب‌سایت تست سازمان نمونه» یک هدف از میدان سازمان نمونه محسوب می‌شود.

در بلاگ‌پست «چگونه می‌توانم در پنل میدان در پلتفرم راورو، یک هدف ثبت کنم؟» می‌توانید با صفر تا صد چگونگی فرآیند تعریف یک هدف جدید برای میدان در راورو، آشنا شوید.

میدان و هدف چه تفاوتی با هم دارند؟

اگر بخواهیم تمام سامانه‌ی مجازی کسب و کار شما را به ساختمان مجازی کسب و کار تان تشبیه کنیم، این ساختمان اتاق‌هایی دارد. اهدافی که شما تعیین می‌کنید، اتاق‌هایی از سامانه‌ی شما هستند که برای ارزیابی امنیتی مجاز اعلام می‌کنید. شما می‌توانید قوانینی برای ساختمان کلی و قوانین جداگانه برای تک‌تک دپارتمان‌ها و اتاق‌های آن، تعیین کنید. کسب و کار های مختلف ساختمان‌های مجازی و اتاق‌های متفاوتی نیز دارند. به عنوان نمونه در سامانه‌ی وب، آدرس زیردامنه‌ای از سایت شما و یا دامنه‌ای از سامانه‌ی شما هر کدام یک هدف محسوب می‌شوند.

هدف باگ بانتی امنیت کسب و کار

چرا در باگ بانتی میدان‌ها به تعریف هدف می‌پردازند؟

شما با تعیین هدف مشخص می‌کنید که چه بخش‌هایی از سامانه‌ی شما مورد ارزیابی قرار بگیرند. این محدوده‌ها، همان هدف‌هایی هستند که شما باید تعیین کنید. در روش باگ هانتینگ هکرها، آزادانه و بدون هیچ محدودیتی به بررسی تمام بخش‌های سامانه‌ی یک کسب و کار می‌پردازند. اما در باگ بانتی، شکارچیان تنها به بررسی و ارزیابی امنیتی در محدوده‌ی بخش یا بخش‌هایی از سامانه، که کسب و کار آن‌ها را مجاز اعلام کرده است، می‌پردازند. قوانین و محدوده‌هایی که شما برای هر هدف تعیین می‌کنید، مبنای سنجش گزارش‌هایی که شکارچی‌ها برای پلتفرم ارسال می‌کنند، هستند. اگر گزارش‌های دریافتی خارج از محدوده‌ی مجاز یا برخلاف قوانین مشخص‌شده برای هر هدف باشند، توسط تیم داوری راورو رد می‌شوند.

در بلاگ‌پست «در فرآیند تعیین هدف، چگونه قسمت قوانین را تکمیل کنم؟» راهنمای گام‌به‌گامی برای چگونگی تعریف قوانین برای هر هدف، تدارک دیده‌ایم.

باگ آسیب پذیری

سخن آخر

ما در فرآِیند تعریف هدف در باگ بانتی، از قوانین جهت تسهیل و بهبود جریان امور استفاده می‌کنیم. معتقدیم شفاف‌سازی و مشخص‌سازی محدودیت‌ها و جزئیات می‌توانند موجب پیش‌گیری از بروز اختلاف‌ها و چالش‌ها، میان کسب و کار ها و شکارچیان آسیب پذیری در آینده، شوند.