در اولین سال فعالیت باگ بانتی چقدر می توانید درآمد داشته باشید؟

در اولین سال فعالیت باگ بانتی چقدر می توانید درآمد داشته باشید؟

بیش از یک سال قبل، من شغل خودم رو به عنوان پنتستر رها کردم تا به باگ بانتی و تولید محتوا بپردازم. این در حالی بود که پیش از آن تنها موفق به ثبت یک بانتی به نام خودم شده بودم، بنابراین این تغییر شغل به هیچ عنوان کار امن و عاقلانه‌‏ای به نظر نمی‏رسید.

اما یک لحظه با خودم فکر کردم از آنجاییکه که هر هفته هنگام انجام پنتست موفق به پیدا کردن باگ میشوم، بنابراین می‏توانم از خودم انتظار یافتن باگ های زیادی را هنگام انجام باگ بانتی هم داشته باشم. تصور من این بود که بعد از یک سال، چندین بانتی با مبالغ 5 رقمی و حتی شاید مجموعاً 6 رقمی به اسم خودم ثبت می‏کنم، حال آن که متاسفانه اوضاع به این شکل پیش نرفت…

در این مقاله می‏خواهم تعداد دقیق گزارش‌‏های ثبت شده و مبالغ دریافتی خودم را به شما نشان دهم.

چرا؟

چرا شفافیت انقدر برای من مهمه؟

به این خاطر که می‏دانم بیشتر شما وقتی اولین بار در مورد باگ‌‏بانتی می‏شنوید مثل من فکر می‏کنید. دیدن افراد زیادی که در توییتر در این خصوص رجزخوانی می‌کنند (در حالی که در بیشتر مواقع حتی امکان راستی آزمایی ادعاهای این افراد هم وجود ندارد)، یا دیدن رایت‌‏آپ‏‌های زیادی که خیلی ساده و نه چندان خارق‌‏العاده به نظر می‏رسند ولی پاداش های چند هزار دلاری برنده شده‌‏اند،می‏تواند باعث شود تا از خودتان انتظارات غیرواقعی داشته باشید. و من می‏خواهم تا آنجائیکه که می‏توانم در مورد وضعیت خودم شفاف باشم تا از این طریق نهایت سعیم را برای کمک به شما انجام دهم.

من کارم را با به چالش کشیدن خودم برای سپری کردن 100 ساعت در یک برنامه عمومی Hackerone  شروع کردم و Stripe را به این منظور انتخاب کردم. من هیچ کاری در راستای ریکان انجام ندادم و روشی که در پیش گرفتم این بود که درک کنم هر بخش به چه شکلی کار می‏کند و این روش باعث شد تا من دو XSS، یک SSRF، یک دور زدن احراز هویت پیدا کنم  و حتی امکان خرید «اشتراک پرمیوم BBRE» خودم به قیمتی ارزان‏تر راه پیدا کردم.

 

در اولین سال فعالیت باگ بانتی چقدر می توانید درآمد داشته باشید؟

من موفق به کسب 7,200 دلار شدم که شروع خوبی محسوب میشد. درست است که این مبلغی نبود که زندگیم را زیر و رو کند، اما راستش را خواهید، من تا قبل آن هرگز فکر نمی‏کردم که روش من اصلاً جواب بدهد.

مخصوصا این که برنامه‌ ه‏ایی که روی آنها کار میکردم یک برنامه عمومی روی یکی از محبوب‏ترین پلتفرم‌‏های باگ‏بانتی محسوب میشد. این مسئله به من نشان داد که می‏توانم برای امرار معاشم باگ‌‏بانتی انجام دهم.

به خصوص این که این تازه گام اول برای من محسوب میشد و انتظار داشتم در پروژه‌‏های بعدی اوضاع از این هم بهتر شود. اما درست از همان جا، شرایط بدتر شد. به عنوان چالش بعدی برنامه باگ بانتی Elastic را انتخاب کردم و در نظر داشتم روی این مورد هم 100 ساعت صرف کنم. هر چند که در این مورد تنها توانستم یک باگ 584 دلاری پیدا کنم. 100 ساعت برای من یعنی این که یک ماه کامل این کار را انجام دادم و در آخر مبلغی که در ازای آن گرفتم، کمتر از مقداری بود که میتوانستم در صورت انجام هر شغلی با کمترین حقوق به دست بیارم.

من علناً از این که خودم را ملزم به صرف آن مقدار زمان روی برنامه مربوطه کردم پشیمان شدم؛ چرا که واقعاً لذتی از آن  نبردم و منجر به تعویق خیلی زیادی شد. اما از آن جایی که تمام کردن کارها همیشه برای من بسیار مهم بوده، 100 ساعت کار روی این برنامه را هم تکمیل کردم. این چالش باعث شد روش خودم را در خصوص انجام ندادن ریکان زیر سوال ببرم. علاوه بر این، من شروع به کار روی تعدادی برنامه خصوصی کردم که هیچ اطلاعی راجع به آنها نداشتم و اهمیتی هم برایشان قائل نبودم. علاوه بر این، با این که علاقه‌‏ای به انجام ریکان نداشتم ولی شروع به انجام ریکان هم کردم، که بیشتر مواقع، هیچ کدام از این روش ها هم جواب نداد.

در آن دوره، فقط یک برنامه خصوصی بود که من به طور روزانه روی آن کار می‏کردم، برایم اهمیت داشت و واقعاً از انجام کار روی این برنامه لذت می‏بردم.طی 37 ساعت، چهار باگ و 2,500 دلار پاداش به دست آوردم و مهم تر از همه، زمان خیلی خیلی خوبی را سپری کردم. اما بعدش سعی کردم برنامه‌‏ای پیدا کنم که واقعاً از آن لذت ببرم. حتی نمی‏خواهم تعداد برنامه‌‏های زیادی که برای انتخاب وجود داشتند را بشمارم. یهو چشم بازم کردم و متوجه شدم که یک سال گذشت.

من فکر کردم بعد از یک سال، اعتماد به نفسم بیشتر خواهد شد و باگ‌‏های بیشتری پیدا خواهم کرد. صادقانه بگویم، بازگشت سرمایه بزرگترین مشکل من نبود. من متوجه شدم هر برنامه‌‏ای که زمان بیشتری را به آن اختصاص می دهم، باگ‏‌های بیشتری ازش پیدا می‏کنم.

البته منظورم هر برنامه‏ای به جز Elastic است. مدت زمانی که روی برنامه‏‌ها صرف می‏کردم، بزرگترین مشکل من محسوب میشد. اغلب ، من ساعت‏‌هایی را که سعی می‏کردم چالش را تکمیل کنم، به تعویق می‏انداختم، یا نمی‏توانستم تارگتی پیدا کنم که از انجام روزانه‌‏اش لذت ببرم و انگیزه بگیرم. بخشی از این مسئله منصفانه است؛ چرا که من یک باگ بانتی هانتر تمام وقت نیستم.

بخش دیگر کسب و کار من یعنی ساخت ویدیو، نوشتن خبرنامه و همچنین BBRE پرمیوم هم زمان زیادی از من می‌گیرد. آنجا مردم به من پول می دادند تا امنیت وب یاد بگیرند، بنابراین این یک مساله کاملا متفاوت است.

در اولین سال مجبور بودم خودم را با چیزهایی مثل بازاریابی، طراحی وب سایت، دریافت پرداخت‏‌ها و خیلی موارد دیگری که معمولاً به چشم شما نخواهد آمد، آشنا کنم.

برنامه من این بود که تقریباً 50 درصد زمانم را روی باگ بانتی بگذارم و 50 درصد بقیه را به سایر کارها اختصاص دهم، اما در واقعیت، توازن بیشتر به سمت سایر کارها سنگینی می‏کرد.

در اولین سال فعالیت باگ بانتی چقدر می توانید درآمد داشته باشید؟

ولی راستش را بخواهید، کمبود زمان در اینجا مسئله نبود. من زمان داشتم. فقط از این زمان برای کار کردن استفاده نمی‏کردم.

من یه رابطه عشق و نفرتی با رشد شخصی دارم، اما خودم را یک آدم منظم می‏دانم. با خودم فکر کردم حتی بدون داشتن یک رئیس، مشکلی با مدیریت زمان نخواهم داشت. اما حقیقت این بود که بعد از گذشت ماه‌‏ها، نظم و انضباط من کمتر شد و رک بگویم، تنبل شدم.

به طور کلی رفته رفته زمان کمتری رو به کار کردن اختصاص دادم. اشتباه نکنید، این یکی از هدف‏های من موقع ترک کردن شغلم بود.

من از کار پاره وقت و مطالعه روزانه و کار تمام وقت و ساعت‌ها تولید محتوا کردن خسته شده بودم و بعد از این که کارم را ترک کردم، نکات مثبت زیادی در زندگیم به وجود اومد.

بالاخره برای ملاقات دوستانم و سفر کردن وقت داشتم، می‏توانستم زمان بیشتری به سرگرمی و ورزش اختصاص بدم. امسال در خودم شور و اشتیاق جدیدی نسبت به ورزش صخره نوردی احساس کردم و واقعاً عاشقش شدم. و همچنین به بهترین حالت زندگیم دست پیدا کردم.

همه این چیزها عالی هستند و من خیلی سعادت‏مندم که می‏توانم چنین زندگی‎‌ای داشته باشم، اما درحقیقت احساس می‏کنم در دراز مدت، این کار کردن هست که به من حس رضایت میدهد. هنوز هم کارکردن چیزیست که من برای خوشبخت بودن به آن نیاز دارم. اما این تابستان من به پایین‌‏ترین سطح انگیزه رسیدم. حتی برخی مسائل شخصی هم در آن زمان نتوانستند به من کمک کنند.

من متوجه شدم که اگرتابه حال پیشرفتی نداشته ام ، باید چیزی را  دراین میان تغییر دهم. حتی شاید لازم باشد دوباره استخدام شوم. بنابراین، مسائل باید تغییر پیدا می‏کرد. موج اولیه انگیزه من برای تغییر از دنیای بیرون به وجود آمد.

 

هنگامی که در اوایل آگوست در بوداپست بودم، به دیوید شوتز (David Shütz) پیام دادم. اولین مهمان پادکستم، فردی بود که صاحب تعدادی از باگ‏‌هایی بود که در کانالم پوشش داده بودم. او اهل مجارستان هست، از این رو فکر کردم ملاقات با او برای من خیلی خوب خواهد بود.

در اولین سال فعالیت باگ بانتی چقدر می توانید درآمد داشته باشید؟

قرار شد من دو روز بیشتر در بوداپست بمانم و ما یک Airbnb اجاره کردیم تا با هم کارهایی را انجام دهیم. ما تصمیم گرفتیم روی امنیت فیس‏بوک کار کنیم و این اولین همکاری قراردادی من محسوب میشد. اما صادقانه بگویم ، اصلا باورم نمیشد که روزی بتوانم  از فیس بوک باگ پیدا کنیم.

از این که می‏توانستم با دیوید در زمینه امنیت سایبری کار کنم، زمان بگذرانم و از او به راحتی چیزهای زیادی یاد بگیرم هنوز هم خوشحال بودم.

اما در کمال تعجب، ما باگی پیدا کردیم که بعدها فیس بوک در ازای آن 5,000 دلار به ما پاداش پرداخت کرد.

من از بابت این قضیه بسیار خوشحال بودم ، به خصوص برای فیس‏بوک چرا که یکی از شرکت‌‏هایی است که هرکسی دوست دارد در نقطه‏‌ای از مسیر کاریش آن را بتواند هک کند.

من با انگیزه زیاد به خانه برگشتم و شروع به ایجاد یک سری تغییرات در زندگیم کردم تا بهره‌‏وری و کارایی‌ام را برگردانم.

با چیزهای ساده‌‏ای مثل تمیز نگه داشتن آپارتمانم شروع کردم. فکر می‏کنم این یک روش بسیار خوب برای ایجاد انضباط باشد. علاوه بر این، تصمیم گرفتم به باگ بانتی اولویت بالاتری نسبت به تولید محتوا اختصاص دهم، که البته این مسئله منجر به تولید ویدیوهای کمتری شد.

به احتمال زیاد من هیچ‌وقت نخواهم توانست که نقطه تعادلم را پیدا کنم،  ولی همیشه دنبال برقراری این تعادل خواهم بود.

علاوه بر این، من بعضی از اپلیکیشن ها رو از گوشیم حذف کردم تا زمان استفاده از گوشی را هم کاهش دهم و شروع به بیدار شدن در ساعت 5:30 صبح کردم. من عاشق کار کردن هنگام صبح هستم و همین مسئله واقعا کمک کننده بود.

از همه مهم‏تر، هک کردن به روش سایر افراد را کنار گذاشتم و شروع به تمرکز روی چیزی کردم که واقعاً از آن لذت میبردم و آن چیزی نبود جز عمیق شدن روی اپلیکیشن، ترجیحاً یک تارگت متن باز. من قصد داشتم امنیت چیزی را بررسی کنم که خودم از آن  استفاده می‏کردم و برایم اهمیت داشت. من برنامه Todoist رو انتخاب کردم. این همان اپلیکیشنی است که من برای چک لیست‏ها از آن استفاده می‏کنم؛ هر چند که برنامه باگ بانتی خود-میزبان آن‌ها نهایتا 1000 دلار پاداش پرداخت می‌کند.

