نحوه امتیاز گیری در پلتفرم باگدشت

افزایش روز به روز حملات سایبری باعث شده است که سازمان ها و شرکت های بیشتری به سمت ایمن سازی سامانه های خود بروند و از این رو همکاری با پلتفرم های ایمن ساز و باگ بانتی افزایش یافته است. متخصصین امنیتی نیز نقش بسیار مهمی در ایمن سازی سامانه ها دارند. باگدشت قوانین پلتفرم خود را بروزرسانی کرد تا متخصصین به صورت شفاف آشنایی بهتری با قوانین داشته باشند و زمان خود را بصورت بهینه صرف نمایند و سازمان ها نیز گزارش هایی با کیفیت بالا از طرف متخصصین امنیتی دریافت کنند.

۱.نقش باگدشت در مسیر ایمن سازی چیست؟

ما در شرکت دانش بنیان تحلیلگران امن آریانا به واسطه پلتفرم خدمات امنیتی باگدشت (Security As A Service) اطلاعات مشکلات امنیت فناوری اطلاعات در سامانه های وب و موبایل را که از دید توسعه دهندگان آن سامانه ها دور مانده است، در اختیار سازمان های مخاطب قرار میدهیم. در واقع با استفاده از پتانسیل اجتماع متخصصین امنیتی، سازمانها و شرکتها می توانند در سوی دیگر پلتفرم از مزیت دسترسی سریع به باگ های امنیتی خود بهره مند گردند. کمیته فنی باگدشت با تکیه بر تجارب خود، به سازمان در خصوص ایمن سازی مشکلات امنیتی مشاوره ارایه مینماید و همچنین پیاده سازی هاردنینگ و آموزش آنها را صورت میدهد. هدف ما ایجاد فضای امن تر برای تمامی کاربران کشور است.

باگدشت پلتفرم خدمات امنیتی باگدشت (Security As A Service) ایرانی است که هدف آن افزایش میزان همکاری ذینفعان جامعه امنیتی کشور در ایمن سازی خدمات فناوری اطلاعات و ارتباطات می باشد. متخصصین فعال در پلتفرم باگدشت، در زمره برترین کارشناسان امنیت سایبری کشور هستند و دارای سوابق ارزنده و تجربیات متعدد در شناسایی و ایمن سازی سامانه ها می‌باشند.

۲.چرا شفاف سازی قوانین اهمیت دارد؟

یکی از موارد مهم در باگ بانتی و ثبت گزارش، سرعت می‌باشد. همین موضوع باعث می‌شود که رقابت بین متخصصین امنیتی افزایش پیدا کند و سرآغاز رقابت ‌شود. گاهی گزارش ها بدون رعایت قوانین سازمان و پلتفرم ارائه می‌گردد که باعث می‌شود زمان تحلیل و تریاژ گزارش بیش از زمان عادی طولانی شود و در انتها مورد قبول نباشد. گاهی یکی از دلایل عدم رعایت قوانین، شفاف نبودن آنها می‌باشد. از این رو باگدشت قوانین پلتفرم خود را بروزرسانی کرد تا متخصصین به صورت شفاف آشنایی بهتری با قوانین داشته باشند و زمان خود را بصورت بهینه صرف نمایند و سازمان ها نیز گزارش هایی با کیفیت بالا از طرف متخصصین امنیتی دریافت کنند.

