سوالات متداول متخصصین

  • برای کشف باگ و کسب درآمد از کلاه سفید باید چه کار کنم؟

    • در سامانه کلاه سفید به عنوان متخصص ثبت کنید. ثبت نام در سامانه برای متخصصین کاملاً رایگان است.
    • یکی از مسابقات کشف باگ را انتخاب کنید و در خواست شرکت در آن را ارسال نمایید.
    • شرایط مسابقه را به دقت مطالعه نمایید.
    • با ارزیابی سامانه‌هایی که در محدوده هدف مسابقه هستند، باگی را کشف کنید. توجه کنید که این باگ باید جزو باگ‌های قابل قبول که مشمول جایزه هستند، باشد.
    • با توجه به شرایط مسابقه، گزارش کشف باگ را آماده کنید. این گزارش باید شامل جزئیات فنی باگ، شواهد باگ و مراحل تست باگ باشد.
    • گزارش را ارسال کنید و منتظر پاسخ متخصصین کلاه‌سفید یا رابط فنی سازمان باشید.

  • آیا کلاه سفید از متخصصین هزینه ای دریافت می کند؟

  • ثبت نام و شرکت متخصصین در مسابقات رایگان است. در صورت کشف باگ و تایید آن، 10% از مبلغ جایزه به عنوان کارمزد توسط کلاه سفید کسر خواهد شد و مابقی به حساب متخصص واریز می شود.


سوالات متداول سازمان ها

  • سایت کلاه سفید چیست؟

  • سایت کلاه سفید رابطی است بین سازمان‌ها و صاحبان وب‌سایت‌ها از یک طرف و متخصصین امنیتی و هکرهای کلاه‌سفید از سوی دیگر. در کلاه سفید، سازمان‌ها می‌توانند مسابقاتی برای کشف باگ و آسیب پذیری های امنیتی تعریف کنند و متخصصین و هکرهای کلاه سفید می توانند در این مسابقات شرکت و با گزارش باگ و آسیب پذیری های امنیتی جایزه دریافت کنند.


  • سایت کلاه سفید چه خدماتی به سازمانها ارائه میکند؟

  • برگزاری مسابقات کشف آسیب‌‌پذیری:

    سرویس اصلی سامانه کلاه سفید، برگزاری مسابقات کشف باگ است. در مسابقات کشف باگ نرم‌افزار، سامانه یا پورتال خود را در معرض ارزیابی طیف وسیعی از متخصصین قرار میدهید. در صورتی که مایل به برگزاری مسابقه کشف باگ برای سامانه خود هستید، کافی است بعنوان یک کاربر سازمانی در سایت ثبت نام کرده و مبلغی را بعنوان جوایز مسابقه در سایت ودیعه بگذارید. در صورتی که باگی در سامانه شما کشف شود، پس از ارزیابی و تایید آن توسط داوران، مبلغ آن باگ از ودیعه پرداختی کسر و به متخصص پرداخت خواهد شد. در صورتی که سامانه شما امن باشد، تنها مبلغ جزیی جهت برگزاری مسابقه خواهید پرداخت و ودیعه پرداختی شما قابل عودت یا استفاده برای مسابقات دیگر است.

    مشاوره و ارزیابی امنیتی اولیه:

    تیم فنی کلاه سفید آمادگی دارد تا در صورت درخواست شما، پیش از برگزاری مسابقه، مشاوره فنی لازم را ارائه دهد. همچنین در صورتی‌که پیش از برگزاری مسابقه عمومی، تمایل دارید یک ارزیابی امنیتی اولیه از سامانه خود داشته باشید، می‌توانید با کلاه سفید تماس بگیرید تا کارشناسان کلاه سفید ارزیابی اولیه را بر روی سامانه شما انجام دهند. هزینه این خدمات وابسته به حجم کار تعیین خواهد شد.


