Bug Bounty yazılım ürünündeki hataları ve zayıflıkları bulmak için ödül programı.Beyaz hackerlar. veya BağhanterlerBlockchain projeleri için, bu, iç denetim ve resmi doğrulama ile birlikte güvenlik katmanlarından biridir.
Tarihi#
- 1995 Bug Bounty'nin ilk kamuya açık programı Netscape Communications Corporation- Bu fikri ben önerdim . Jarrett RidlinhaferŞirket geliştirme ve başlatma için 50.000 dolar harcadı.
- 2012 Rusya ' daki ilk Bug Bounty Yandex.
- 2013 program VK.
- 2020+ Rusya ve MDB'de birçok açık platform Bug Bounty ortaya çıktı.
İki çalışma biçimi#
İç (in-house)
Şirket kendi web sitesinde yazılım yayınlar. Baghunter bir güvenlik açığı bulur ve detaylı bir rapor gönderir. Takım sorunu yeniden oluşturur, kodu düzeltir, tekrar denetledikten sonra ödeme yapar. Bu, kendi güvenlik departmanı olan büyük şirketlerin tercih ettiği bir biçimdir.
Platforma
Bughanterler platformda doğrulanır ve ilan edilmiş kurallar ile çalışır. Platform komisyon alır ve anlaşmazlıklarda aracılık yapar.
Avantajları: geniş bir pazarlamacı havuzu, hazır bir rapor altyapısı, performans seviyesine göre filtreleme.
Bug Bounty TON ekosisteminde#
2024 yılının Aralık ayı itibariyle TON Toplam fon yüz binlerce TON ' da hesaplanıyor.
STON.fi Bug Bounty
Vakıf 200 000 TON- Ödüllerin standart ağı:
| Ciddilik | Ödül |
|---|---|
| Ortalama | 1 000 TON |
| Uzun boylu | 2 000 TON |
| Eleştirel | Daha önce 20 000 TON |
Program Açıklaması github.com/ston-fi/bug-bounty- Bak . STON.fi.
Getgems Bug Bounty
Biçimlendirilmiş Yarışmayı: bughanterler önemli hataları elle ararlar. Önemli bu temel işlevselliğin bozulmasıdır (hareket yapabilmemek, yanlış verilerin gösterilmesi, yanlış çalışma). Raporları topladıktan sonra jüri, En iyi 5, ödül topu Rapor için 500 dolar. TON ' da ..
Kayıt: @toncontests_botGitHub hesabını ve ödeme için TON cüzdanını belirtir. Ayrıntılar github.com/getgems-io/issues- Bak . Getgems.
HackenProof × TON
HackenProof dünyanın en büyük akıllı sözleşme ve blok zinciri protokol denetim platformu, en büyük borsa ve L1 ile çalışıyor. TON Foundation. Programdaki ilk projeler şunlardır:
- TonDiamonds (
@TonDiamonds); - STON.fi (
@stonfidex); - Evaa Protocol (
@evaaprotocol) bakınız . Evaa.
TON Foundation Bug Bounty
TON Foundation Protokolün kendisinde ve ilgili altyapıda hatalar için ayrı bir program yürütür. 150 dolardan 5.000 dolara kadar. - Evet .. Belgelendirme hackenproof.com/blog/for-hackers/ton-foundation-bug-bounty-reward. TON programında kayıt @ton_bugs_bot.
TON ' daki tüm etkin programlar ton.org/grants ve depoda github.com/ton-blockchain/bug-bounty.
Bir bughunterin ne yapması gerekiyor?#
- İngilizce Ana hata raporları, belgeleri ve platformları İngilizce;
- Programlama Python, JavaScript, Rust, Solidity, FunC (TON sözleşmeleri için);
- Siber Güvenlik Kanunlarını Anlamak "Araştırma" yetkisiz erişim olarak tanımlanmaya başladığında;
- Saldırgan Araçları Burp Suite, Metasploit, benzerleri, blok zinciri için Slither, Mythril, TON benzerleri;
- Ağ protokolü ve web geliştirme bilgisi dApp'lerdeki çoğu hata, on-chain/off-chain bağlantısında yaşıyor.
- Mantık ve Analiz Tipik bir iş, bir istismar değil, davranışların ters mühendisliğiyle oluşur;
- Belgelendirme ve iletişim Rapor açık bir reproduction-step olmadan ödenemez.
Nerede okuyabilirim ?#
- Awesome Ethical Hacking Resources —
github.com/hassnainfareed/awesome-ethical-hacking-resources; - Sanal laboratuvarlar bWAPP, HackTheBox, TryHackMe, DVWA;
- Capture the Flag (CTF) Yarışlar Güvenli ortamda saldırı pratiği;
- CertiK Academy ve benzerleri Smart-kontratlar üzerine derinlemesine;
- HackenProof ve Immunefi'nin geçmiş rapor depoları gerçek davalar.