Search icon
ReadWrite
see notifications
Notifications
see more
paint-brush
ការពង្រឹងសុវត្ថិភាពតាមអ៊ីនធឺណិត៖ ការបំបែកកម្មវិធីផ្តល់រង្វាន់នៃកំហុសនៅក្នុងឌីសដោយ@indrivetech
17,842 ការអាន
17,842 ការអាន

ការពង្រឹងសុវត្ថិភាពតាមអ៊ីនធឺណិត៖ ការបំបែកកម្មវិធីផ្តល់រង្វាន់នៃកំហុសនៅក្នុងឌីស

ដោយ inDrive.Tech6m2024/12/11
Read on Terminal Reader
tldt arrow
en-flagENes-flagESzh-flagZHja-flagJAnso-flagNSOmg-flagMGsk-flagSKlt-flagLTkm-flagKMts-flagTSfi-flagFIar-flagARsi-flagSI
KM

យូរ​ពេក; អាន

កម្មវិធី bug bounty program របស់ InDrive ពង្រឹងសុវត្ថិភាពតាមអ៊ីនធឺណិត ដោយសហការជាមួយនឹងពួក Hacker មួកស ដើម្បីស្វែងរកភាពងាយរងគ្រោះ និងធ្វើឱ្យដំណើរការសុវត្ថិភាពប្រសើរឡើង។ យើងប្រើការរួមបញ្ចូលដោយស្វ័យប្រវត្តិជាមួយ Slack និង Jira ដើម្បីធ្វើឱ្យដំណើរការនេះលឿន និងមានប្រសិទ្ធភាព។ យើងក៏ចង់ចង្អុលបង្ហាញថាអ្នកមិនគួរដាក់កម្រិតខ្លួនអ្នកចំពោះកម្មវិធី Bounty កំហុសទេព្រោះវាមិនមែនជា panacea សម្រាប់ដោះស្រាយបញ្ហាសុវត្ថិភាពទាំងអស់។
featured image - ការពង្រឹងសុវត្ថិភាពតាមអ៊ីនធឺណិត៖ ការបំបែកកម្មវិធីផ្តល់រង្វាន់នៃកំហុសនៅក្នុងឌីស
inDrive.Tech HackerNoon profile picture

ស្វែងយល់ពីរបៀបដែលកម្មវិធី bug bounty program របស់ inDrive ពង្រឹងសុវត្ថិភាពតាមអ៊ីនធឺណិត ដោយសហការជាមួយនឹង white hat hackers ដើម្បីស្វែងរកភាពងាយរងគ្រោះ និងបង្កើនប្រសិទ្ធភាពដំណើរការសុវត្ថិភាព។

សេចក្តីផ្តើម

នៅក្នុងពិភពលោកដែលបច្ចេកវិទ្យាឌីជីថលកំពុងជ្រៀតចូលគ្រប់ទិដ្ឋភាពនៃជីវិតរបស់យើង សុវត្ថិភាពតាមអ៊ីនធឺណិតមានសារៈសំខាន់បំផុត។ ក្រុមហ៊ុននានាជុំវិញពិភពលោកកំពុងវិនិយោគយ៉ាងខ្លាំងក្នុងការការពារទិន្នន័យ និងប្រព័ន្ធរបស់ពួកគេពីការគំរាមកំហែងតាមអ៊ីនធឺណិត។ វិធីសាស្រ្តដ៏មានប្រសិទ្ធភាពបំផុតមួយក្នុងការពង្រឹងសន្តិសុខគឺការធ្វើការជាមួយអ្នកជំនាញសន្តិសុខឯករាជ្យ ដែលត្រូវបានគេស្គាល់ថាជា "ពួក Hacker មួកស" ។


