در این بلاگ‌پست می‌خواهیم به بیان و توضیح گام‌به‌گام فرآیند تعریف هدف، در پلتفرم باگ‌بانتی راورو بپردازیم.

پیش از هر چیز بگذارید منظور و مفهوم بعضی کلمات در فرهنگ لغت راورو، که در این بلاگ‌پست استفاده شده‌اند را نیز، واضح‌تر بیان کنیم:

آسیب‌پذیری: به باگ‌ها، حفره‌های امنیتی و نقایص فنی سامانه‌های آنلاین که نقاط آسیب‌پذیر آن به شمار می‌روند و امکان نشت اطلاعات و یا نفوذ هکرهای کلاه‌سیاه از طریق آن نقاط ممکن است، ‌آسیب‌پذیری می‌گویند.

میدان: کسب‌وکارهایی که تمام یا بخشی از سامانه‌ی خود را برای ارتقای امنیت به باگ‌بانتی سپرده‌اند تا شکارچیان آسیب‌پذیری‌های آن‌ها را کشف و گزارش کنند.

شکارچی: متخصصین امنیت و هکرهای کلاه‌سفیدی که به بررسی و کشف آسیب‌پذیری‌های سامانه‌های میدان‌ها می‌پردازند و کشفیات خود را در قالب گزارش آسیب‌پذیری، به پلتفرم باگ‌بانتی گزارش می‌دهند.

هدف: به محدوده‌ای از میدان که طبق قوانین تعیین‌شده توسط کسب‌وکار، شکارچیان فقط می‌توانند در آن محدوده به کشف آسیب‌پذیری بپردازند.

اول از همه: چگونه به صفحه‌ی مربوط به تعیین هدف مراجعه کنم؟

پس از ورود به حساب کاربری خود، در قسمت میزکار، از منوی راست بر روی گزینه‌ی «اهداف و قوانین» کلیک کنید تا وارد صفحه‌ی اهداف و قوانین شوید. با کلیک بر روی گزینه‌ی "هدف جدید" می‌توانید هدف جدیدی تعریف کنید.

چگونه هدف جدید تعیین کنم؟

پس از کلیک بر روی "هدف جدید"، پنجره‌ای باز می‌شود که شامل یک فرم است. شما باید این فرم را برای تعیین هدف خود پر کنید. این فرم شامل 9 قسمت است که عبارت‌اند از:

• عنوان هدف

• نوع هدف

• محدوده‌ی پرداخت

• دامنه‌ها

• دسته‌بندی آسیب‌پذیری‌های مجاز

• وضعیت فعلی هدف

• نحوه‌ی فراخوان شکارچیان برای این هدف

• زمان مجاز فعالیت شکارچیان بر روی این هدف

• تعیین قوانین

از این‌جا به بعد ما به همراه توضیح هر بخش فرم مربوط به تعیین هدف جدید، هدفی را باهم تعیین می‌کنیم:

عنوان هدف

هر هدف با عنوانش شناخته می‌شود و عنوان مناسب به شکارچیان کمک می‌کند تا اهداف را راحت‌تر انتخاب کنند. در این فیلد، شما نام یا عنوان هدفی که برای ارزیابی مدنظر دارید را مشخص می‌کنید. بهتر است در تعیین عنوان هدف، از الگوی "نوع هدف + نام کسب‌وکار خود" استفاده کنید.

به عنوان مثال: ما نام "وب‌سایت تست" را برای وب‌سایت کسب‌وکار تست انتخاب کرده‌ایم.

نوع هدف

در لیست "نوع هدف"، گزینه‌های پیش رو عبارتند از:

• وب

• برنامه‌های کاربردی

• برنامه‌های موبایل

• سخت‌افزار

• سایر

با توجه به نوع هدف خود، گزینه‌ی مورد نظر را انتخاب کنید. اگر هدف شما در هیچ‌کدام از موارد بالا جا نمی‌گرفت، مثلا اگر نوع هدف شما از نوع زیرساخت است، مورد «سایر» را انتخاب کنید.

به عنوان مثال: برای "وب‌سایت تست" نوع هدف را وب انتخاب می‌کنیم.