۳.چرخه عمر باگ در پلتفرم باگدشت

1. پس از ارسال باگ در پلتفرم باگدشت وضعیت گزارش به حالت “دریافت شده” تغییر میکند. که در این حالت ارسال کننده امکان ویرایش گزارش خود را دارد.
2. باگ دریافتی به تیم تریاژ ارجاع داده میشود تا مطابقت آن با چارچوب های ارسال گزارش که در بخش قوانین باگدشت و VDP سازمان به آنها اشاره شده، بررسی شود.
3. در صورت تایید گزارش توسط تیم تریاژ وضعیت گزارش به “تایید تریاژ” تغییر میکند و گزارش به تیم کمیته فنی ارجاع داده میشود.
4. کمیته فنی گزارش را از نظر امکان اکسپلویت و کامل بودن سناریوی اجرا بررسی و سناریو گزارش همراه با راهکار رفع آن را تکمیل میکند.
5. در صورت تایید، وضعیت باگ به “تایید کمیته فنی” تغییر پیدا میکند و گزارش برای تایید نهایی و ارزش گذاری برای سوپروایزر ارسال میشود.
6. در صورت تایید سوپروایزر، امتیازی متناسب با شدت باگ به متخصص تعلق میگیرد.
7. در مرحله بعد در صورتی که باگ ارسال شده در قالب “باگ بانتی” باشد مبلغ بانتی به متخصص تعلق میگیرد و سعی میشود در پایان هر ماه تسویه حساب و یا شفاف سازی نتایج روال پرداخت کارفرما اعلام میشود.
8. در صورتی که باگ ارسالی متعلق به سازمانی باشد که طرف قرارداد با باگدشت نبوده است، فرآیند اطلاع رسانی و پیگیری باگ آغاز میشود و در صورت تایید سازمان روال پرداخت بانتی انجام میپذیرد. در این نوع از ارسال باگ به دلیل نداشتن قرارداد قبلی، سازمان تعهدی نسبت به پرداخت ندارد و امتیاز باگ به متخصص جهت عضویت در تیمهای VIP اختصاص داده میشود.

⚠️چنانچه در هر مرحله نیاز به توضیح یا تغییر توسط فرد گزارش دهنده وجود داشته باشد، گزارش به متخصص بازگردانده میشود و مراحل فوق مجدد تکرار میگردد

⚠️در صورت بروز هرگونه سوال یا ابهام، ابتدا به بخش پرسش های متداول مراجعه کنید و اگر پاسخ خود را نیافتید از طریق ایمیل پشتیبانی با تیم پشتیبان ما در تماس باشید

۴.قوانین پلتفرم باگدشت

۱. متخصصین امنیتی می بایست به ارایه باگ امنیتی در پلتفرم باگدشت بپردازند و صرفا ارایه وجود آسیب پذیری در سامانه ها بدون شواهد امکان اجرای آن مورد پذیرش نیست.

۲. باگ های امنیتی به زبان فارسی ارایه می شوند.

۳. باگ های اعلام شده توسط متخصصین امنیتی می بایست قابل اثبات و تکرارپذیر باشند و با جزئیات قدم به قدم باگ توضیح داده شوند.

۵. متخصصین می بایست باگ های شناسایی شده را در باگ بانتی یا هانتینگ مرتبط با خود ارایه نمایند.

۶. در ویدیو ارسالی به عنوان PoC می بایست مراحل شناسایی باگ از ابتدا تا انتها ارایه شود.

۷. در ابتدای هر ویدیو PoC وب سایت time.ir در یک مرورگر جدید باز شده و زمان ضبط ویدیو بصورت واضح نمایش داده شود.

۸. تارگت مورد تست می بایست در دسترس برای عموم باشد و یا نحوه دسترسی به آن در گزارش و ویدیو ارایه شود.

۹. ویدیو ضبط شده نمی بایست دارای توقف در ضبط سناریو و ویرایش باشد.

۱۰. هر گزارش می بایست اشاره به یک باگ امنیتی داشته باشد.

۱۱. تمام اعلام باگ ها تنها می بایست از طریق اکوسیستم باگدشت ارایه و پیگیری شود و اشترک گذاری اطلاعات مرتبط آنها در رسانه های اجتماعی، دیگر وب سایتهای اشتراک گذاری اطلاعات مانند Pastebin و یا دیگر کانالهای ارتباطی مورد پذیرش نمی باشد.

۱۲. همکاری باگدشت با متخصصین امنیتی شناسایی کننده باگ انجام می شود و اعلام باگ ها توسط افراد و یا شرکتهای واسطه فروش باگ مورد پذیرش نمی باشد.

۱۳. استفاده از کلمات و جملات توهین آمیز مرتبط با تخصص افراد، ملیت، جنسیت، مذهب و یا مباحث سیاسی و غیر فنی در هیچ کدام از بخشهای پلتفرم مورد پذیرش نمی باشد.

۱۴. در ارزیابی تنها می بایست به شناسایی باگ امنیتی پرداخته و از اجرای حملاتی که منجربه نقض در یکپارچگی و یا اختلال در سرویس می شوند اجتناب شود.

۱۵. از نتایج اسکنرها و ابزارهای اتوماتیک برای ارایه باگ استفاده نشود.

