جدیدترین برنامه های باگ بانتی برای ژانویه 2023

جدیدترین برنامه های باگ بانتی برای ژانویه 2023

اهداف وب جدید برای محققان امنیتی با بصیرت

جدیدترین برنامه های باگ بانتی

با نزدیک شدن به پایان سال 2022، HackerOne گزارشی را منتشر کرد که در آن فاش کرد که امسال با شروع تحول دیجیتالی سازمان‌ها آسیب‌پذیری‌های مبتنی بر ابر باسرعت زیادی در حال رواج هستند.

براساس گزارش‌های پلتفرم باگ بانتی، محققان امنیتی در سال 2022 بیش از 65000 آسیب پذیری نرم افزاری از طریق سرویس های این پلتفرم گشف کرده‌اند که 21% بیشتر از سال 2021 است.

دراین راستا آسیب‌پذیری‌های پیکربندی نادرست نیز 150 % و مسائل مربوط به مجوزهای نامناسب تا 45 % افزایش یافته است. دلیل عمده این افزایش جهشی آسیب‌پذیری ها این است که سازمان‌ها با مهاجرت به فضای ابری در حال ایجاد مجوزهای دقیق‌تر و جزئی تری هستند.

اخیرا Intel به جولین آرنز برای یک RCE امنیتی، علی رغم اینکه جدی بودن آسیب‎ پذیری مورد مناقشه قرار گرفته بود، یک پاداش 10000 دلاری پرداخت کرد.

آرنز با جعل پاسخ‌های Kerberos و LDAP (Lightweight Directory Access Protocol) احراز هویت مرکز مدیریت داده (DCM) اینتل را دور زد و ادعا کرد که با این بایپس قادر به اجرای کد از راه دور (RCE) بود.

Intel این آسیب‌پذیری را پذیرفت و به شدت آن امتیاز 8.8 داد، اما می‌گوید که این مشکل تنها به یک نقص در افزایش سطح دسترسی مربوط می‌شود. اما درآخر متقاعد شد که پاداش این آسیب‌پذیری را پرداخت کند.

در همین حال، یک محقق امنیتی که با نام Peter M شناخته می‌شود، در این ماه نشان داد که چگونه فایروال‌های وب اپلیکیشن Akamai (WAF) را با اجرای Spring Boot دور زد، که احتمالاً منجر به اجرای کد از راه دور (RCE) شده است.

او می‌گوید یافتن یک نقطه ورودی به عنوان بخشی از برنامه خصوصی Bugcrowd ، 500 اقدام و بیش از 14 ساعت طول کشید.
این حمله که با کمک پن‌تستر Synack عثمان منشا انجام شد، بااستفاده از تزریق Spring Expression Language (SpEL) انجام گرفت.

Intigriti در سایر گزارشات مربوط به باگ بانتی، می‌گوید امسال تقریباً سه برابر بیشتر از سال گذشته پرداخت کرده است و میانگین مبلغ دو برابر شده است.

این گزارش می گوید محققان امنیتی اخلاقی به طور فزاینده ای شکار باگ بانتی را به عنوان یک شغل تمام وقت می بینند و 96٪ گفته اند که مایلند زمان بیشتری را صرف آن کنند. بزرگترین مزیت این برنامه‌ها پول است، درکنار آن قابلیت کار در هر نقطه از جهان، توانایی کار به تنهایی، و شانس پیشی گرفتن از مجرمان سایبری هم از دیگر مزایای این کار است.

بررسی‌های Meta از برنامه باگ بانتی خود در سال جاری نشان داد که بیش از 2 میلیون دلار پرداخت کرده است و در مجموع حدود 10000 گزارش دریافت کرده است که از این تعداد به 750 گزارش پاداش پرداخت کرده است.

همچنین متا دستورالعمل های پرداخت به روز شده‌ای برای باگ های RCE موبایل منتشر کرد و دستورالعمل های پرداخت جدیدی برای آسیب پذیری های تصاحب حساب کاربری (ATO) و احراز هویت دو مرحله ای (2FA) نیز اضافه کرده است. این پاداش ها برای گزارش های ATO تا 130000 $ و 300000 $ برای باگ های RCE موبایل افزایش می یابد.

در نهایت، پلتفرم خدمات امنیتی و باگ بانتی برای web3 ه Immunefi ادعا دارد که در سال جاری چیزی کمتر از 66 میلیون دلار پرداخت کرده است که بزرگترین جایزه برای آسیب‌پذیری کشف شده در Wormhole، یک پروتکل پیام‌رسانی زنجیره‌ای متقابل، بالغ بر 10 میلیون دلار است.

آسیب‌پذیری‌های بحرانی با پرداخت 61 میلیون دلار، که 92.7 درصد از تمام جوایز پرداخت شده را تشکیل می‌دهند، پیشتاز شدند.

