Advertisement
بلوجر

ما الذي يتوجب عليك فعله في حالة وجدت ثغرة او خطأ في منصة معينة ؟

Advertisement

 أول الأشياء أولا، لما قد تود التبليغ عنها أصلا ؟

أتذكر محادثة طريفة حدثت بيني و بين أحد الأشخاص الذي ربما وجد مشكلة في منصة فيسبوك تمكنه من الإطلاع على رسائل الأشخاص الآخرين دون الحاجة للولوج الى حساباتهم، تصنم صديقنا هذا بين خيارين : أن يقوم بالتبليغ عن الثغرة، او ان يقوم بإستغلالها لقراءة رسائل صديقته الوهمية الذي تجول الشكوك حولها من طرفه.
من وجهة نظر بسيطة، إن كان سيقوم بالتبليغ عن الثغرة ثم تقوم فيسبوك بشكره لذلك و تغلقها هو أسوأ سيناريو قد يحدث له في هذه الحالة، لذلك قرر إستغلالها للتجسس على صديقته لمدة لا تقل عن نصف يوم قبل ان تشرع فيسبوك في إغلاقها و تعليق إسم أحد الأشخاص الذين قامو بالتبليغ عنها في حائط المشاهير خاصتها او Hall Of Fame.

إن واجهت مستقبلا نفس السيناريو، فلا تتردد في التبليغ عن الثغرة، لماذا ؟ لأنه أي شبكة او منصة او نظام في هذا العالم ( خصوصا الشهيرة منها ) لديهم ما يسمى بنظام صيد الجوائز او Bounty Program يسمح لك هذا النظام بالتبليغ عن الثغرات الموجودة في المواقع و التطبيقات و البرامج و المنصات، ثم يتم تقييم الثغرة حسب خطورتها ( هل هي ثغرة أمنية، ثغرة تهديدية، مجرد Bug … ) ثم يتم تسريح جائزة مالية توافق التقييم المُعطى للثغرة.

 المنصات التي تدفع لك مقابل الثغرة :

ثانياً، إن كنت باحث أمني او شخص يحاول إيجاد ثغرة مهما كلف الأمر فتأكد أولا ان المنصة التي تقوم بفحصها تقبل نظام الدفع عبر الثغرات. تقنيا معظم الشركات تدفع مقابل البحث عن الثغرات و علاجها لكن يوجد شركات متخصصة لديها فريق و طاقم عمل خاص بها يتكفل بهذا الأمر و هنا فهي في غنى عن أي تنبيهات خارجية ( منها مثلا شركة أمازون ).
حتى نساعدك على معرفة أبرز المنصات و الشركات التي تقدم خدمات الـ Bounty Program او الدفع مقابل إيجاد الثغرات يوجد موقع Bugcrowd الذي يقدم لائحة مرتبة بالأبجدية للشركات التي تدفع لك مقابل نظام الثغرات و التي لا تفعل.
Advertisement

اضافة تعليق