محدوده‌ی پرداخت

رایگان یا تعیین مبلغ

تنها در موارد خاص و هماهنگ‌شده، نظیر کمپین‌ها یا ...، میدان‌ها می‌توانند اهدافی را به صورت رایگان ایجاد کنند. در صورتی که در جزو چنین مواردی هستید، بر روی گزینه‌ی «رایگان» کلیک کنید. در غیر این‌ صورت گزینه‌ی تعیین مبلغ را انتخاب و به سراغ تعیین محدوده‌ی مبلغ بروید.

به عنوان مثال: ما گزینه‌ی تعیین مبلغ را انتخاب می‌کنیم.

محدوده‌ی پرداخت

این بخش از فرم، برای تعیین بازه‌ی مبلغ پاداش درنظرگرفته‌شده برای آسیب‌پذیری‌های کشف‌شده در این هدف است. دایره‌ی سمت راست برای تعیین حداقل مبلغ، و دایره‌ی سمت چپ برای تعیین حداکثر مبلغ است. اگر دایره‌ی راست را به سمت راست بکشید، حداقل و کف پاداش کاهش می‌یابد و اگر به چپ بکشید حداقل پاداش را افزایش می‌دهید. هم‌چنین اگر دایره‌ی چپ را به سمت راست بکشید سقف پاداش، کاهش می‌یابد و اگر به چپ بکشید حداکثر پاداش را افزایش می‌دهید.

محدوده‌ی مجاز پرداخت از حداقل 2 میلیون ریال شروع می‌شود و سقفی برای حداکثر محدوده‌ی مجاز وجود ندارد.

به عنوان مثال: ما محدوده‌ی 2000000 ریال (دویست هزار تومان) تا 250000000 ریال (بیست‌وپنج میلیون تومان) را انتخاب کرده‌ایم.

دامنه‌ها

دامنه‌ها مربوط به هدف‌های از نوع «وب» هستند. اگر هدف شما از نوع وب نیست، این فیلد را خالی بگذارید و از توضیحات این بخش مطلب نیز بگذرید. در ابتدای پاراگراف "دسته‌بندی‌ آسیب‌پذیری‌های مجاز منتظرتان هستیم ؛) اما اگر هدف شما از نوع وب است، شما باید با تعیین دامنه‌ها و زیردامنه‌ها و ... تعیین ‌کنید که شکارچیان مجاز هستند که در کدام بخش‌ها به کشف آسیب‌پذیری بپردازند. به همین منظور، در این فیلد لازم است آدرس دامنه‌های مجاز مدنظر خود را وارد کنید.

اگر تعیین بیش‌تر از یک دامنه را مدنظر دارید، به نکته‌ی بیان‌شده در زیر فیلد دامنه‌ها توجه داشته باشید و برای تعیین چند دامنه، آن‌ها را با کاما یا «,» از هم جدا کنید. (بین هر دو دامنه باید کاما «,» قرار دهید.) ویرگول قابل قبول نیست. بنابراین بررسی کنید که حتما کیبورد شما انگلیسی باشد.

محدودیتی در تعداد دامنه‌هایی که در یک هدف مشخص می‌کنید، وجود ندارد. اما پیشنهاد ما این است که دامنه‌هایی که از نظر هزینه‌ای در بازه‌های مشترک قرار می‌گیرند را در یک هدف مشخص کنید و برای دامنه‌های دیگر، هدف دیگری تعریف کنید.

به عنوان مثال: چون هدفی که ما تعیین کرده‌ایم، از نوع وب است، دامنه‌های مربوط به این هدف را مشخص می‌کنیم:

https://test.gov , http://blog.test.ir , https://app.test.org

دسته‌بندی آسیب‌پذیری‌های مجاز

در این بخش، شما دسته‌بندی‌های آسیب‌پذیری‌های مجاز و موردقبول خود را، برای پلتفرم راورو تعریف می‌کنید؛ مشخص می‌کنید که "کدام دسته‌ی آسیب‌پذیری‌ها برای این هدف قابل قبول هستند؟" و "ارائه‌ی گزارش از چه نوع آسیب‌پذیری‌هایی موردقبول شما است؟". تعیین آسیب‌پذیری‌ها در این‌جا برای آگاهی پلتفرم باگ‌بانتی راورو و عمل بر اساس آن است. بدین گونه که شکارچی هنگام ثبت گزارش شکار فقط و فقط می‌تواند از آسیب‌پذیری‌هایی که جزو دسته‌بندی‌های تعیین‌شده‌ی شما باشد، گزارش ثبت کند. تعیین دسته‌بندی آسیب‌پذیری‌های مجاز، در قسمت دیگری از مکانیزم تعریف میدان و هدف نیز وجود دارد؛ در بخش قوانین. آسیب‌پذیری‌هایی که شما در بخش قوانین تعیین می‌کنید، جهت آگاهی شکارچی و برای خواندن نمایش داده می‌شوند. در حالی که آسیب‌پذیری‌هایی که در این قسمت مجاز می‌شمارید، مبنای عملکرد پلتفرم راورو هستند. لازم به تذکر است که نباید محتوای این دو بخش با هم تناقض داشته باشند و اگر آسیب‌پذیری‌های مجاز را انتخاب نکنید به طور پیش‌فرض همه‌ی آن‌ها انتخاب می‌شوند.

آسیب‌پذیری‌ها، در این فیلد، بر اساس رده‌بندی استاندارد جهانی VRT لیست شده اند. طبق رده‌بندی VRT، آسیب‌پذیری‌ها در پنج رده‌ی P1 تا P5 از رایج‌ترین تا کم‌اهمیت‌ترین، و در سه سطح «دسته‌بندی»، «زیردسته» و «گونه» از کل به جزء و دسته‌بندی شده‌اند. به عنوان نمونه، آسیب‌پذیری XSS یا Cross Site Scripting در رده‌های P4، P3، P2 و P5 قرار گرفته است که در هر رده، زیردسته‌های مختلف آن بر اساس شدت خطرناک‌بودن آن‌ها قرار گرفته‌اند.

به عنوان مثال، ما همه‌ی آسیب‌پذیری‌های رده‌ی P1 را انتخاب می‌کنیم.

وضعیت فعلی هدف

در این‌جا مشخص می‌کنید که در حال حاضر این هدف فعال باشد یا خیر. شما می‌توانید برای صرفه‌جویی در زمان اهداف مختلف مدنظر خود را ایجاد کنید و وضعیت آن‌ها را غیرفعال قرار دهید و در زمان لازم هرکدام از آن‌ها را فعال کنید.

به عنوان مثال: ما وضعیت "فعال" را انتخاب کرده‌ایم.

نحوه‌ی فراخوان شکارچیان برای این هدف

شما با توجه به پلن اشتراک باگ‌بانتی که از راورو خریداری کرده‌اید، می‌توانید شکارچیان را در سه مدل به کشف آسیب‌پذیری میدان خود دعوت کنید. این سه مدل عبارتند از:

• عمومی

• خصوصی

• دعوت‌نامه‌ای

عمومی

در این مدل، همه‌ی شکارچیان می‌توانند در هدف تعیین‌شده‌ی شما به کشف آسیب‌پذیری بپردازند و هیچ محدودیتی در تعداد شکارچی و سطح آن‌ها وجود ندارد.

به عنوان مثال: ما مدل "عمومی" را انتخاب کرده‌ایم.

خصوصی

در مدل خصوصی، شما می‌توانید سطح شکارچیان مدنظر خود را انتخاب کنید. شکارچی‌ها در راورو براساس مقدار امتیاز کسب‌کرده "سطح‌بندی" شده‌اند.

هر شکارچی‌ با ثبت هر گزارش شکار موفق در راورو، بر اساس کیفیت گزارش، بین ۴ تا ۱۰ امتیاز کسب می‌کند. سپس بر اساس مجموع گزارش‌های ارائه‌شده و مجموع امتیاز کسب‌شده، در سطح یک، دو و یا سه قرار می‌گیرد. شکارچیانی که حداقل 20 امتیاز داشته باشند در سطح یک، شکارچیانی که حداقل 30 امتیاز داشته باشند در سطح دو و شکارچیانی که حداقل 60 امتیاز داشته باشند در سطح سه قرار می‌گیرند.

به عنوان مثال: ما انتخاب خود را به "مدل خصوصی" تغییر تغییر دادیم و شکارچیان "سطح 2" را انتخاب کردیم.

دعوت‌نامه‌ای

در این مدل، شما می‌توانید تنها شکارچیان معدود و انتخابی خود را از میان شکارچیان انتخاب کنید و به طور اختصاصی به کشف آسیب‌پذیری بر روی هدف خود دعوت نمایید. پس از کلیک روی گزینه‌ی "دعوت‌نامه‌ای" فیلد "انتخاب شکارچیان" ظاهر می‌شود. با کلیک برروی "انتخاب شکارچیان" می‌توانید شکارچیان مدنظر خود را از لیستی که ظاهر می‌شود و شامل همه‌ی شکارچیان راورو است، انتخاب کنید. البته شما می‌توانید پیش از انتخاب شکارچی موردنظر خود، لیست شکارچیان را در صفحه‌ی «شکارچی‌ها» مشاهده نمایید و هم‌چنین با مراجعه به پروفایل هر شکارچی، به تب میدان‌ها بروید و میدان‌هایی که شکارچی در آن‌ها آسیب‌پذیری کشف کرده است را مشاهده کنید. شاید شکارچی مورد نظر شما پیش از این روی میدان‌های مشابه کسب‌وکار شما نیز آسیب‌پذیری کشف کرده باشد.

به عنوان مثال: ما انتخاب خود را به مدل دعوت‌نامه‌ای تغییر دادیم و شکارچی "user3" را انتخاب کردیم.

زمان مجاز فعالیت شکارچیان بر روی این هدف

با کلیک بر روی این بخش از فرم، تقویمی ظاهر می‌شود که با استفاده از آن می‌توانید بازه‌ی زمانی مجاز مدنظر خود را از همان روز تعیین هدف جدید برای فعالیت شکارچیان بر روی این هدف، مشخص کنید. دقت داشته باشید که بازه‌ی زمانی‌ای که انتخاب می‌کنید خارج از بازه‌ی زمانی اشتراک باگ‌بانتی شما نباشد. در صورتی که روزهای آینده (نه روز فعلی) را به عنوان شروع محدوده‌ی زمانی تعیین کنید، هدف تعیین‌شده به صورت برنامه‌ریزی‌شده یا Scheduled ثبت می‌شود.

به عنوان مثال: ما بازه‌ی زمانی 1 شهریور تا 29 اسفند را انتخاب کرده‌ایم.

در مرحله‌ی بعد، باید بخش‌های مختلف مربوط به قوانین را تکمیل کنید تا شکارچیان دعوت‌شده از جزییات هدف شما آگاه شوند. این بخش‌ها عبارتند از:

• توضیحات عمومی

• محدوده‌ی مجاز

• محدوده‌ی غیرمجاز

• شرایط پرداخت

• آسیب‌پذیری‌های قابل‌قبول

• آسیب‌پذیری‌های غیرقابل‌قبول

در بلاگ‌پست «در فرآیند تعیین هدف، چگونه قسمت قوانین را تکمیل کنم؟ (راهنمای گام‌به‌گام)» می‌توانید درباره‌ی این بخش بیش‌تر بخوانید.

در نهایت نیز پس از پر کردن همه‌ی فیلدهای این فرم، «قوانین و مقررات راورو» را مطالعه کنید و در صورت موافقت، بر روی گزینه‌ی «قوانین و مقررات راورو را مطالعه کرده‌ام و قبول دارم» کلیک کنید و دکمه‌ی ثبت هدف را بزنید.

تبریک می‌گوییم، شما یک هدف بر روی پلت‌فرم باگ‌بانتی راورو ثبت کرده‌اید و هدف ثبت‌شده‌ی شما، در وضعیت «در انتظار تایید» قرار می‌گیرد و پس از بررسی توسط راورو، در صورت تایید، در صفحه‌ی «اهداف» برای شکارچیان به نمایش در می‌آید.

شما می‌توانید در میزکار میدان و سپس در بخش اهداف و قوانین، با کلیک بر روی سه نقطه‌ی انتهای هر ردیف که نمایش‌گر یک هدف است، ویرایش را انتخاب کنید و اطلاعات مربوط به هدف را عوض کنید.

دقت کنید که در صورتی که هدف مورد نظر را ویرایش کنید، هدف غیرفعال شده و وضعیت آن دوباره «در انتظار تایید» خواهد شد.

ما در این بلاگ‌پست، تلاش خود بر شفافیت هر چه بیش‌تر تعیین هدف توسط شما صاحب کسب‌وکار قرار دادیم و بخش‌ها و پارامترهای مختلفی که در تعیین یک هدف از میدان نیاز دارد را به طور مفصل مشخص کردیم. اگر سوالی در این‌باره داشتید، با ما در میان بگذارید.