- برای کشف باگ و کسب درآمد از کلاه سفید باید چه کار کنم؟
- در سامانه کلاه سفید به عنوان متخصص ثبت کنید. ثبت نام در سامانه برای متخصصین کاملاً رایگان است.
- یکی از مسابقات کشف باگ را انتخاب کنید و در خواست شرکت در آن را ارسال نمایید.
- شرایط مسابقه را به دقت مطالعه نمایید.
- با ارزیابی سامانههایی که در محدوده هدف مسابقه هستند، باگی را کشف کنید. توجه کنید که این باگ باید جزو باگهای قابل قبول که مشمول جایزه هستند، باشد.
- با توجه به شرایط مسابقه، گزارش کشف باگ را آماده کنید. این گزارش باید شامل جزئیات فنی باگ، شواهد باگ و مراحل تست باگ باشد.
- گزارش را ارسال کنید و منتظر پاسخ متخصصین کلاهسفید یا رابط فنی سازمان باشید.
- آیا کلاه سفید از متخصصین هزینه ای دریافت می کند؟
ثبت نام و شرکت متخصصین در مسابقات رایگان است. در صورت کشف باگ و تایید آن، 10% از مبلغ جایزه به عنوان کارمزد توسط کلاه سفید کسر خواهد شد و مابقی به حساب متخصص واریز می شود.
- سایت کلاه سفید چیست؟
- سایت کلاه سفید چه خدماتی به سازمانها ارائه میکند؟
- آیا چنین سامانهای نمونه خارجی دارد؟
- کلاه سفید را چه کسانی اداره می کنند؟
- برگزاری مسابقه کشف باگ در کلاه سفید برای یک مدیر سایت یا مدیر فنی یک سازمان چه مزیتی دارد؟
- با استفاده از کلاه سفید مدیران سایتها میتوانند از باگها و مشکلات امنیتی سایت خود آگاه شوند.
- پرداخت هزینه تنها در صورت کشف باگ صورت می گیرد.
- متخصصین کلاه سفید باگهای گزارش شده را ارزیابی وصحت سنجی کرده و نتایج آن را به مدیران فنی سازمانها ارائه میدهند.
- سامانه هدف توسط طیف وسیعی از متخصصین امنیتی کلاه سفید مورد ارزیابی قرار می گیرد و شما دیگر محدود به یک یا چند تیم ارزیابی امنیتی مشخص نیستید.
- مراحل کلی جهت برگزاری مسابقه کشف باگ به چه نحو است؟
- ثبت نام سازمان یا متقاضی ارزیابی امنیتی در سامانه کلاه سفید
- اعتبارسنجی سازمان توسط کلاه سفید
- آماده کردن جزئیات و شرایط مسابقه توسط سازمان با همکاری کلاه سفید
- عقد قرارداد و انجام امور اداری/حقوقی
- پرداخت ودیعه برگزاری مسابقه و شروع مسابقه
- گزارش باگ توسط متخصصین و ارزیابی آنها توسط کلاه سفید
- پرداخت به متخصصین با تایید سازمان
- هزینههای برگزاری مسابقه کشف باگ در کلاه سفید به چه نحو است؟
- آیا باگهای گزارش شده برای یک مسابقه، پیش از تایید کلاهسفید، برای سازمان نیز قابل مشاهده است؟
- رقم جایزه پرداختی به ازای هر باگ چقدر است؟
سایت کلاه سفید رابطی است بین سازمانها و صاحبان وبسایتها از یک طرف و متخصصین امنیتی و هکرهای کلاهسفید از سوی دیگر. در کلاه سفید، سازمانها میتوانند مسابقاتی برای کشف باگ و آسیب پذیری های امنیتی تعریف کنند و متخصصین و هکرهای کلاه سفید می توانند در این مسابقات شرکت و با گزارش باگ و آسیب پذیری های امنیتی جایزه دریافت کنند.
برگزاری مسابقات کشف آسیبپذیری:
سرویس اصلی سامانه کلاه سفید، برگزاری مسابقات کشف باگ است. در مسابقات کشف باگ نرمافزار، سامانه یا پورتال خود را در معرض ارزیابی طیف وسیعی از متخصصین قرار میدهید. در صورتی که مایل به برگزاری مسابقه کشف باگ برای سامانه خود هستید، کافی است بعنوان یک کاربر سازمانی در سایت ثبت نام کرده و مبلغی را بعنوان جوایز مسابقه در سایت ودیعه بگذارید. در صورتی که باگی در سامانه شما کشف شود، پس از ارزیابی و تایید آن توسط داوران، مبلغ آن باگ از ودیعه پرداختی کسر و به متخصص پرداخت خواهد شد. در صورتی که سامانه شما امن باشد، تنها مبلغ جزیی جهت برگزاری مسابقه خواهید پرداخت و ودیعه پرداختی شما قابل عودت یا استفاده برای مسابقات دیگر است.
مشاوره و ارزیابی امنیتی اولیه:
تیم فنی کلاه سفید آمادگی دارد تا در صورت درخواست شما، پیش از برگزاری مسابقه، مشاوره فنی لازم را ارائه دهد. همچنین در صورتیکه پیش از برگزاری مسابقه عمومی، تمایل دارید یک ارزیابی امنیتی اولیه از سامانه خود داشته باشید، میتوانید با کلاه سفید تماس بگیرید تا کارشناسان کلاه سفید ارزیابی اولیه را بر روی سامانه شما انجام دهند. هزینه این خدمات وابسته به حجم کار تعیین خواهد شد.
بله. در دنیا مسابقاتی به عنوان Bug Bounty برگزار می شود که شرکت های بزرگی مانند Google و Facebook متولی آن هستند. در این مسابقات به متخصصین و هکرهای کلاه سفید در ازای کشف باگ جوایزی پرداخت میشود.
کلاه سفید پروژهای است که توسط جمعی از متخصصین فنی و دانشگاهی شکل گرفته و هدف آنها کمک به سازمانها برای کشف باگها و ایمنسازی سامانههای خود است.
هزینه مشاوره و راهاندازی مسابقه 2 میلیون تومان می باشد که سازمان پیش از آغاز مسابقه پرداخت می کند. هزینه داوری و ارزش گذاری جوایز براساس اعتبار جوایز مسابقه در نظر گرفته می شود که بصورت ذیل است:
اعتبار جوایز مسابقه | هزینه داوری |
---|---|
تا 20 میلیون تومان | 20 درصد مبلغ کل جوایز |
بین 20 تا 50 میلیون تومان | 17 درصد مبلغ کل جوایز |
بالای 50 میلیون تومان | 15 درصد مبلغ کل جوایز |
از مبلغ اعتبار سازمان، پس از کشف و تأیید باگ، مبلغ جوایز به متخصصین پرداخت میشود.
بله. کلیه گزارشهای ارسالی توسط متخصصین و هکرهای کلاه سفید و همچنین مکاتبات صورت گرفته، در پنل کاربری سازمان که در اختیار رابط فنی سازمان است قابل مشاهده است.
این رقم کاملاً وابسته به نوع باگ و حساسیت آن از نظر سازمان شماست. رقم پرداختی به ازای باگهای مختلف در هنگام تعریف مسابقه میتواند مشخص شود. متخصصین کلاه سفید در این زمینه به مدیران فنی سایتها مشورتهای لازم را می دهند.