جدیدترین برنامه های باگ بانتی برای ژانویه 2023

در ماه گذشته شاهد ورود چندین برنامه جایزه باگ جدید بودیم. در اینجا لیستی از جدیدترین برنامه‌های ثبت شده را می‌توانید مشاهده کنید :

Axis Communications

ارائه دهنده برنامه :

Bugcrowd

نوع برنامه :

عمومی

حداکثر پاداش :

TBC

طرح کلی:

Axis Communications فروشنده مراقبت‌های تصویری، یک برنامه باگ بانتی برای یافتن آسیب‌پذیری‌ها در محصولات امنیتی شبکه خود، به استثنای محصولات 2N خود، راه‌اندازی کرده است.

نکات:

Axis Communications هنوز جزئیات زیادی درباره پاداش‌های پرداختی برای چنین اشکالات یافته شده را منتشر نکرده است، اما جزئیات نحوه امتیازدهی این اشکالات را با استفاده از روش CVSS منتشر کرده است.

برای کسب اطلاعات بیشتر به صفحه باگ بانتی Axis Communications سربزنید.

Contentsquare

ارائه دهنده برنامه :

YesWeHack

نوع برنامه :

عمومی

حداکثر پاداش :

€2,500 ($2,670)

طرح کلی:

Contentsquare ارائه‌دهنده تجزیه و تحلیل UX، یک برنامه باگ بانتی برای یافتن مشکلات مربوط به کیت توسعه نرم‌افزار تلفن همراه و اندپوینت‌های مجموعه راه‌اندازی کرده است، که جزئیات آن در صفحه پاداش باگ آن فهرست شده است.

نکات:

Contentsquare از محققان امنیتی می‌خواهد که از قبل فهرست موضوعات داخل اسکوپ را بررسی کنند، چراکه اهداف مشخص هستند.

برای کسب اطلاعات بیشتر به صفحه باگ بانتی Contentsquare سربزنید.

Doppler

ارائه دهنده برنامه :

HackerOne

نوع برنامه :

عمومی

حداکثر پاداش :

$2,500

طرح کلی:

Doppler خود را به عنوان “توسعه دهندگان پلتفرم SecretOps و تیم های امنیتی برای ارائه مدیریت رازها در مقیاس سازمانی اعتماد دارند” معرفی می کند.

نکات:

باز هم، چندین دامنه برای کاوش به علاوه کد منبع Doppler وجود دارد. همچنین پنج دامنه وجود دارد که برای تست خارج از اسکوپ هستند.

برای کسب اطلاعات بیشتر به صفحه باگ بانتی Doppler سربزنید.

Engel & Völkers Technology GmbH

ارائه دهنده برنامه :

HackerOne

نوع برنامه :

عمومی

حداکثر پاداش :

$1,000

طرح کلی:
شرکت مشاوره فناوری اطلاعات Engel & Völkers Technology GmbH دامنه های خود را برای آزمایش توسط شکارچیان باگ باز کرده است.

نکات:

بیش از 10 دامنه برای حمله وجود دارد که از شدت بحرانی تا متوسط را دربرمی‌گیرد. همچنین تعداد انگشت شماری دامنه وجود دارد که خارج از اسکوپ هستند که نباید تست شوند.

برای کسب اطلاعات بیشتر به صفحه باگ بانتی Engel & Völkers Technology GmbH سربزنید.

Harman International

ارائه دهنده برنامه :

YesWeHack

نوع برنامه :

عمومی

حداکثر پاداش :

$5,000

طرح کلی:

Harman سازنده لوازم الکترونیکی، یکی از شرکت‌های سامسونگ، به منظور ” مقاوم‌سازی کل اکوسیستم” مربوط به دستگاه های JBL ، درخواست کمک کرده است.

نکات:

داخل اسکوپ برنامه 16 هدف از جمله دستگاه های فیزیکی، APIS وب و برنامه ها وجود دارد، ازاین رو اینجا برای همه افراد با هر استعداد و مهارتی کاری برای انجام دادن وجود دارد.

برای کسب اطلاعات بیشتر به صفحه باگ بانتی Harman International سربزنید.

Moonpay

ارائه دهنده برنامه :

HackerOne

نوع برنامه :

عمومی

حداکثر پاداش :

$20,000

طرح کلی:

پلتفرم تبادل کریپتو Moonpay برای آسیب‌پذیری های امنیتی مجود در دامنه ها و کدهای منبع خود پاداش های بزرگی درنظرگرفته است.

نکات:

چهار دامنه خارج از اسکوپ وجود دارد، بنابراین باید قبل از ادامه بررسی شوند. همچنین Moonpay فهرست گسترده‌ای از آسیب‌پذیری‌هایی را که برای پاداش واجد شرایط نیستند را به صورت مشروح بیان کرده است، بنابراین قبل شروع بکار این لیست هم باید بررسی شود.

