الثغرات الأمنية في أي تطبيق أو برنامج هي ضعف في هذا البرنامج أو خلل ما في التّصميم، مما يؤدّي إلى خطر في خرق المعلومات أو تغيير هذه المعلومات، وتمتدّ هذه االثغرات الأمنية إلى جميع البرمجيّات من التحديثات التي تصدر عن الشركة المبرمجة لهذه التطبيقات إلى المكتبات البرمجيّة وتطبيقات الويب، كما يشير الضّعف التقني إلى احتمال فشل النّظام بكامله بسبب التّأثيرات الخارجيّة.
عمليّة البحث عن الأخطاء و العثور على نقاط الضّعف في البرامج والمواقع الإلكترونيّة وتطبيقات الويب قد تكون عمليّة مدفوعة، فالشّركات الكبرى ليس لديها ما يكفي من الوقت أو القوى البشرية لكشف جميع الأخطاء التي لديها، لذلك يحصل بعض المخترقين على عشرات الآلاف من الدولارات سنويًا فقط من أجل العثور على الأخطاء، وبسبب أهميّة بعض التطبيقات وحساسيتها فإن وجود ثغرة ما قد يشكل كارثة حقيقية، لذا فإن أجر صائدي الثّغرات قد يكون أعلى من أجر مهندس البرمجيّات في بعض الحالات.
ما هي متطلبات اكتشاف الثغرات الأمنيّة؟
- معرفة أساسيات البرمجة.
- القدرة على العمل بشكل منهجي.
- دمج المعرفة الأكاديمية مع خبرة مهنيّة قويّة في هذا المجال للوصول إلى المستوى المناسب.
- مهارة تقنيّة وفهم بنية أنظمة التشغيل بأنواعها.
ويمكنك تطوير مهاراتك في هذا المجال عبر OWASP WebGoat حيث يمكنك التدرب على اكتشاف الثغرات البرمجية ونقاط الضعف في تطبيقات الويب، وإلقاء نظرة على Google Bughunter حيث تجد الكثير من أدوات البحث عن الأخطاء ومعلومات حول كيفيّة كتابة تقارير الضعف والثّغرات.
أين يمكنك الحصول على المال كصائد للجوائز؟
Bugcrowd
تثق العديد من المؤسّسات والشّركات في Bugcrowd لإدارة واكتشاف الأخطاء والثّغرات من خلال الجمع بين كبار المخترقين وأكثرهم خبرة حول العالم، حيث يوفّر Bugcrowd نتائج أفضل ويخفّض من المخاطر ويتيح للمؤسّسات إطلاق منتجات آمنة من خلال تقديم عدّة حلول للتقييمات الأمنية أحدها Bug Bounty، كما يوفّر حلول SaaS التقنية التي يمكنك استخدامها بسهولة في دورة حياة البرنامج الحاليّة الخاصّة بك ويجعل من السّهل تشغيل برنامج مكافأة الخطأ بنجاح.
Intigriti
Intigriti هي عبارة عن منصّة شاملة لاكتشاف الخلل والأخطاء سواء كنت ترغب في تشغيل برنامج خاص أو برنامج عام، بالنّسبة للمتسللين هناك الكثير من المكافآت للاستيلاء عليها وذلك اعتمادًا على حجم الشّركة وصناعتها، حيث تتوفّر عمليات البحث عن الأخطاء التي تتراوح من 1000 يورو إلى 20000 يورو.
HackerOne
عندما يتعلّق الأمر بالوصول إلى المتسللين وإنشاء برامج المكافآت الخاصة بك والنّشر وتقييم المساهمات فيعتبر Hackerone هو الرّائد من بين برامج مكافآت الأخطاء.
وهناك طريقتان يمكنك استخدام HackerOne من خلالهما، فالطّريقة الأولى هي استخدام النّظام الأساسي لجمع تقارير الثغرات والعمل عليها بنفسك أو السماح للخبراء في Hackerone بالقيام بالعمل الشاق، أمّا الطّريقة الثّانية فهي عبارة عن عمليّة تجميع تقارير الثّغرات والتحقّق منها والتّواصل مع المتسلّلين.
يتمّ استخدام Hackerone من قبل أسماء كبيرة مثل Google Play و PayPal و GitHub و Starbucks وما شابه ذلك فهو مخصّص لأولئك الذين يعانون من أخطاء شديدة وثغرات كثيرة.
