Bug Bounty 소프트웨어 제품에서 버그와 취약점을 찾는 것에 대한 보상 프로그램하얀색 해커 또는 부한테르이 프로젝트들은 내부 감사와 공식적인 검증과 함께 보안의 가장 중요한 층 중 하나입니다.
역사#
- 1995 버그 보운티의 첫 공개 프로그램 Netscape Communications Corporation이 아이디어를 제안했습니다. 저렛 리들린하퍼이 회사는 개발과 출시에 5만 달러를 투자했습니다.
- 2012 러시아 최초의 버그 보운티 양덱스.
- 2013 프로그램 VK.
- 2020+ 러시아와 CIS에서는 많은 오픈 플랫폼 Bug Bounty가 등장했습니다.
두 가지 작업 형식#
내부 (in-house)
회사는 자신의 웹사이트에 프로그램을 게재합니다. 바그헌터는 취약점을 발견하고 상세한 보고서를 전송합니다. 팀은 문제를 재생하고 코드를 수정하고, 다시 확인한 후 보상을 지불합니다. 이 형식은 자신의 보안 부서가 있는 대기업들이 선호하는 형식입니다.
플랫폼
회사는 전문 플랫폼 (HackenProof, BugBounty.ru, 등) 에서 등록되며, 스코프, 목표, 조건 및 보상 규모를 설명합니다. 바그헌터는 플랫폼에서 검증되고 발표된 규칙에 따라 작동합니다. 플랫폼은 수수료를 받고 분쟁에서 중개 업무를 수행합니다.
장점: 마케팅을 하지 않고 다양한 부하인터들이 있고, 준비된 보고서 기반시설이 있고, 퍼포먼스 수준의 필터링이 있습니다.
TON 생태계에서 버그 보운티#
2024년 12월 현재 TON 몇 가지 프로그램이 있습니다 총 펀드는 수십만 TON입니다.
STON.fi Bug Bounty
재단 200 000 TON- 표준 보상 네트워크:
| 진지함 | 보상 |
|---|---|
| 평균 | 1 000 TON |
| 높다 | 2 000 TON |
| 비판적 | 이전까지 20 000 TON |
프로그램 설명 github.com/ston-fi/bug-bounty- 이봐요. STON.fi.
Getgems Bug Bounty
포맷으로 나옵니다 경상남도 창원시: 부그헌터들은 수동으로 중요한 버그를 찾습니다. 중요한 이것은 기본 기능의 위반입니다 (행동을 수행할 수 없거나, 데이터를 잘못 표시하거나, 잘못 작동합니다). 보고서를 수집한 후 심사위원은 선택합니다. 최고의 5개, 상금 까지 보고서에 500달러 톤으로.
등록: @toncontests_bot, GitHub 계정과 TON 지갑을 표시합니다. 자세한 사항 github.com/getgems-io/issues- 이봐요. Getgems.
HackenProof × TON
HackenProof 가장 큰 스마트 계약과 블록체인 프로토콜 감사 플랫폼, 대부분의 상위 거래소와 L1와 협력합니다. TON Foundation이 프로그램은 다음과 같은 첫 번째 프로젝트입니다.
- TonDiamonds (
@TonDiamonds); - STON.fi (
@stonfidex); - Evaa Protocol (
@evaaprotocol) 참조 Evaa.
TON Foundation Bug Bounty
TON Foundation 프로토콜 자체와 관련 인프라에서 버그를 위한 별도의 프로그램을 운영합니다. 150달러에서 5천달러 보고서를 통해. 문서화 hackenproof.com/blog/for-hackers/ton-foundation-bug-bounty-reward- TON 프로그램을 통해 등록 @ton_bugs_bot.
TON의 모든 활성 프로그램은 ton.org/grants 그리고 저장소에서 github.com/ton-blockchain/bug-bounty.
버그헌터가 할 수 있는 일#
- 영어 주요 버그 보고, 문서 및 플랫폼은 영어로 되어 있습니다.
- 프로그래밍 파이썬, 자바스크립트, 러스트, 솔리디티, FunC (TON 계약용)
- 사이버 보안 관련 법률에 대한 이해 '연구'가 무단 접근으로 분류되기 시작하면,
- 공격자의 도구 Burp Suite, Metasploit, 블록 체인용 유사들 Slither, Mythril, TON용 유사;
- 네트워크 프로토콜과 웹 개발에 대한 지식 대부분의 dApp 버그는 온/오프 체인 연결에 있습니다.
- 논리와 분석 전형적인 작업은 익스플로잇이 아니라 행동 리버스 엔지니어링입니다.
- 문서화와 통신 이 보고서는 명확한 재생 단계가 없으면 지불되지 않습니다.
어디서 공부할 수 있나요?#
- Awesome Ethical Hacking Resources —
github.com/hassnainfareed/awesome-ethical-hacking-resources; - 가상 실험실 bWAPP, HackTheBox, TryHackMe, DVWA;
- Capture the Flag (CTF) 경기는 안전한 환경에서 공격 연습을 합니다.
- CertiK Academy 스마트 계약에 대한 심층적인 분석;
- 해킹신호와 면역피의 과거 보고서 저장소 실제 케이스