برای کسب اطلاعات بیشتر به صفحه باگ بانتی Moonpay سربزنید.

Navitas

ارائه دهنده برنامه :

Bugcrowd

نوع برنامه :

خصوصی

حداکثر پاداش :

$2,500

طرح کلی:

Navitas یک ارائه‌دهنده آموزش استرالیایی برای باگ‌های بازتولیدشونده در سرویس‌های خود پاداش‌هایی بر اساس شدت مشکل ارائه می‌کند.

نکات:

اگرچه این شرکت در استرالیا مستقر است، اما دریافت جوایز آن برای محققان امنیتی در سراسر جهان، بر اساس دعوت، آزاد است.

برای کسب اطلاعات بیشتر درباره برنامه باگ بانتی Navitas به این صفحه منتشرشده سربزنید.

OVO

ارائه دهنده برنامه :

YesWeHack

نوع برنامه :

عمومی

حداکثر پاداش :

3,000 $

طرح کلی:

پلتفرم پرداخت، پاداش و خدمات مالی اندونزیایی از محققان امنیتی می‌خواهد تا اشکالات موجود در چهار برنامه تلفن همراه و وب این شرکت را پیدا کنند. این شرکت فرصت زیادی برای جستجوی پاداش فراهم می‌کند.

نکات:

OVO به صراحت اشاره کرده است که محیط های مرحله بندی خارج از اسکوپ هستند، مثل هر هدف دیگری که به طور خاص در صفحه باگ بانتی آن فهرست نشده است.

برای کسب اطلاعات بیشتر به صفحه باگ بانتی OVO سربزنید.

Swapcard

ارائه دهنده برنامه :

YesWeHack

نوع برنامه :

عمومی

حداکثر پاداش :

2,000 €، ($2,140)

طرح کلی:

Swapcard خود را به عنوان یک برنامه رویداد و پلتفرم زوج‌یابی معرفی می کند که از هوش مصنوعی پشتیبانی می‌کند و رویدادهایی را در بخش های امنیت، دولت و سلامت برگزار می کند.

نکات:

فهرست گسترده‌ای از اپلیکیشن‌ها و APIهایی وجود دارد که می‌توان آنها را مورد هدف قرار داد، بنابراین ارزش این را دارد که قبل از شروع بررسی شود. همچنین به این نکته هم بایدتوجه کرد که Swapcard بیان می‌کند که گزارش‌هایی که دارای اثبات مفهومی دقیق هستند، در صورت واجد شرایط بودن، نسبت به گزارش‌هایی که فاقد آن هستند، سریعتر پاداش خواهند گرفت.

برای کسب اطلاعات بیشتر به صفحه باگ بانتی Swapcard سربزنید.

VFS

ارائه دهنده برنامه :

YesWeHack

نوع برنامه :

عمومی

حداکثر پاداش :

$1,500

طرح کلی:

VFS تسک‌های اداری و غیر قضایی مربوط به ویزا، گذرنامه و خدمات کنسولی را برای دولت های مشتری خود مدیریت می کند.

نکات:

حداکثر پاداش برای آسیب‌پذیری‌هایی است که «بحرانی» تلقی می‌شوند. مثال‌ها شامل، نشت اطلاعات شناسایی شخصی متقاضی ویزا، مشکلات مربوط به ارجاع ناامن مستقیم شیء (IDOR) که منجر به نشت قابل توجه اطلاعات حساس کاربر می‌شود، و اسکریپت‌هایی که می‌توانند تکمیل جریان ثبت نام کاربر را خودکار کنند، اما آسیب‌پذیری‌ها فقط محدود به این چند مثال نیستند.

برای کسب اطلاعات بیشتر به صفحه باگ بانتی VFS سربزنید.

Yuga Labs

ارائه دهنده برنامه :

HackerOne

نوع برنامه :

عمومی

حداکثر پاداش :

25,000 $

طرح کلی :

شرکت Yoga Labs برای کشف آسیب پذیری های حیاتی در پلتفرم وب 3 خود، مبلغ قابل توجه 25000 دلار را پیشنهاد می‌کند.

نکات:

این شرکت نه تنها در محدوده دامنه های خود بلکه در سرورهای Discord خود نیز خواستار دریافت گزارش هایی در رابطه با اشکالات است. اگر کسی بخواهد به سرورهای Discord حمله کند، ابتدا باید خط ‌مشی جداگانه‌ای را در صفحه باگ بانتی Yoga Labs بررسی کند.

برای کسب اطلاعات بیشتر به صفحه باگ بانتی Yoga Labs سربزنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *