كيف تستفيد من اكتشاف الثغرات الامنية في مواقع الويب
تتطلع المواقع الإلكترونية الكبيرة مثل فيسبوك وجوجل وامازون وغيرها دائمًا إلى سد الثغرات الأمنية التي يمكن أن تسمح للقراصنة باختراق موقع الويب. إذا كنت تستمتع باختبار مواقع الويب ، تتيح لك بعض برامج الويب مثل Facebook Bug Bounty من الإبلاغ عن عيوب الترميز التي يجب تصحيحها.وعلى ذلك يمكنك الحصول على مكافئة مالية كبيرة مقابل اجتهادك في اكتشاف الثغرات الامنية الخطيرة والابلاغ عنها.
advertisement
منصات مكافأة اكتشاف الثغرات
يقول الباحث الأمني في فيسبوك: “إذا كنت مهتمًا بالمشاركة في الأمن كمجال ، فإن برامج مكافأة الأخطاء هي طريقة رائعة كمسألة عملية لإثبات إتقانك للمواد”.نظرًا لأن الويب يشتمل على تقنيات جديدة ، تظهر فئات جديدة من الثغرات الأمنية حتمًا ،وعلى ذالك تجمع بعض البرامج جميع القراصنة او الاشخاص المتقنين في منصة واحدة للإستفادة من خبراتهم في اكتشاف الثغرات الجديدة لمواقع الويب المختلفة.ومن اشهر هذه المنصات:
Facebook Bug Bounty: لكثرة التهديدات الامنية التي تواجهها فيسبوك،قررت الشركة ان تدعم المتصيدين والخبراء والاستفادة منهم من خلال اكتشاف الثغرات الامنية الخطيرة وبالتالي مكافئتهم عن مجهودهم في اكتشاف هذه الثغرات.
Bugcrowd:هي عبارة عن منصة امان جماعية تأسست في عام 2011 وفي عام 2019 كانت واحدة من أكبر شركات الكشف عن الأخطاء البرمجية على الإنترنت.تمنح مكافآت تتراوح بين 100 دولار إلى 10000 دولار حسب الخطأ.
Hackerone:عبارة عن شبكة اساسية للكشف عن الثغرات الامنية لمواقع الويب والبرامج الاخرى بنظام الدفع بالمكافآت،عن طريق ربط الشركات البرمجية بمختبري الاختراق وخبراء الأمن السيبراني .دفعت شبكة هكر وان 100 مليون دولار كمكافآت اعتباراً من 2020.
Synack:هي شركة تكنولوجيا أمريكية تجمع القراصنة البيضاء للمساعدة في الحفاظ على أمان عملائها من الشركات والهيئات الحكومية والمواقع الكبرى المهتمون بحماية مواقعهم .توفر المنصة العديد من برامج الاختبار الخاصة بالثغرات الامنية ،بالاضافة الى نماذج ودورات تعليمية لاكتشاف اخطاء الويب.تعد Synack أكثر منصات اختبار الاختراق الجماعي ثقة.
advertisement
الكشف عن الثغرات الامنية
advertisement
اكتشاف الثغرات الامنية لمواقع الويب والابلاغ عنها هي ممارسة قانونية .تتيح لباحثي الأمن وفرق أمن تكنولوجيا المعلومات والمطورين الداخليين والمطورين الخارجيين وغيرهم ممن يعملون مع الأنظمة الاخرى البحث عن الثغرات الأمنية والابلاغ عنها مباشرة للأطراف المسؤولة لتصحيحها،قبل أن يتمكن القراصنة السيئون من العثور عليها واستغلالها . إن تحديد مثل هذه العيوب مهم جدًا،لذلك تكافئ هذه الشركات الباحثين على اكتشاف هذه العيوب .
خطوات اكتشاف الثغرة الامنية
يكتشف الباحث ثغرة أمنية ويحدد تأثيرها المحتمل.
يقوم الباحث بعد ذلك بتوثيق موقع الثغرة الأمنية عبر أجزاء من التعليمات البرمجية أو لقطات الشاشة .
يقوم الباحث بتطوير تقرير استشاري عن الثغرات الأمنية يوضح بالتفصيل الثغرة الأمنية ويتضمن الأدلة الداعمة والجدول الزمني للإفصاح الكامل.ويقدم هذا التقرير بشكل آمن للموقع.
عادةً ما يمنح الباحث الموقع فترة معقولة للتحقيق في الثغرة الأمنية وتصحيحها وفقًا للجدول الزمني للإفصاح الكامل الاستشاري.
بمجرد أن يتم التصحيح ينشر الباحث تحليلاً كاملاً للثغرات الأمنية للاستفادة، بما في ذلك شرح مفصل للثغرة الأمنية وتأثيرها والحل.
انتظار الدعم والمكافئة من الموقع بعد التأكد من وجود الثغرة وتصحيحها.ويعتمد المبلغ المالي الذي يمنح للباحث،على مدى خطورة الثغرة الأمنية المكتشفة، ويمكن أن يتراوح بين أقل من 140 دولار الى اكثر من مليون دولار.
advertisement
كيف تستفيد من الابلاغ عن هذه الثغرات ؟
كسب الباحثون عن الثغرات الامنية مبالغ قياسية بقيمة 40 مليون دولار أمريكيفي عام 2020 بفضل الإبلاغ عن الثغرات الأمنية الموجودة في البرمجيات عبر خدمات الإبلاغ الرائدة مقابل مكافآت.ويعتمد المبلغ المالي الذي يمنح للقرصان على مدى خطورة الثغرة الأمنية المكتشفة.كما اكتسبت البرامج التجارية المتخصصة في منح المكافآت لمن يكتشف ثغرة أمنية شعبية خلال السنوات الخمس الأخيرة،خاصة خلال جائحة كورونا.
إرشادات الكشف عن الثغرات الامنية
توفر سياسة الكشف عن الثغرات الأمنية،إرشادات مباشرة لإرسال الثغرات الأمنية إلى المؤسسات:
اختيار البرنامج الوسيط الآمن والذي تقوم من خلاله ارسال تقارير الثغرات الامنية للشركة.
يجب ارسال تقارير مفصلة عن الثغرة وكيفية اكتشافها،وخطورتها الى الموقع التابع من خلال ملفك على البرنامج الوسيط.
يجب ان تقوم الشركة بتوضيح الاجراءات القانونية ،التى تتخذها بشأن الابلاغ عن الثغرات.
تحديد كيفية إرسال الباحثين لتقارير الثغرات الأمنية – باستخدام نموذج ويب آمن أو بريد إلكتروني ، على سبيل المثال.
كيفية قيام الشركة بتقييم التقارير والرد عليها بالمكافئة في حال التحقق.
سياسة الافصاح عن الثغرة بعد التصحيح لإفادة الزملاء.
