Bug Bounty

From TON Wiki (Ru)

Bug Bounty – программа поощрений специалистов за тестирование компьютерных программ на присутствие ошибок и уязвимостей. Участники Bug Bounty, по-другому – «белые хакеры», получают денежное вознаграждение за поиск уязвимостей. Размер выплаты исчисляется в зависимости от того, насколько серьёзная ошибка найдена в программе.

История возникновения

Джарретт Ридлинхафер, работая в Netscape Communications Corporation, предложил создать программу вознаграждений энтузиастов и IT-специалистов за выявление различных багов и уязвимостей в проектах. В корпорации его концепцию поддержали и выделили денежные средства в размере $50 тысяч на её разработку и запуск. Ранняя программа была публично начата в 1995 году и имела огромный успех.

В России первая Bug Bounty запустилась в 2012 году компанией «Яндекс». Следующая – в 2013 году компанией VK. К 2020 году в России появилось множество открытых ресурсов Bug Bounty.

Функционирование Bug Bounty

Существует два способа работы по этой системе: внутренний и платформенный.

Внутренний способ

Внутренний заключается в том, что компания, нуждающаяся в выявлении ошибок в своём продукте, публикует на своём официальном сайте информацию о начале программы Bug Bounty. Желающие хакеры работают над программой. В случае, если они находят ошибку – заполняют подробный отчёт. Компания изучает отчёт, устраняет ошибку. И после повторной проверки (устранен ли баг) выплачивает вознаграждение хакеру. Этот способ часто используется большими корпорациями.

Платформенный способ

Компания регистрируется на специальной платформе Bug Bounty, подаёт заявку, в которой описывает свой продукт, цели, условия, сумму вознаграждения за нахождение багов. Затем объявление публикуется. Исследователи (багхантеры) регистрируются на платформе, проходят верификацию и начинают работать над задачей. В случае выявления уязвимостей они так же, как и при внутреннем способе отправляют отчёт о работе и найденных ошибках в программе. Компания-заказчик, получив информацию о поступивших отчётах, всё проверяет/тестирует/устраняет баги, снова проверяет. На основе серьёзности выявленной ошибки определяется размер вознаграждения и выплачивается багхантеру.

Bug Bounty в блокчейне TON

В блокчейне TON (The Open Network) имеется множество различных программ Bug Bounty. Большинство из них представлено на сайте Github. Также имеется ресурс, на котором представлена информация непосредственно о системе грантов в экосистеме TON.

По состоянию на декабрь 2024 года имеется несколько активных программ Bug Bounty:

  1. STON.fi Bug Bounty программа. Её фонд составляет 200 000 TON. На сайте имеется информация о вознаграждениях. Например, за среднюю уязвимость вознаграждение составляет 1000 TON, за высокую – 2000 TON, а за критическую – до 20000 TON. Более подробная информация о программе по проекту STON.fi находится здесь.
  2. Getgems Bug Bounty программа. Проходит в виде конкурса, в котором нужно с помощью тестирования в ручном режиме обнаружить существенные ошибки и уязвимости. Под «существенными» недостатками понимается ситуация, когда страдает главный функционал программы (невозможность произвести какие-либо действия в приложении, некорректная работа, неверное отображение информации). Для участия необходимо с помощью @toncontests_bot поделиться своей учётной записью Github и кошельком TON для выплаты вознаграждения в случае выигрыша. После перепроверки всех отчётов об ошибках и уязвимостях, из них выбираются 5 лучших. Участники, победившие в конкурсе, получают призы в TON. Размер призов –- до $500, в зависимости от того, насколько высоко оценён отчёт и насколько серьёзный баг был выявлен. Все подробности этой программы здесь.
  3. Программа HackenProof. Предназначена для тестирования безопасности смарт-контрактов и протоколов блокчейна. HackenProof сотрудничает с большинством крупнейших бирж и блокчейнов. Год назад HackenProof объявили о сотрудничестве с TON Foundation. Первыми в программе участвовали  @TonDiamonds, @stonfidex и @evaaprotocol.
  4. Также TON Foundation запустил программу вознаграждений за нахождение ошибок в системе. Сумма награды – от $150 до $5000. Все условия программы и необходимая документация тут.

Кто может участвовать в Bug Bounty?

Для работы в этой сфере необходимо иметь множество навыков:

  • Обязательно знать английский язык (для ознакомления с информацией,  чтения документации и её расшифровки);
  • Обладать навыками программирования (знать языки программирования Python, JavaScript и т.д.);
  • Также необходимо разбираться в законодательстве о кибербезопасности;
  • Разбираться в специальных программах, которые могут пригодиться при работе с обнаружением уязвимостей;
  • Знать, что такое веб-разработка, что такое сетевые протоколы и какие они бывают, уметь работать с базами данных и т. д.;
  • Уметь логически мыслить и производить анализ данных. Это необходимо для правильной организации своей работы и интерпретации полученного в процессе результата;
  • Навыки документирования и общения.

Существуют курсы для обучения необходимым навыкам «багхантера». Например, Awesome Ethical Hacking Resources. Здесь находится много полезной информации, а также ссылки на бесплатные курсы. Для применения полученных навыков на практике есть множество полезных образовательных ресурсов, таких как виртуальные лаборатории bWAPP, HTB, TryHackMe, DVWA, а также возможно поучаствовать в соревнованиях Capture the Flag (CTF).

Ссылки

  1. Bug Bounty
  2. Багхантеры
  3. HackenProof
  4. Белые хакеры
  5. Bug Bounty TON
  6. Принцип работы Bug Bounty
  7. Bug Bounty в блокчейне TON
  8. Официальный сайт Bug Bounty
  9. Информация о создании Bug Bounty
  10. Программа вознаграждений Ton Whales
  11. Недопустимые события при поиске уязвимостей
  12. Бот для регистрации в программе на блокчейне TON
  13. Гранты на TON – официальный сайт, подробная информация
  14. Информация для изучения навыков багхантера и ссылки на бесплатные курсы