بگ باؤنٹی ہنٹنگ کیا ہے؟
حال ہی میں بگ باؤنٹی ہنٹنگ کافی بزور الفاظ بن گیا ہے۔
لیکن یہ بالکل کیا ہے اور کوئی کیسے شروع کر سکتا ہے؟
وقت کے ساتھ، درخواستیں زیادہ پیچیدہ ہوتی گئیں۔ ایک عمل
جتنا زیادہ پیچیدہ ہے، اتنی ہی زیادہ چیزیں ہیں جو غلط ہو سکتی ہیں۔
اس دور میں جب زیادہ تر ایپلیکیشن کوڈ کے سائز لاکھوں میں ہوتے ہیں،
کوڈ بیس اور اس کے نتیجے میں آنے والی ایپلیکیشن دونوں کی حفاظتی
جانچ پیشہ ور افراد کو کرنی پڑتی ہے۔ مندرجہ بالا کے علاوہ،
ہو سکتا ہے کہ ڈویلپرز ہمیشہ سیکیورٹی کے علم میں نہ ہوں یا وہ
متعدد وجوہات کی بنا پر محفوظ کوڈنگ کی بنیادی باتوں کو نظر انداز کر دیں۔
تقریباً ہر سافٹ ویئر کمپنی اپنی پروڈکٹس پر سیکیورٹی کا جائزہ لیتی ہے
یا تو ایسے سیکیورٹی پروفیشنلز کا استعمال کر کے جو اس نے پہلے سے ہی
ایک یا ایک سے زیادہ سائبر سیکیورٹی کمپنیوں کی خدمات حاصل کی ہیں
یا انہیں آؤٹ سورس کر دی ہیں۔ کبھی کبھی دونوں۔ آج کل ایسے ٹولز
موجود ہیں جن کا دعویٰ ہے کہ وہ کوڈ کا جائزہ لینے کے عمل کو خودکار
کر سکتے ہیں اور سکینر یہ دعویٰ کرتے ہیں کہ وہ سافٹ ویئر کی زیادہ تر
معلوم کمزوریوں کا پتہ لگا سکتے ہیں۔ تو پھر بھی سیکیورٹی کیڑے کیسے بن سکتے ہیں؟
بگ باؤنٹی ہنٹنگ پروگرام کیا ہے؟
اگرچہ حفاظتی مسائل ہیں جو ٹیکنالوجی میں تبدیلیوں اور دیگر بیرونی
عوامل سے پیدا ہوتے ہیں، لیکن اس کا بنیادی جواب یہ ہے کہ ہیکنگ کی
بنیاد تخلیقی سوچ ہے اور تخلیقی لوگ مختلف طریقوں سے سوچ سکتے ہیں
۔ اسے سادہ لفظوں میں اگر کہیں سیکیورٹی کا مسئلہ ہو تو کمپنی کی مصنوعات،
کمپنی تلاش کرنے والے پہلے لوگوں میں سے ایک بننا چاہتی ہے، لہذا وہ کسی کو
بھی انعام دینے کے لیے تیار ہیں جو اس کی اطلاع دیتا ہے۔ جب کوئی کمپنی آگے
آتی ہے اور بتاتی ہے کہ وہ کیڑے کی اطلاع دینے والے افراد کو انعام دینے
کے لیے تیار ہے، تو وہ بگ باؤنٹی پروگرام (BBP)
پوسٹ کر رہی ہے۔ ایسا کرنے سے، کمپنی کو اپنی مصنوعات کی جانچ کرنے ک
ے لیے لوگوں کی ایک بہت بڑی تعداد ملتی ہے، سیکیورٹی کے پیشہ ور افراد
کے پاس آمدنی کا ایک متبادل یا تکمیلی طریقہ ہے جو وہ بہترین کرتے ہیں،
اور صارفین کو زیادہ محفوظ ڈیجیٹل تجربہ ملتا ہے۔ ہر کوئی جیت جاتا ہے!
واضح رہے کہ بگ باؤنٹی پروگرام ہیکرز کے لیے کھیل کا میدان نہیں ہے۔
بگ باؤنٹی شکاریوں کو ہر بگ باونٹی پروگرام یا بگ باونٹی پلیٹ فارم کے
ضابطہ اخلاق/پالیسی کی پابندی کرنی چاہیے، نہ صرف رویے کی توقعات
کو پورا کرنے کے لیے، بلکہ اس لیے بھی کہ ایسا کرنے سے وہ اپنی بگ رپورٹ
جمع کرانے کے دوران زیادہ موثر اور کامیاب ہو سکتے ہیں۔
مذکورہ بالا میں اضافہ کرتے ہوئے، کسی کمپنی کے بے نقاب ویب اثاثے اکثر
حملہ آور کے لیے ایک پرکشش راستہ ہو سکتے ہیں۔
آج کل، EDR اور شناخت کے انتظام کے نظام کسی حملہ آور کے لیے کسی ا
ور طریقے سے کسی تنظیم میں ابتدائی قدم جمانا واقعی مشکل بنا دیتے ہیں۔
ان اثاثوں کو بگ باؤنٹی پروگرام کے دائرہ کار میں شامل کر کے،
تنظیمیں مسلسل اور فعال حفاظتی جانچ کے ساتھ اندرونی کوڈ
آڈٹ اور پینیٹریشن ٹیسٹوں کو پورا کرتی ہیں اور اپنی کمزوری کے
انتظام کی حکمت عملی کو تیار کرتی ہیں۔
ان بگ باؤنٹی پروگراموں میں عام طور پر ایسی دستاویزات ہوتی
ہیں جو ان اصولوں کی وضاحت کرتی ہیں جن کی پیروی کسی ایوارڈ
کے لیے ضروری ہے، کیڑے کی وہ اقسام جنہیں ہر کمپنی "فضل کے لائق"
سمجھتی ہے اور وہ قیمت جو وہ بگ کے ہر زمرے کے لیے ادا کرنے کو تیار ہے۔
مؤخر الذکر صرف ایک قابل احترام ذکر
یا ایک swag کے ٹکڑے سے شروع ہو سکتا ہے اور $50,000 سے زیادہ تک حاصل کر سکتا ہے۔
پچھلے کچھ سالوں میں، بگ باؤنٹی ہنٹنگ ایک درست کیریئر کا آپشن بن گیا ہے۔
بگ باؤنٹی شکار
101
اگرچہ بگ باؤنٹی شکار انتہائی منافع بخش ثابت ہو سکتا ہے، ا
ور یہ یقینی طور پر کچھ لوگوں کے لیے رہا ہے، اس کی مختلف وجوہات
بھی ہیں کہ لوگ اس پیشہ ورانہ راستے کا انتخاب کرتے ہیں۔ سب سے پہلے
، اپنی ذات کا مالک ہونا آپ کو بہت زیادہ آزادی دیتا ہے۔
آپ کی خدمات حاصل کرنے کی ضرورت نہیں ہے اور آپ کی مہارتیں ہی
اہم ہیں، لہذا کوئی بھی آپ کی شکل، شخصیت وغیرہ کی بنیاد پر آپ کا
فیصلہ نہیں کرے گا۔ ایسے لوگ ہیں جنہوں نے اپنا سائبر سیکیورٹی کا سفر
دیر سے شروع کیا اور ان کے پاس کمپیوٹر سائنس کی ڈگری نہیں ہے۔
فری لانس باؤنٹی ہنٹر کے طور پر کام کرنا ان لوگوں کے لیے بہت زیادہ
لچک کی اجازت دیتا ہے جو 9-5 پر کام نہیں کر سکتے۔ نیز، یہ پلیٹ
فارم کم دولت مند ممالک کے لوگوں کو باقاعدہ ملازمت کے مقابلے میں
بہت زیادہ کمائی کرنے کی اجازت دیتے ہیں۔
صرف ان بگ رپورٹس کو پڑھنا ہیکنگ کے زیادہ تر شائقین کے لیے سیکھنے
کا ایک دلچسپ تجربہ ہو سکتا ہے۔ ان میں سے کچھ واقعی پیچیدہ ہیں اور انہیں صرف
پڑھ کر آپ کو سر درد ہو سکتا ہے لیکن ان سب کو نہیں۔ 2016 میں ایک
محقق نے فیس بک پر ایک بگ کا انکشاف کیا جو اسے پاس ورڈ دوبارہ ترتیب
دینے اور کسی بھی اکاؤنٹ کو کنٹرول کرنے کی اجازت دے سکتا ہے۔ جب آپ
اپنا پاس ورڈ تبدیل کرنے کی درخواست کریں گے، تو فیس بک آپ کے فون
یا میل میں 6 ہندسوں کا پن بھیجے گا جسے آپ نے جمع کرانا تھا۔ آپ نے لاک
آؤٹ ہونے سے پہلے اس پاس ورڈ کو حاصل کرنے کے لیے محدود تعداد میں کوششیں
کی تھیں۔ محقق کو جو پتہ چلا، وہ یہ تھا کہ لاک آؤٹ میکانزم beta.facebook.com اور mbasic.beta.facebook.com پر نافذ نہیں کیا گیا تھا۔ یہ ایک بہت ہی ہوشیار ہیک ہے
لیکن یہ اتنا پیچیدہ نہیں
لگتا، اگر یہ اب بھی لاگو ہوتا تو شاید بہت سارے قارئین اس کی نقل تیار کرسکتے ہیں۔
تو اگلی بار جب کوئی آپ سے پوچھے "کیا آپ میرے لیے فیس بک اکاؤنٹ ہیک کر سکتے ہیں؟
" یہ جاننے کے بعد کہ آپ ایک ہیکر ہیں، آپ جواب دے سکتے ہیں
"اگر مجھے کبھی کوئی راستہ مل گیا تو میں شاید ہزاروں ڈالر میں اس کی اطلاع دوں گا، معذرت"۔
آپ بھی بگ باؤنٹی ہنٹر بن سکتے ہیں! نہیں مگر!
لیکن، مجھے نہیں لگتا کہ میں ابھی تک اتنا اچھا ہوں...
آرام کرو۔ زیادہ امکان ہے کہ، آپ Facebook
پر 15.000$ کا بگ دریافت کرکے ان کے بگ باؤنٹی کا سفر شروع نہیں کریں گے
۔ بگ باؤنٹی پروگراموں والی بہت ساری کمپنیاں ہیں، اور ہر کوئی ہر چیز پر کام نہیں کر رہا ہے
۔ لہذا آپ اپنی صلاحیتوں کو تیز کرنے اور اپنے اعتماد کو بڑھانے سے پہلے
bug bounty hunting course free download |
کسی کے لیے بہت سارے کم لٹکنے والے پھل ہیں۔
ویب دخول کی جانچ کی بنیادی باتیں سیکھنا ایک مشکل کام ہو سکتا ہے۔
ہیک دی باکس اپنے
ہیکنگ پلے گراؤنڈ پر ویب سے متعلقہ مشینوں
اور HTB اکیڈمی میں بگ باؤنٹی ہنٹر جاب رول پاتھ دونوں کے ذریعے سیکھنے
کے تیز رفتار کو ہموار کرنے میں مدد کر سکتا ہے۔ مؤخر الذکر کی
سفارش کی جاتی ہے، اگر رہنمائی کی تربیت آپ کی چائے کا کپ ہے۔
اس کے علاوہ، آپ سختی سے تکنیکی کمزوریوں کے لیے جا سکتے ہیں یا آپ ایپلیکیشن
کے بہاؤ کو سمجھنے کی کوشش کر سکتے ہیں اور اسے "بزنس لاجک" کمزوریوں
کے نام سے جانا جاتا ہے، آپ کو اس عمل میں کوئی خامی نظر آ سکتی ہے
جسے ابھی تک کسی نے محسوس نہیں کیا!
لیکن یہ غیر قانونی لگتا ہے، ہے نا؟
Nope کیا. اندھا ہونا اور ہر اس چیز پر حملہ کرنے کی کوشش کرنا جو آپ کے راستے میں
آتی ہے اس کی سفارش نہیں کی جاتی ہے۔ ایک خاص حد تک پیشہ ورانہ مہارت
کی توقع کی جاتی ہے، جس میں کمپنیوں کے ساتھ بات چیت اور بات چیت
کرنے کے طریقے سے لے کر اس بات کو ذہن میں رکھنے تک سب کچھ شامل ہے
کہ آپ کیا استعمال کرتے ہیں اور آپ انہیں کہاں استعمال کرتے ہیں۔
آپ آن لائن معلومات حاصل کر سکتے ہیں کہ کون سی کمپنیاں بگ باؤنٹی پیش کرتی ہیں۔
یہ پروگرام یا تو ان کی ویب سائٹس میں یا دستیاب بگ باؤنٹی پلیٹ فارمز میں سے
کسی ایک میں مل سکتے ہیں
۔ HackerOne کے پاس بگ باؤنٹی پروگرامز والی کمپنیوں کی سب سے جامع فہرست ہے
، ایک ایسا ویب صفحہ جس پر بگ ہنٹر کو بک مارک کرنا چاہیے۔
یہاں تک کہ اگر آپ کو حادثاتی طور پر کسی خطرے کا سامنا کرنا پڑتا ہے
(ایک پینٹسٹر کے طور پر ایسا اکثر ہوتا ہے) ذمہ دار کام یہ ہے کہ متاثرہ کمپنی
اور/یا ویب سائٹ کو اس کی اطلاع دیں اور وہ آپ کو انعام بھی دے سکتے ہیں۔
لیکن کیا مجھے ایسا کرنے کے لیے کوئی مخصوص طریقہ استعمال کرنا ہوگا؟
ہاں اور نہ. زیادہ تر بگ باؤنٹی ہنٹر دو زمروں میں آتے ہیں،
وہ یا تو مخصوص تکنیکوں میں بہت اچھے ہوتے
ہیں (مثلاً XSS) اور اسے ہر چیز پر لاگو کرنے کی کوشش کرتے ہیں یا وہ ہر ایپلیکیشن
کو ایک نئے پروجیکٹ کے طور پر لیتے ہیں اور شروع سے لے کر ہر چیز
کی جانچ کرنے تک اس پر کام کرتے ہیں (یہ ہے جہاں زیادہ تر کاروباری
منطق کی غلطیاں دریافت ہوتی ہیں)۔ ایسا کرنے کا کوئی صحیح طریقہ نہیں ہے
۔ اگرچہ کچھ مخصوص طریقہ کار ہیں جن کا جنگ سے تجربہ کیا جاتا ہے،
اور بہت سارے خودکار عمل ہیں جو اس انتہائی مسابقتی اور اکثر وقت کے
حساس میدان میں مقابلے سے آگے نکلنے کے لیے استعمال ہوتے ہیں، باکس سے
باہر سوچنا اب بھی بہت ضروری ہے۔ مت بھولنا، ہر فرد تخلیقی طور پر
مختلف انداز میں سوچتا ہے! وہ کریں جو آپ کے لیے بہترین ہو اور تجربہ
اکٹھا کرکے آپ اپنا عمل خود بنائیں گے۔
بگ باؤنٹی ہنٹنگ بمقابلہ دخول ٹیسٹنگ
بگ باؤنٹی ہنٹنگ اور پینیٹریشن ٹیسٹنگ کی اصطلاحات کو ایک دوسرے
کے ساتھ استعمال نہیں کیا جانا چاہئے۔ ذیل میں کچھ اہم اختلافات تلاش کریں۔
مسلسل ہو سکتا ہے - وقت تک محدود۔
زیادہ مہارت حاصل کی جاسکتی ہے (درکار دائرہ کار اور مہارت دونوں کے لحاظ سے)
- عام طور پر وسیع تر۔
زیادہ سے زیادہ اثر عام طور پر ظاہر کیا جاتا ہے - زیادہ سے زیادہ اثر ظاہر
کرنا مصروفیت کی وقت کی حساسیت پر منحصر ہوتا ہے۔
متعدد شامل محققین کی طرف سے آنے والے متعدد نقطہ نظر -
کرائے پر لی گئی فرم سے آنے والا محدود نقطہ نظر۔