پس از صرف تنها دو ساعت روی این برنامه، از آن یک آسیب ‏پذیری Oauth account takeover پیدا کردم که انگیزه‌‏من برای ادامه دادن را بیشتر کرد. ترتیب اتفاق افتادن جریان های بسیار جالب بود، من دو هفته قبل از این اتفاق، ویدیویی در رابطه با یک آسیب‏پذیری Oauth account takeover ساخته بودم و یک هفته قبل از آن نیز در BBRE پرمیوم مقاله‌‏ای در رابطه با آن منتشر کرده بودم و حالا خودم یکی از این آسیب‏پذیری‌‏ها را پیدا کرده بودم.

بعدها متوجه شدم که تجربه کار با این برنامه خود-میزبان واقعاً وحشتناک بود. ماه‏ها طول کشید تا این باگ رو پردازش کنند و سپس، می‏خواستند به عنوان یک آسیب‌‏پذیری سطح متوسط مقدار پاداش آن را تعیین کنند، چرا که یک CSRF بود.

من هنوز هم درحال بحث کردن روی این مساله هستم.

درآن زمان از این موضوع مطلع نبودم و صرفا به خاطر پیدا کردن چنین آسیب‌‏پذیری حساسی، خیلی انگیزه پیدا کرده بودم. سپس من هانت روی Stripe را ادامه دادم و یک باگ 2,000 دلاری پیدا کردم. رایت آپ این باگ را در کانالم منتشر کرد‌ه‌‏ام.

سپس سراغ چیزی رفتم که بیشتر از همه عاشقش بودم – یعنی تارگت متن باز.

من برنامه Discourse رو انتخاب کردم و در عرض چند روز، 3 باگ پیدا کردم. یکی از این باگ‌‏ها با گزارشی متعلق به یک سال قبل دوپلیکیت خورد، دیگری هنوز در حال تریاژ شدن است، اما یکی ازآن‌ها اکنون رفع شده و من 1,024 دلار بابت این باگ دریافت کردم.

آیا من چیز بخصوصی را در روشم تغییر دادم؟

نه، این کار را انجام ندادم.

من هنوز هم فقط می‏خواستم با استفاده از Burp، با خواندن کد و فکر کردن در مورد خرابکاریهای‏هایی که اینجا و آنجای برنامه می‏توانستم انجام دهم، عملکرد اپلیکیشن رو درک کنم.

آن باگ‌ها نتیجۀ یک ابزار جادویی یا یک حقه جادویی نبودند. بلکه نتیجۀ یادگیری، تکامل، اشتباه کردن و تجربه کسب کردن مستمر من بود.

اگر بخواهیم به روش برگردیم، فکر می‏کنم که این مورد باید یکی از مهم‏ترین دستاوردهای مشاهده این مقاله باشد:

خودتان رو مجبور به انجام کاری که دوست ندارید و استفاده از روش‌‏های سایر افراد نکنید. باگ بانتی تست نفوذ نیست، دلیلی ندارد که همه کارهای مربوط به تامین امنیت سیستم یا سازمان را انجام دهید.

اینجا از آزادی عمل برخورداریم و شما می‌‏توانید سبک مختص به خودتان را انتخاب کنید. می‏‌توانید سبک هکتان را بر روی چیزهایی که دوست دارید تنظیم کنید و کاری را انجام دهید که در آن مهارت دارید.

اکنون من درمورد پاداش هایی که برای تمام این باگ ها دریافت کرده ام صحبت می‌کنم، البته که در اون زمان، پردازش این باگ‌‏ها هفته‏‌ها و ماه‏‌ها زمان برده، و من در آن زمان مسیر سریع دستیابی به آنها را بلد نبودم.

زمانی که منتظر این تصمیمات بودم، تصمیم گرفتم یک سری چیزها را عوض کنم.

به نظر من دورۀ بعد از ثبت گزارش تعدادی باگ بهترین زمان برای امتحان کردن و یاد گرفتن چیزهای جدید است. نه زمانی که هیچ باگی پیدا نمی‌کنید و احساس می‌کنید باید روش دیگری را امتحان می‌کردید. اما وقتی مقداری پول به حسابتان واریز شد، متوجه می‌شوید که کار درست را انجام داده اید. سپس می‌‏توانید برای یادگیری چیزهای جدید وقت بگذارید و حتی اگر این روش کارساز نبود یا حتی اگر در این دوره کسب درآمدی نداشتید، هیچ اتفاق بدی نخواهد افتاد.

من تصمیم گرفتم مدت زمانی را به ثبت اولین کوئری CodeQL ام اختصاص دهم. این همان چیزیست که از خیلی وقت پیش راجع به‌آن صحبت کرده‌ام .

این مورد شبیه هیچ یک از برنامه‌‏های باگ بانتی دیگر نیست و واقعاً پیچیده است، برای همین من فکر کردم مدت زمان زیادی طول خواهد کشید تا بالاخره بتوانم یک کوئری جدید ثبت کنم. اما در عرض 16 ساعت توانستم یک CVE پیدا کنم که توسط اسکنر CodeQL تشخیص داده نشده بود. در نتیجه کد را بهبود دادم تا باگ‌‏های مشابه در آینده از چشم مخفی نمانند. درخواست pull من مورد قبول واقع شد و به همین خاطر قطعه کد من  هم اینک در حال اجرا در CodeQL است.

هر چند هنوز هم منتظر CVE هایی هستم که برای نشان دادن شایستگی‌ام  برای دریافت پاداش به آن‌ها نیاز دارم.  اما مهم‏تر از همه از این که بالاخره تیک تایید این گزینه را در لیست کارهایم زدم واقعاً خوشحال هستم.

متوجه هستم که الان در حال صحبت در مورد باگ‏‌هایی هستم که هنوز اینجا افشا نشده اند، بنابراین در قسمت کامنت‏ها برایمان بنویسید که دوست دارید چه باگ‌‏هایی را در ابتدا  در کانال پوشش بدهم.

در اولین سال فعالیت باگ بانتی چقدر می توانید درآمد داشته باشید؟

به چه باگ‌هایی بیشتر علاقه‌‏مند هستید؟

بعد از CodeQL سراغ شکارهای رایج تر برگشتم و برنامه Google را انتخاب کردم، همان شرکت دیگری که از مدت‏ها قبل قصد داشتم امنیت سایری آن را مورد بررسی قرار دهم.

من واقعا آدم خوش‌شانسی بودم،  چرا که در عرض 2 ساعت باگی را پیدا کردم که گوگل درازای آن باگ 3133.7 دلار به من پاداش پرداخت کرد. در ادامه، باگ دیگری در همان دارایی پیدا کردم که بسیار مشابه اما تاثیرگذارتر از باگ قبلی بود.

این باگ هنوز در حال تریاژ هست و نمی‏دانم نتیجه‌‏اش چه خواهد بود، اما اگر راستش رو بخواهید انتظار دارم بیشترین مقدار پاداشی که تا حالا بدست آورده ام به آن تعلق بگیرد. با انتظاری که از پرداختی‌ ‏های در حال انجام از برنامه‌‏های Todoist، CodeQL و گوگل دارم، مجموع کل بانتی‏‌های دریافتی من تا این دوره 19,501.7 دلار هست.

441 ساعت از زمانم را هم به این باگ‌‏ها اختصاص داده‌‏ام.

صادقانه بگویم، در صورتی که استخدام می‏شدم یا به صورت فریلنسری روی تست نفوذ تمرکز می‏کردم، می توانستم پول بیشتری به دست بیاورم؛ اصلا شاید در سه ماهه چهارم کاری که سر همه شلوغ است ، این کار رو هم انجام بدم.

اما در حقیقت من با این دید به قضیه نگاه نمی‏کنم.

می‏دانم که یک سال قبل شانس با من یار نبود و حالا میفهمم که دارم پیشرفت می‏کنم و هر موقع زمان می‏گذارم، میتونم باگ پیدا کنم. من نسبت به یک سال قبل عملکرد بهتری دارم و این معیار و محکی برای خود من است نه فید توییرم…

من می‏دانم که وقتی افرادی به دست آوردن پاداش را راحت جلوه میدهند، احتمالاً قبلا زمان زیادی را برای سخت کار کردن سپری کرد‌ه‌‏اند.من واقعاً خوشحالم که می‏توانم به این شکل زندگی کنم، رئیس خودم باشم و قوانین خودم رو داشته باشم.

من احتمالاً خانه‌‏ای نخواهم خرید، پس باید یک خانه اجاره کنم، یا احتمالاً نتوانم یک ماشین اسپرت بخرم، با این حال اگر این‌‏ها بزرگترین مشکلات زندگی من در 24 سالگی باشند، من تمام این مشکلات را به جان میخرم . به احتمال زیاد سال بعد سبک زندگی کوچ نشینی دیجیتالی رو امتحان خواهم کرد، برای همین شاید اصلاً به این چیزها احتیاجی هم پیدا نکنم.

به همین خاطر برای دستیابی به هر چیزی در زندگی نظم و انضباط داشته باشید. زمان گذاشتن برای هر چیزی به صورت مداوم، مهم‏ترین مسئله است. از شکست نترسید، خودتون رو با بقیه مقایسه نکنید و از اشتباه کردن نترسید. همه این چیزها به شما جرات میده تا اون تصمیم پرخطر رو بگیرید و سپس اون رو عملی کنید.

 

منبع 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *