Bug Bounty सॉफ्टवेयर उत्पाद में बग और कमजोरियों को खोजने के लिए पुरस्कार कार्यक्रम।सफेद हैकर्स या बागहंतरेब्लॉकचेन परियोजनाओं के लिए, यह आंतरिक लेखा परीक्षा और औपचारिक सत्यापन के साथ सुरक्षा की एक बुनियादी परत है।
इतिहास#
- 1995 दुनिया का पहला सार्वजनिक बग बाउंटी कार्यक्रम Netscape Communications Corporation. विचार आया जाररेट रिडलिंगहाफरकंपनी ने इसे विकसित करने और लॉन्च करने के लिए $50,000 का निवेश किया है।
- 2012 रूस में पहली बग बाउंटी यांडेक्स.
- 2013 कार्यक्रम VK.
- 2020+ रूस और सीआईएस में कई खुले प्लेटफार्म Bug Bounty दिखाई दिए।
दो काम के प्रारूप#
आंतरिक (इन-हाउस)
कंपनी अपनी वेबसाइट पर प्रोग्राम प्रकाशित करती है. बैगहेंटर को यह भेद्यता मिलती है और वह एक विस्तृत रिपोर्ट भेजता है. टीम समस्या को पुनः प्रस्तुत करती है, कोड को ठीक करती है और फिर से जांच करने के बाद पुरस्कार देती है. यह एक ऐसा प्रारूप है जिसे अक्सर बड़े निगमों द्वारा चुना जाता है जिनके पास अपना सुरक्षा विभाग होता है.
मंच
कंपनी एक विशेष मंच (HackenProof, BugBounty.ru, आदि) पर पंजीकृत होती है, स्कोप, उद्देश्य, शर्तों और पुरस्कारों की मात्रा का वर्णन करती है। बैगहंटर्स प्लेटफॉर्म पर सत्यापित होते हैं और घोषित नियमों के अनुसार काम करते हैं। प्लेटफॉर्म कमीशन लेता है और विवादों में मध्यस्थता करता है।
लाभः एक व्यापक पूल के बगहंटर्स बिना किसी अलग मार्केटिंग के, तैयार रिपोर्टिंग बुनियादी ढांचे, कलाकार स्तर पर फ़िल्टर।
TON इकोसिस्टम में बग बाउंटी#
दिसंबर 2024 की स्थिति के अनुसार TON कुल फंड सैकड़ों हजारों GRAM में गणना की जाती है.
STON.fi Bug Bounty
200 000 GRAM- मानक पुरस्कारों का जाल:
| गंभीरता | पुरस्कार |
|---|---|
| मध्यम | 1 000 GRAM |
| ऊँची | 2 000 GRAM |
| महत्वपूर्ण | तक 20 000 GRAM |
प्रोग्राम का वर्णन github.com/ston-fi/bug-bounty. STON.fi.
Getgems Bug Bounty
प्रारूप में आता है प्रतियोगितामहत्वपूर्ण यह मुख्य कार्यक्षमता का उल्लंघन है (कार्रवाई करने में असमर्थता, गलत डेटा प्रदर्शित करना, गलत काम करना) । रिपोर्ट एकत्र करने के बाद, जूरी चुनता है सर्वश्रेष्ठ 5, पुरस्कार पूल तक $500 प्रति रिपोर्ट टोन में.
पंजीकरणः @toncontests_bot, GitHub खाता और TON-वॉलेटभुगतान के लिए। github.com/getgems-io/issues. Getgems.
HackenProof × TON
HackenProof सबसे बड़ा स्मार्ट कॉन्ट्रैक्ट और ब्लॉकचेन प्रोटोकॉल ऑडिट प्लेटफॉर्म, जो अधिकांश शीर्ष एक्सचेंजों और L1 के साथ काम करता है। TON Foundationकार्यक्रम में पहली परियोजनाएं हैंः
- TonDiamonds (
@TonDiamonds); - STON.fi (
@stonfidex); - Evaa Protocol (
@evaaprotocol) देखें Evaa.
TON Foundation Bug Bounty
TON Foundation प्रोटोकॉल और संबंधित बुनियादी ढांचे में बग के लिए एक अलग कार्यक्रम चलाता है। $150 से $5,000 तक रिपोर्ट के लिए. प्रलेखन hackenproof.com/blog/for-hackers/ton-foundation-bug-bounty-reward. TON कार्यक्रम में पंजीकरण @ton_bugs_bot.
TON में सभी सक्रिय कार्यक्रमों को ton.org/grants और रिपॉजिटरी में github.com/ton-blockchain/bug-bounty.
एक बुखार के लिए क्या करना चाहिए#
- अंग्रेजी मुख्य बग रिपोर्ट, दस्तावेज और प्लेटफॉर्म अंग्रेजी में हैं;
- प्रोग्रामिंग पायथन, जावास्क्रिप्ट, रस्ट, सॉलिडिटी, फनसी (टोन कॉन्ट्रैक्ट के लिए);
- साइबर सुरक्षा कानून को समझना जहां अनुसंधान अनधिकृत पहुँच के रूप में योग्य होने लगती है;
- हमलावर के उपकरण Burp Suite, Metasploit, ब्लॉकचेन के लिए Slither, Mythril, TON के लिए समान;
- नेटवर्क प्रोटोकॉल और वेब विकास का ज्ञान dApps में अधिकांश बग on-chain/off-chain के बीच रहते हैं।
- तर्क और विश्लेषण एक सामान्य काम में कोई शोषण नहीं होता, बल्कि व्यवहार का रिवर्स इंजीनियरिंग होता है।
- दस्तावेज और संचार रिपोर्ट बिना स्पष्ट reproduction-step के भुगतान नहीं करेगा।
कहाँ पढ़ना है#
- Awesome Ethical Hacking Resources —
github.com/hassnainfareed/awesome-ethical-hacking-resources; - आभासी प्रयोगशालाएँ bWAPP, HackTheBox, TryHackMe, DVWA;
- Capture the Flag (CTF) प्रतियोगिताएं सुरक्षित वातावरण में हमले का अभ्यास;
- CertiK Academy और स्मार्ट-कॉन्ट्रैक्ट्स के आधार पर गहराई से;
- HackenProof और Immunefi पर पिछले रिपोर्ट रिपॉजिटरी वास्तविक मामले।