This is beta version of Ravro English website. Some dynamic texts are in Persian. If you need support, contact with support@ravro.ir.
باگ بانتی چه چیزی نیست؟
باگ بانتی، تست نفوذ و یا مسابقه نیست.
شکارچی کیست؟
در راورو متخصصان امنیت و هکرهای کلاه سفید و حتی علاقمندان به حوزهی امنیت سایبری با نام شکارچی شناخته میشوند.
میدان کیست؟
شرکتها و یا سازمانهای طرف قرارداد راورو که برنامهها و یا سرویسهای خود را جهت ارزیابی و دریافت گزارش آسیبپذیری تعریف کردهاند، میدان نامیده میشوند.
باگ بانتی چیست؟
فرآیند کشف و ارایه گزارش آسیبپذیری (حفره امنیتی/باگ) از نرم افزار، برنامههای کاربردی، اپلیکیشنها و یا وب سایتها و به ازای آن دریافت پاداش از صاحب آن را باگ بانتی (BugBounty) میگویند.
هدف چیست؟
به مجموعه قوانین کسب وکارها هدف میگوییم،
که این قوانین شامل بایدها، نبایدها، شرایط پذیرش و قیمت گذاری گزارشهای آسیبپذیری است.
گزارش آسیبپذیری را چگونه ثبت کنم؟
پس از وارد شدن به حساب کاربری خود به عنوان شکارچی میتوانید در صفحهی اهداف (تنها اهدافی که مجاز به فعالیت در آنها هستید نمایش داده میشود) یکی را انتخاب کنید و با پر کردن فرم ثبت گزارش، اقدام به ثبت گزارش کنید.
در صفحهی میدان در مقابل نام هدف عبارت دعوتنامه به چه معنی میباشد؟
برخی از اهداف بنا به درخواست میدان صرفا توسط شکارچیان خاص قابل مشاهده و فعالیت است. این دسته از اهداف با عنوان دعوتنامه/خصوصی از سایر، اهداف متمایز شده است.
گزارشها چگونه ارزش گذاری میشود؟
به ازای هر هدف جدول قیمتگذاری آسیبپذیریها در قوانین تعریف شده است.
در صورت صحیح بودن گزارش، تیم داوری بر مبنای شدت، تاثیر و همچنین دستهبندی آسیبپذیری منطبق با قوانین مبلغ پیشنهادی را به میدان اعلام میکند. میدان بعد از بررسی مجدد گزارش، نظرش را در خصوص مبلغ پیشنهادی تیم داوری اعلام میکند.
در صورت اعلام نظر متفاوت توسط میدان، میدان باید دلایل و مستندات مربوط به اختلاف قیمت را به شکارچی و راورو اعلام کند. بعد از بررسی نهایی نتیجه نهایی به طرفین اعلام خواهد شد.
تعرفه عضویت در پلتفرم باگبانتی برای کسبوکارها چه میزان است؟
تعرفه عضویت بر اساس انتخاب یکی از طرحهای (پایه/رشد/سازمانی) محاسبه میشود.
برای مشاهده آخرین قیمت تعرفه عضویت در پلتفرم به آدرس https://ravro.landin.ir/ مراجعه فرمایید.
آیا امکان استفاده از خدمات پلتفرم به صورت رایگان وجود دارد؟
بله، امکان عضویت و استفاده از پلتفرم راورو به صورت رایگان در طرح پایه برای صاحبان کسبوکار در نظر گرفته شده است.
لازم به ذکر است در طرح پایه،به میزان موجودی حساب، امکان دریافت گزارشهای جدید را خواهید داشت.
هزینه نهایی تمام شده خدمت باگبانتی چقدر خواهد بود؟
بسته به طرحی که انتخاب کردهاید هزینهی تعرفه عضویت را پرداخت میکنید. حساب خود را به مبلغ دلخواه شارژ میکنید و به ازای هر گزارش تایید شده، مبلغ گزارش به همراه کارمزد پلتفرم از موجودی حساب شما کسر خواهد شد.
چطور به عنوان شکارچی فعالیت کنم؟
هر شخص تنها با داشتن آدرس ایمیل معتبر و پس از تکمیل ثبت نام می تواند به عنوان شکارچی فعالیت خود را در سامانه آغاز کند.
آیا میتوان هر باگ یا حفرهی امنیتی از هر سامانه یا شرکتی را در راورو ثبت کرد؟
خیر، پلتفرم باگ بانتی راورو صرفا نسبت به دریافت گزارش مربوط به آسیبپذیریهای اهداف میدانهای طرفقرارداد خود تعهد دارد و هیچگونه گزارشی از کسبوکارهای خارج از لیست میدانهای خود و یا مغایر با اهداف و قوانین تعیینشدهی میدانها را به رسمیت نمیشناسد.