  • آیا چنین سامانه‌ای نمونه خارجی دارد؟

  • بله. در دنیا مسابقاتی به عنوان Bug Bounty برگزار می شود که شرکت های بزرگی مانند Google و Facebook متولی آن هستند. در این مسابقات به متخصصین و هکرهای کلاه سفید در ازای کشف باگ جوایزی پرداخت می‌شود.


  • کلاه سفید را چه کسانی اداره می کنند؟

  • کلاه سفید پروژه‌ای است که توسط جمعی از متخصصین فنی و دانشگاهی شکل گرفته و هدف آن‌ها کمک به سازمان‌ها برای کشف باگ‌ها و ایمن‌سازی سامانه‌های خود است.


  • برگزاری مسابقه کشف باگ در کلاه سفید برای یک مدیر سایت یا مدیر فنی یک سازمان چه مزیتی دارد؟

    • با استفاده از کلاه سفید مدیران سایت‌ها می‌توانند از باگ‌‌ها و مشکلات امنیتی سایت خود آگاه شوند.
    • پرداخت هزینه تنها در صورت کشف باگ صورت می گیرد.
    • متخصصین کلاه سفید باگ‌های گزارش شده را ارزیابی وصحت سنجی کرده و نتایج آن را به مدیران فنی سازمان‌ها ارائه می‌دهند.
    • سامانه هدف توسط طیف وسیعی از متخصصین امنیتی کلاه سفید مورد ارزیابی قرار می گیرد و شما دیگر محدود به یک یا چند تیم ارزیابی امنیتی مشخص نیستید.

  • مراحل کلی جهت برگزاری مسابقه کشف باگ به چه نحو است؟

    • ثبت نام سازمان یا متقاضی ارزیابی امنیتی در سامانه کلاه سفید
    • اعتبارسنجی سازمان توسط کلاه سفید
    • آماده کردن جزئیات و شرایط مسابقه توسط سازمان با همکاری کلاه سفید
    • عقد قرارداد و انجام امور اداری/حقوقی
    • پرداخت ودیعه برگزاری مسابقه و شروع مسابقه
    • گزارش باگ توسط متخصصین و ارزیابی آنها توسط کلاه سفید
    • پرداخت به متخصصین با تایید سازمان

  • هزینه‌های برگزاری مسابقه کشف باگ در کلاه سفید به چه نحو است؟

  • هزینه مشاوره و راه‌اندازی مسابقه 2 میلیون تومان می باشد که سازمان پیش از آغاز مسابقه پرداخت می کند. هزینه داوری و ارزش گذاری جوایز براساس اعتبار جوایز مسابقه در نظر گرفته می شود که بصورت ذیل است:

    اعتبار جوایز مسابقه هزینه داوری
    تا 20 میلیون تومان 20 درصد مبلغ کل جوایز
    بین 20 تا 50 میلیون تومان 17 درصد مبلغ کل جوایز
    بالای 50 میلیون تومان 15 درصد مبلغ کل جوایز

    از مبلغ اعتبار سازمان، پس از کشف و تأیید باگ، مبلغ جوایز به متخصصین پرداخت می‌شود.


  • آیا باگ‌های گزارش شده برای یک مسابقه، پیش از تایید کلاه‌سفید، برای سازمان نیز قابل مشاهده است؟

  • بله. کلیه گزارش‌های ارسالی توسط متخصصین و هکرهای کلاه سفید و همچنین مکاتبات صورت گرفته، در پنل کاربری سازمان که در اختیار رابط فنی سازمان است قابل مشاهده است.


  • رقم جایزه پرداختی به ازای هر باگ چقدر است؟

  • این رقم کاملاً وابسته به نوع باگ و حساسیت آن از نظر سازمان شماست. رقم پرداختی به ازای باگ‌های مختلف در هنگام تعریف مسابقه می‌تواند مشخص شود. متخصصین کلاه سفید در این زمینه به مدیران فنی سایتها مشورت‌های لازم را می دهند.