عام طور پر علاج کے مشورے کی ضرورت نہیں ہوتی ہے -
اصلاحی مشورہ درکار ہوتا ہے۔
دونوں کو کامیابی کے لیے پیشہ ورانہ مہارت کی ضرورت ہوتی ہے۔
دونوں کو ڈگری یا سرٹیفیکیشن کی ضرورت نہیں ہے۔
کہاں سے شروع کریں؟
ایک مہنگا سیٹ اپ، تجارتی درجے کے اوزار اور خصوصی آلات کی ضرورت نہیں ہے۔
یہ تمام چیزیں معیار زندگی میں بہتری ہیں لیکن یہ کسی بھی طرح سے ضروری نہیں ہیں۔
ایک درمیانی رینج کا لیپ ٹاپ اور ایک معقول انٹرنیٹ کنیکشن عام طور پر کافی ہوتا ہے
اور جب کہ مہنگے سافٹ ویئر ٹولز ہوتے ہیں، زیادہ تر ٹولز جو ہیکرز استعمال کرتے ہیں
وہ مفت ہوتے ہیں۔ اس کے علاوہ، اسکینر کے نتیجے میں آنے والی کسی چیز کی ادائیگی
کا بہت زیادہ امکان نہیں ہے کیونکہ اس کی اطلاع شاید پہلے ہی دے دی جائے گی۔
اگر آپ یہ سب پڑھتے ہیں اور اپنے آپ سے سوچتے ہیں کہ "اب میں بھی بگ باؤنٹی ہنٹر
بننا چاہتا ہوں"، تو آپ کو ضرور ہونا چاہیے! آپ اسے مکمل طور پر چند ہفتوں تک
آزما سکتے ہیں کہ آیا یہ وہ سفر ہے جسے آپ لے جانا چاہتے ہیں۔ یہ آپ کے فارغ وقت
میں ایک ضمنی پروجیکٹ ہوسکتا ہے یا آپ تیزی سے نتائج حاصل کرنے کی کوشش
کرنے کی کوشش کر سکتے ہیں۔
یقین نہیں ہے کہ کہاں سے شروع کیا جائے؟ آپ کی پسند کے بگ باؤنٹی پروگراموں
کی شناخت کے لیے
بہترین آن لائن وسائل میں سے ایک HackerOne's Directory
ہے۔ HackerOne کی ڈائرکٹری دونوں تنظیموں کی شناخت کے لیے استعمال کی جا سکتی ہے
جن کے پاس بگ باؤنٹی پروگرام ہے اور آپ کو اخلاقی طور پر پائے جانے والے
خطرات کی اطلاع دینے کے لیے رابطہ کی معلومات ہیں۔
آپ HackerOne کی ہیکٹیویٹی سے بھی متاثر ہو سکتے ہیں جس میں عوامی بگ رپورٹس شامل ہیں۔
دیگر بگ باؤنٹی پلیٹ فارم بھی موجود ہیں، جیسے یوگوشا اور بگ کراؤڈ۔
کیا مجھے بگ باؤنٹی ہنٹنگ شروع کرنے کے لیے سرٹیفیکیشن کی ضرورت ہے؟
سائبرسیکیوریٹی سرٹیفیکیشن کسی فرد کی تعریف نہیں کرتے ہیں اور کامیاب
بگ باؤنٹی ہنٹر یا پینیٹریشن ٹیسٹر بننے کے لیے ان کی ضرورت نہیں ہے۔
اس نے کہا، ایک اچھی طرح سے منظم تربیتی پروگرام جس کے نتیجے میں
سرٹیفیکیشن ہوتا ہے، سائبرسیکیوریٹی کے موضوعات/ڈومینز سے متعلق
سیکھنے کی رفتار کو بہت کم کر سکتا ہے اور آپ کو سفر کے دوران حوصلہ
افزائی اور ٹریک پر رہنے میں بھی مدد کرتا ہے۔
اگر آپ اپنی ویب پینیٹریشن ٹیسٹنگ کی مہارت اور اپنی پیشہ ورانہ مہارت دونوں کو
پرکھنا چاہتے ہیں، تو ہیک دی باکس نے اپنا پہلا سرٹیفیکیشن جاری کیا اور یہ
بگ باؤنٹی ہنٹنگ کے بارے میں ہے۔ سیکھیں، سرٹیفکیٹ حاصل کریں،
اپنا کیموفلاج شکاری سوٹ
پہنیں اور ان سے کیڑے حاصل کریں! HTB CBBH کے ساتھ ابھی شروع کرنے کا وقت۔
0 تبصرے