آیا به عنوان یک شکارچی آسیبپذیری برای حضور در راورو باید هزینه ای پرداخت کنم؟
خیر! با ثبت نام بصورت کاملا رایگان میتوانید به عنوان یک شکارچی در سامانه باگبانتی راورو فعالیت و از امکانات این پلتفرم استفاده نمایید.
آیا برای استفاده از خدمات راورو به عنوان شکارچی هزینهای باید پرداخت کنیم؟
خیر، استفاده از امکانات سامانه راورو برای شکارچیان کاملا رایگان میباشد.
برای فعالیت در پلتفرم چه مدارکی مورد نیاز است؟
ایجاد حساب کاربری در پلتفرم به نشانهی موافقت و پذیرش قوانین پلتفرم است. و شکارچیانی که حداقل یک گزارش تایید شده دارند، برای دریافت پادادش گزارش خود باید اقدام به تکمیل شماره حساب به همراه تصویر کارت ملی/شناسنامه بکنند.
چرا برخی از میدانها گزارشها رو دیر بررسی میکنند؟
اکثر میدانها بصورت چابک و در مدت زمان اعلامی تعهداتشان را انجام میدهند.
در خصوص گزارشهایی که مهلت قانونی بررسی آنها گذشته است ما به عنوان پلتفرم تمامی پیگیری لازم برای تعیین تکلیف وضعیت گزارش انجام میدهیم. اما طولانی شدن این زمان، بسیار به فرآیندها و فرهنگ سازمانی میدان برمیگردد.
ما به عنوان پلتفرم محدودیتهایی برای میدانهایی که به تعهدات خود عمل نمیکنند در نظر گرفتهایم، اما متاسفانه مشابه هر موضوع جدید، این بخش هم نیاز به زمان و فرهنگ سازی دارد.
کاربرد مدالها و نشانها چیست؟
شکارچیان آسیبپذیری و متخصصان امنیت بر اساس سوابق فعالیت در پلتفرم نشان هایی دریافت میکنند که تصویر این نشانها در نمایهی حساب کاربری هر شکارچی قابل مشاهده است. این مدالها انتهای هر فصل محاسبه میشوند و به شکارچیان منتخب اهدا میشود. یکی از شرایط انتخاب شکارچیان برای مشارکت در اهداف خصوصی و دعوتنامه ای بر اساس مدالهای دریافت شده است.
چطور بانتی بیشتری دریافت کنم؟
اکثر متخصصها زمان زیادی رو برای کشف آسیب پذیری صرف میکنند اما در هنگام گزارش نویسی با عجله و ناقص گزارش را ارسال میکنند و متاسفانه نتیجهی خوبی نمیگیرند.
یک گزارش خوب از: تشریح کامل سناریو، پیادهسازی دقیق، توضیح شدت آسیبپذیری و ارایه راهحل به همراه ارسال ویدئو از نحوهی پیادهسازی تشکیل میشه، گزارشی که این موارد رو رعایت کرده باشه شانس بیشتری در دریافت بانتی داره.
چطور میتوانم در اهداف دعوتنامهای مشارکت کنم؟
در صورتی که سابقهی فعالیت خوبی (امتیاز بالا و گزارشهای با درجه حساسیت بالا) داشته باشید، به پیشنهاد تیم راهبری شکارچیان امکان دعوت شما در اهداف دعوتنامهای فراهم میشود.
از طرفی با تکمیل فرآیندهای تایید هویت و ارسال رزومهی کاری به انتخاب تیم راهبری شکارچیان امکان دعوت شما در اهداف دعوتنامهای میسر میشود.
صاحب شرکت/کسبوکار هستیم چطور میتوانیم از خدمات راورو استفاده کنیم؟
در صورتی که شرکت و یا صاحب کسبوکار هستید میتوانید در ساعت ۹ الی ۱۷ روزهای کاری با پشتیبانی راورو تماس بگیرید.
و یا در بخش ثبت نام به عنوان میدان اطلاعات تماس خود را برای ما ارسال کنید، همکاران ما با شما تماس خواهند گرفت و شما را راهنمایی خواهند کرد.
آیا حضور در باگبانتی ممکنه در سرویس دهی کسبوکارم اختلال ایجاد کنه؟
خیر، رسالت ما کشف آسیبپذیریها بدون آسیب دیدن کسبوکار شماست. ما در راورو قوانین سختگیرانهای برای این موضوع داریم و تمام شکارچیان ملزم به رعایت کردن آن هستند.
متخصصان امنیت بدون هماهنگی و کسباجازه از شما اجازهی Dump، دسترسی به اطلاعات کاربران و یا پیاده سازی حملات منع سرویس رو ندارن و تنها باید شواهد اثبات رو ارسال کنند.
آیا باگبانتی میتونه ۱۰۰ درصد کسبوکارم رو امن کنه؟
خیر، ما همچین ادعای نمیکنیم.
امنیت یک کالا یا یک خدمت نیست، که با یکبار تهیهی اون بتونید برای همیشه امن باشید. امنیت یک زیرساخته و باید در هر شرایطی و در تمامی بخشهای کسبوکار به صورت مستمر ارزیابی بشه.
ما در راورو بستری ایجاد کرده ایم که کسبوکارها با کمترین هزینه بتوانند به صورت مستمر از تخصص هکرهای کلاه سفید و شکارچیان آسیبپذیری استفاده کنند و گامهایی به سمت امنتر شدند بردارند.
کسبوکارم تا حالا هک نشده، اگه بیام تو پلتفرم میرم تو تیررس هکرها چرا باید همچین کاری کنم؟
این سوالیه که اکثر صاحبان کسبوکار در برخورد اول از ما میپرسند، در پاسخ باید خدمتون بگیم که: وقتی هک میشین، شما آخرین نفر هستید که از وجود آسیبپذیری اطلاع پیدا میکنید. بر اساس گزارش mitre در اکثر حملات سایبری حداقل ۶ ماه قبل از یک رخداد، دسترسی و نفوذ اتفاق افتاده و دیفیس یا انتشار دادهها صرفا زمانی اتفاق میافته که قربانی چیز جدیدی برای ارایه به نفوذگر نداشته. حال تصمیم با شماست، اینکه پیش قدم باشید تا با کمک متخصصان امنیت و جلوی رخداد را بگیرید یا منتظر بمانید پرهزینهتر نفوذگر شما رو از وجود رخنه مطلع کنه ...
چرا حساب کاربری تعدادی از میدانها محو شده هستند؟
در راورو این امکان برای صاحبان کسبوکارها فراهم شده است که به صورت ویژه و دعوتنامهای در باگبانتی شرکتکنند.
در این حالت حساب کاربری شما تنها به متخصصانی که برایشان دعوتنامه ارسال کردهاید نمایش داده میشود. تصویر و اطلاعات حساب کاربری شما به صورت محو شده برای سایر کاربران در پلتفرم نمایش داده میشود.
تفاوت بین تست نفوذ و باگبانتی چیه؟
در خدمت تست نفوذ در بهترین حالت تیم ۳ نفره از متخصصان به ارزیابی چک لیستی از سناریوهای امنیتی بر روی سامانهی شما اقدام میکنند. از طرفی فرآیند تست نفوذ سنتی حداقل یک ماه زمان میبره و در صورتی که سامانه شما بروز رسانی بشه نیازه تا سناریوهای جدید مجدد ارزیابی بشه.
اما در باگبانتی شما همواره و نامحدود در معرض ارزیابی توسط بیش از ۲۷۰ متخصص امنیت با مهارتهای متفاوت هستید.
باگبانتی و تست نفوذ جایگزین همدیگر نیستند و به عنوان ۲ خدمت مجزا تکمیل کنندهی همدیگر هستند. اگر تا کنون هیچ اقدامی برای امنیت در مجموعه خود انجام ندادهاید به شما پیشنهاد میکنیم تا ابتدا مورد ارزیابی تست نفوذ قرار بگیرید بعد وارد باگبانتی شوید، این روند به شما کمک میکند تا در هزینههای خود صرفه جویی کنید.
چه محصولاتی میتوانند در باگبانتی شرکت کنند؟
مالکان محصولهای زیر میتوانند برای محصول خود در پلتفرم باگبانتی هدف تعریف کنند. وبسایتها - APIها - برنامههای موبایلی اندروید - برنامههای موبایلی IOS - برنامههای سیستمی (به شرط قرار گرفتن نسخهی قابل دسترس برای متخصصان) - سختافزارها
چرا باید برای شرکت در باگبانتی حتما مالک محصول باشیم؟
چون اثبات وجود آسیبپذیری و همچنین امکان برطرف کردن آسیبپذیری تنها برای مالک محصول امکان پذیر است. تنها مالکان محصول مجاز هستند تا محصول خود را در پلتفرم باگبانتی در معرض ارزیابی قرار دهند.
برای مثال اگر از CMS آماده مثل ورودپرس استفاده میکنید شما مجاز به ارایه ورودپرس در باگبانتی نیستید.