۱۶. آسیب پذیری های روز صفر، تا پیش از ارائه راهکار امنیتی مناسب برای برطرف کردن باگ امنیتی از جانب توسعه دهنده محصول مورد پذیرش باگدشت نمی باشند.

۱۷. درج پیلود (کد، اسکریپت و …) استفاده شده برای کشف باگ، در گزارش ارسالی الزامیست.

۵.فرایند امتیاز گیری

افزایش روز افزون متخصصین امنیتی در کشور ما و استفاده از پلتفرم باگدشت برای ثبت گزارش های امنیتی خود، لازم دانستیم تا نحوه امتیاز گیری را تا حد ممکن به صورت شفاف به سمع و نظر شما برسانیم.

در پلتفرم هکر وان(hackerone.com) برای وضعیت گزارش های ثبت شده چند حالت وجود دارد که به چهار حالت مشترک آن با باگدشت اشاره می‌شود:

تایید سوپروایزر (Resolved):

گزارش مورد تایید است و نیازی به گفتگوی بیشتر با هکر نیست.

تکراری (Duplicate):

این آسیب پذیری قبلا توسط متخصص دیگر گزارش شده است. پلتفرم‌ها می‌توانند با ارجاع دادن گزارش به کاشف اصلی آن و پیوند دادن آن به گزارش قبلی یا گنجاندن جزئیات دیگر درباره کشف آن، اعتماد ایجاد کنند. افشای عمومی برای این حالت صورت نمی‌پذیرد.

گزارش بازگشت به متخصص (Not Applicable):

یک آسیب پذیری قابل تایید نیست و بنیان امنیتی ندارد. تیم فنی باید به متخصص امنیتی دلیل عدم پذیرش گزارش را به طور کامل توضیح دهد تا متخصص بتواند نسبت به تصحیح و تقویت آن اقدام کند.

گزارش بسته شده (Spam):

گزارش تایید نیست زیرا یک آسیب پذیری امنیتی واقعی گزارش نشده است. همچنین گزارش ممکن است غیر قابل فهم، حاوی سواستفاده و یا مزاحمت باشد. گزارش هایی که قصد فروش هرگونه محصول یا خدمات را دارند نیز اسپم محسوب می‌شوند.

در صورت اینکه گزارش شما مورد تایید کمیته فنی باگدشت باشد، امتیاز خود را بر اساس اهمیت نوع بانتی (عمومی و یا اختصاصی)، گزارش سازمانهای دیگر و یا شرکت در پروژه های تست نفوذ که مختص متخصصین VIP است دریافت می‌نمایید.

۲-۶- سطح VIP:

در صورتیکه کاربر عمومی پس  از ارسال باگهای امنیتی به حداقل ۳۰۰ امتیاز برسد و یا کمیته فنی باگدشت نسبت به عملکرد هر کاربر تصمیم به ارتقا سطح کاربر نمایند، کاربر عمومی دعوت به جلسه حضوری بررسی سوابق تخصصی توسط کمیته فنی خواهد شد و با تشریح نحوه عملکرد در مسابقات اختصاصی و انعقاد تفاهم نامه عدم افشای اطلاعات، کاربر به سطح اختصاصی ارتقا می یابد. کاربر سطح VIP به موارد زیر پلتفرم دسترسی خواهد داشت:

• دسترسی به بانتی های اختصاصی اعلام شده در پنل باگدشت
• کسر کارمزد ۱۰ درصد از باگ های تایید شده به هنگام پرداخت
• شرکت در ایونت های امنیتی و وبینارهای باگدشت

۳-۶- سطح BIP:

در صورتیکه تداوم فعالیت کاربر VIP در طول یک سال بصورت مستمر انجام شود و همچنین با پیروی از قوانین باگدشت و سازمانهای دارای بانتی اختصاصی، در حداقل ۵ بانتی اختصاصی شرکت نماید، کمیته فنی باگدشت کاربر را در صورت عدم دریافت گزارش در خصوص عملکرد خلاف قوانین به سطح BIP ارتقا داده و کاربر میتواند از پروژه های امنیتی دیگر نیز بهره مند گردد.

• دسترسی به بانتی های دارای احراز هویت بالاتر اعلام شده در پنل باگدشت
• دسترسی به پروژه های امنیتی (ایمن سازی، آموزش، ارزیابی امنیتی و …)
• دعوت به تیم تریاژ باگ ها