អត្ថបទនេះនឹងមានប្រយោជន៍សម្រាប់ក្រុមហ៊ុនដែលគ្រោងនឹងចាប់ផ្តើមកម្មវិធី bug bounty program ឬបានបើកដំណើរការរួចហើយ។ យើងនឹងចែករំលែកបទពិសោធន៍របស់យើងក្នុងការរៀបចំ និងបង្កើតកម្មវិធី bug bounty program នៅ inDrive និងរបៀបដែលវាបានជួយពង្រឹងសុវត្ថិភាពតាមអ៊ីនធឺណិតរបស់យើង។


យើងក៏ចង់ចង្អុលបង្ហាញថា អ្នកមិនគួរដាក់កម្រិតខ្លួនអ្នកចំពោះកម្មវិធី bug bounty នោះទេព្រោះវាមិនមែនជា panacea សម្រាប់ដោះស្រាយបញ្ហាសុវត្ថិភាពទាំងអស់នោះទេ។ Bug bounty អាចជួយអ្នកកំណត់អត្តសញ្ញាណភាពងាយរងគ្រោះមួយចំនួន ប៉ុន្តែវាមិនគ្របដណ្តប់ពេញលេញនៃការគំរាមកំហែងដែលអាចកើតមាននោះទេ។ អ្នកត្រូវអនុវត្តវិធីសាស្រ្តដ៏ទូលំទូលាយមួយចំពោះសុវត្ថិភាព ដែលរួមមានការប្រើប្រាស់ឧបករណ៍ និងបច្ចេកទេសសុវត្ថិភាពផ្សេងៗ។


ដូចដែលក្រាហ្វខាងក្រោមបង្ហាញ ឧបករណ៍ផ្សេងៗរកឃើញចំនួនភាពងាយរងគ្រោះផ្សេងៗគ្នា ដែលសង្កត់ធ្ងន់លើសារៈសំខាន់នៃវិធីសាស្ត្ររួមបញ្ចូលគ្នា ដូចជាម៉ាស៊ីនស្កេនស្វ័យប្រវត្តិ ការវិភាគកូដឋិតិវន្ត និងថាមវន្ត សវនកម្មសុវត្ថិភាព និងការបណ្តុះបណ្តាលបុគ្គលិក។

ចំនួននៃភាពងាយរងគ្រោះដែលបានរកឃើញដោយឧបករណ៍ផ្សេងៗ

ការចាប់ផ្តើម

ដំបូង កម្មវិធីផ្តល់រង្វាន់របស់យើងដំណើរការក្នុងរបៀបបិទ។ នេះបានអនុញ្ញាតឱ្យយើងគ្រប់គ្រងលំហូរនៃ bughunters ផ្ញើការអញ្ជើញចេញបន្តិចម្តង ៗ និងតាមដានលទ្ធផល។ វិធីសាស្រ្តនេះបានផ្តល់ឱ្យយើងនូវឱកាសដើម្បីបំបាត់កំហុសដោយស្ងប់ស្ងាត់ និងកែលម្អដំណើរការផ្ទៃក្នុង។ អរគុណចំពោះបញ្ហានេះ យើងអាចរៀបចំសម្រាប់ការផ្សព្វផ្សាយជាសាធារណៈ។

បណ្តាញអញ្ជើញ

ការរួមបញ្ចូលនិងការសាកល្បង

ការកំណត់អត្តសញ្ញាណភាពងាយរងគ្រោះនៅក្នុងកម្មវិធី bug bounty គឺជាជំហានសំខាន់មួយ។ យើងប្រើការរួមបញ្ចូលដោយស្វ័យប្រវត្តិជាមួយ Slack និង Jira ដើម្បីធ្វើឱ្យដំណើរការនេះលឿន និងមានប្រសិទ្ធភាព។

ដំណើរការ triage សាមញ្ញ

ស្លេក

យើងប្រើឆានែលពីរ៖

  • ឆានែលសំខាន់សម្រាប់ទំនាក់ទំនងព្រឹត្តិការណ៍សំខាន់ៗក្នុងដំណើរការរបាយការណ៍។ នេះរួមបញ្ចូលទាំងការជូនដំណឹងអំពីរបាយការណ៍ថ្មី ការប្រគល់ភារកិច្ចដល់វិស្វករ និងសំណើបង្ហាញភាពងាយរងគ្រោះ។ ប៉ុស្តិ៍នេះអនុញ្ញាតឱ្យក្រុមដឹងអំពីព្រឹត្តិការណ៍សំខាន់ៗជានិច្ច។


  • បណ្តាញបន្ថែមមួយគឺសម្រាប់បុគ្គលិកដែលចូលរួមក្នុងការវិភាគដំបូង និងការធ្វើរបាយការណ៍។ ការជូនដំណឹងអំពីសកម្មភាពមិនបន្ទាន់ដូចជា របាយការណ៍ មតិយោបល់ និងព័ត៌មានលម្អិតអំពីដំណើរការត្រូវបានផ្ញើនៅទីនេះ។

ការផ្គូផ្គងគណនី

ការបង្កើតផែនទីរវាងអ្នកប្រើប្រាស់ HackerOne និង Slack ធានាថា មតិយោបល់សំខាន់ៗ និងកំណត់ត្រារបាយការណ៍ត្រូវបានបញ្ជូនដោយផ្ទាល់ទៅភាគីដែលទទួលខុសត្រូវ ដោយកាត់បន្ថយហានិភ័យនៃការបាត់ព័ត៌មានសំខាន់ៗ។ នេះជួយសម្រួលការទំនាក់ទំនងរវាងក្រុមសុវត្ថិភាព inDrive និងអ្នកស្រាវជ្រាវ ដោយជួយសម្រួលដល់ការដោះស្រាយភាពងាយរងគ្រោះកាន់តែមានប្រសិទ្ធភាព។

ជីរ៉ា

សមាហរណកម្មជាមួយ Jira អនុញ្ញាតឱ្យអ្នកបង្កើតភារកិច្ចតែនៅក្នុងកន្លែងដែលត្រឹមត្រូវជាមួយនឹងសំណុំជាក់លាក់នៃវាល។ ដោយប្រើមុខងារ Jira Automation យើងបានបង្កើតច្បាប់ដំណើរការភារកិច្ចផ្ទាល់ខ្លួនរបស់យើង ដើម្បីកែលម្អដំណើរការគ្រប់គ្រងភាពងាយរងគ្រោះខាងក្នុងរបស់យើង ដែលអនុញ្ញាតឱ្យយើងរៀបចំដំណើរការនេះប្រកបដោយប្រសិទ្ធភាព។ ខាងក្រោមនេះជាឧទាហរណ៍នៃស្វ័យប្រវត្តិកម្មនេះ៖

ឧទាហរណ៍នៃស្វ័យប្រវត្តិកម្ម Jira

  • រកឃើញដោយស្វ័យប្រវត្តិកម្ម៖ ប្រព័ន្ធនឹងបញ្ចូលប្រអប់រកឃើញដោយស្វ័យប្រវត្តជាមួយនឹងតម្លៃ bug bounty ដែលបង្ហាញពីប្រភពដើមនៃកិច្ចការសម្រាប់ការវិភាគ។


  • ការចាត់តាំងកិច្ចការ៖ ដោយប្រើច្បាប់ កិច្ចការមួយត្រូវបានចាត់ចែងដោយស្វ័យប្រវត្តិទៅវិស្វករ ដោយធានាបាននូវការចែកចាយការងារ។


  • Slack Notifications៖ នៅពេលដែលកិច្ចការត្រូវបានចាត់ចែង ការជូនដំណឹងត្រូវបានផ្ញើទៅកាន់ Slack ដែលនិយាយអំពីវិស្វករ និងផ្តល់ព័ត៌មានចាំបាច់ទាំងអស់។


សម្រាប់ភាពងាយរងគ្រោះសំខាន់ៗ៖

  • សារទៅកាន់ប៉ុស្តិ៍ Slack ជាក់លាក់៖ ការជូនដំណឹងអំពីភាពងាយរងគ្រោះសំខាន់ត្រូវបានផ្ញើទៅកាន់ប៉ុស្តិ៍ដាច់ដោយឡែកសម្រាប់ការឆ្លើយតបភ្លាមៗ។


  • ការផ្ញើសារ SMS៖ លើសពីនេះ ការជូនដំណឹង SMS ត្រូវបានផ្ញើទៅកាន់អ្នកទទួលខុសត្រូវ។

ប្រយុទ្ធប្រឆាំងនឹងសារឥតបានការជាមួយនឹងគន្លឹះ

Triggers នៅក្នុង HackerOne គឺជាឧបករណ៍ដ៏មានឥទ្ធិពលដែលអនុញ្ញាតឱ្យអ្នកធ្វើស្វ័យប្រវត្តិកម្មសកម្មភាពផ្សេងៗក្នុងការឆ្លើយតបទៅនឹងព្រឹត្តិការណ៍មួយចំនួនដែលទាក់ទងនឹងរបាយការណ៍ភាពងាយរងគ្រោះថ្មី។ ពួកគេជួយសម្រួលការងាររបស់ក្រុមសន្តិសុខយ៉ាងខ្លាំង និងជួយបង្កើនប្រសិទ្ធភាពដំណើរការឆ្លើយតបទៅនឹងរបាយការណ៍។


ជាឧទាហរណ៍ នៅពេលប្តូរម៉ាកក្រុមហ៊ុនពី inDriver ទៅ inDrive យើងតែងតែជួបប្រទះនូវរបាយការណ៍អំពីបញ្ហាជាមួយគណនីប្រព័ន្ធផ្សព្វផ្សាយសង្គម។


យើងប្តូរគន្លឹះដូចខាងក្រោម៖

  • លក្ខខណ្ឌកេះ៖ ប្រសិនបើរបាយការណ៍មានពាក្យពីបញ្ជី៖ ប្រព័ន្ធផ្សព្វផ្សាយ សង្គម Facebook Twitter Instagram ។


  • សកម្មភាពកេះ៖ នៅពេលរកឃើញលក្ខខណ្ឌដែលបានបញ្ជាក់ បង្អួចលេចឡើងដែលមានអត្ថបទព្រមានខាងក្រោមត្រូវបានបង្ហាញដោយស្វ័យប្រវត្តិដល់អ្នកស្រាវជ្រាវ៖ “សួស្តី វាហាក់ដូចជាអ្នកហៀបនឹងរាយការណ៍បញ្ហាជាមួយតំណភ្ជាប់ប្រព័ន្ធផ្សព្វផ្សាយសង្គម (Instagram, Twitter, Facebook ) ក្រុមហ៊ុន​របស់​យើង​កំពុង​ស្ថិត​នៅ​ក្នុង​ដំណើរ​ការ​នៃ​ការ​ធ្វើ​ម៉ាក​យីហោ​ឡើង​វិញ ហើយ​យើង​បាន​ដឹង​អំពី​បញ្ហា​នេះ។ យើង​មិន​ទទួល​យក​របាយការណ៍​ជា​បណ្ដោះ​អាសន្ន​សម្រាប់​បញ្ហា​នេះ​ទេ ដូច្នេះ​យើង​សូម​ជំរុញ​អ្នក​ឱ្យ​ទទួល​ស្គាល់​បញ្ហា​នេះ​ឱ្យ​បាន​ត្រឹម​ត្រូវ​ និង​ស្គាល់​ខ្លួន​អ្នក​ពី​គោលការណ៍​សុវត្ថិភាព​មុន​នឹង​បន្ត​និង​ដាក់​បញ្ជូន​របាយការណ៍។"

ឧទាហរណ៍នៃគន្លឹះ

នេះមិនត្រឹមតែជួយកាត់បន្ថយចំនួនរបាយការណ៍មិនសមរម្យប៉ុណ្ណោះទេ ថែមទាំងអប់រំអ្នកស្រាវជ្រាវ ធ្វើឲ្យប្រសើរឡើងនូវគុណភាពនៃរបាយការណ៍នាពេលអនាគត។

យុទ្ធនាការ និងប៉ុស្តិ៍ Telegram

យើងយល់ថាយូរៗទៅសកម្មភាពក្នុងកម្មវិធីនឹងថយចុះ។ នេះគឺជាដំណើរការធម្មជាតិមួយ ដោយសារតែភាពងាយរងគ្រោះជាក់ស្តែងបំផុតត្រូវបានគេរកឃើញ និងលុបបំបាត់រួចហើយ ហើយការទាក់ទាញចំណាប់អារម្មណ៍របស់អ្នកស្រាវជ្រាវម្តងទៀតតម្រូវឱ្យមានការខិតខំប្រឹងប្រែងបន្ថែម។ ដើម្បីរក្សាបាននូវកម្រិតខ្ពស់នៃការចូលរួម និងការចាប់អារម្មណ៍នៅក្នុងកម្មវិធីរបស់យើង យើងបានចាត់វិធានការមួយចំនួន។


ឧបករណ៍សំខាន់មួយគឺប៉ុស្តិ៍ Telegram ឯកទេសរបស់យើងសម្រាប់ bughunters ។ ប៉ុស្តិ៍នេះមិនត្រឹមតែបម្រើជាមធ្យោបាយទំនាក់ទំនងប៉ុណ្ណោះទេ ប៉ុន្តែក៏ជាវេទិកាសម្រាប់ការចែករំលែកព័ត៌មានមានប្រយោជន៍ផងដែរ។ យើងចែករំលែកព័ត៌មានយ៉ាងសកម្មអំពីកម្មវិធីរបស់យើង និងផ្តល់នូវសម្ភារៈដែលអាចជួយអ្នកស្រាវជ្រាវស្វែងរកភាពងាយរងគ្រោះនៅក្នុងសេវាកម្មរបស់យើង។ នេះអាចជាឯកសារបច្ចេកទេស ការពិពណ៌នាអំពីលក្ខណៈពិសេសថ្មី ឬការផ្លាស់ប្តូរស្ថាបត្យកម្មដែលអាចចាប់អារម្មណ៍ពីទិដ្ឋភាពសុវត្ថិភាព។


អត្ថប្រយោជន៍សំខាន់ៗនៃឆានែល Telegram របស់យើង៖

  • អាប់ដេតជាផ្លូវការ៖ ព័ត៌មានផ្ទាល់ និងគួរឱ្យទុកចិត្តពីក្រុមសុវត្ថិភាព inDrive។
  • ការជូនដំណឹងអំពីមុខងារថ្មី៖ ព័ត៌មានអំពីសេវាកម្ម និងមុខងារថ្មីៗដែលអាចចាប់អារម្មណ៍ចំពោះអ្នកចូលចិត្តផ្តល់រង្វាន់។
  • ការផ្សព្វផ្សាយ និងព្រឹត្តិការណ៍៖ ព័ត៌មានអំពីការផ្តល់ជូនពិសេស និងព្រឹត្តិការណ៍ដែលទាក់ទងនឹងកម្មវិធីផ្តល់រង្វាន់។


ព័ត៌មានបន្ថែមអំពីឆានែលអាចរកបានដោយធ្វើតាមតំណ — https://t.me/indrive_bbp ។


លើសពីនេះទៀត ដើម្បីទាក់ទាញអ្នកការពារថ្មី និងបទពិសោធន៍ យើងចាប់ផ្តើមយុទ្ធនាការជាទៀងទាត់នៅលើវេទិកា HackerOne ។ យុទ្ធនាការអនុញ្ញាតឱ្យយើងជំរុញចំណាប់អារម្មណ៍របស់អ្នកការពារនៅក្នុងកម្មវិធីរបស់យើង។ យើងក៏ប្រកាសផងដែរនូវរាល់យុទ្ធនាការដែលចាប់ផ្តើមតាមរយៈបណ្តាញ Telegram របស់យើង ដែលអនុញ្ញាតឱ្យយើងបញ្ជូនព័ត៌មានទៅកាន់ទស្សនិកជនបានយ៉ាងឆាប់រហ័ស និងលើកទឹកចិត្តពួកគេឱ្យចូលរួម។


ឧទាហរណ៍ ខាងក្រោមគឺជាស្ថិតិពីយុទ្ធនាការមួយ៖

វិធានការទាំងនេះអនុញ្ញាតឱ្យយើងរក្សាចំណាប់អារម្មណ៍លើកម្មវិធី bugbounty ក្នុងកម្រិតខ្ពស់ ដោយធានាឱ្យមានលំហូរឥតឈប់ឈរនៃគំនិត និងការរកឃើញថ្មីៗ ដែលចុងក្រោយរួមចំណែកដល់ការកែលម្អសុវត្ថិភាពនៃផលិតផលរបស់យើង។

ស្ថិតិនៃការដាក់ស្នើគ្រប់ពេលវេលា

គន្លឹះរបស់យើងនឹងជួយអ្នកឱ្យប្រសើរឡើងនូវពេលវេលារបស់អ្នកយ៉ាងខ្លាំងចំពោះគ្រប់ដំណាក់កាលនៃដំណើរការភាពងាយរងគ្រោះ — ពីពេលមួយទៅការឆ្លើយតបដំបូងរហូតដល់ការទទួលបានរង្វាន់ពីពេលមួយទៅពេលមួយ។

ហើយនេះនឹងបង្កើនការជឿទុកចិត្ត និងការពេញចិត្តរបស់អ្នកប្រមាញ់មេរោគដែលចូលរួមក្នុងកម្មវិធីរបស់អ្នក។


សរុបមក បទពិសោធន៍របស់យើងក្នុងការរៀបចំ និងបង្កើតកម្មវិធីផ្ដល់រង្វាន់នៅ inDrive គឺជាឧទាហរណ៍ដ៏រស់រវើកនៃរបៀបដែលការជួលអ្នកជំនាញផ្នែកសុវត្ថិភាពខាងក្រៅអាចពង្រឹងការការពារតាមអ៊ីនធឺណិតរបស់ក្រុមហ៊ុនយ៉ាងសំខាន់។ សូមអរគុណដល់សហគមន៍នៃពួក Hacker មួកសរបស់យើង ពួកយើងមិនត្រឹមតែអាចកំណត់អត្តសញ្ញាណ និងដោះស្រាយភាពងាយរងគ្រោះជាច្រើនប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងធ្វើឱ្យដំណើរការផ្ទៃក្នុងរបស់យើងប្រសើរឡើង ដែលបង្កើនប្រសិទ្ធភាពរបស់យើង និងធ្វើឱ្យការការពារប្រព័ន្ធ និងទិន្នន័យរបស់យើងប្រសើរឡើង។


យើងសូមថ្លែងអំណរគុណដល់អ្នកចូលរួមទាំងអស់នៃកម្មវិធី bug bounty របស់យើងសម្រាប់ការរួមចំណែកដ៏មានតម្លៃរបស់ពួកគេចំពោះសុវត្ថិភាពរបស់ inDrive និងអញ្ជើញអ្នកស្រាវជ្រាវថ្មីឱ្យចូលរួមសហគមន៍របស់យើង។ រួមគ្នា យើងនឹងធ្វើឱ្យពិភពឌីជីថលកាន់តែមានសុវត្ថិភាព!

Notion
L O A D I N G
. . . comments & more!

About Author

inDrive.Tech HackerNoon profile picture
inDrive.Tech@indrivetech
Team of inDrive developers who know how to experiment and learn from their mistakes for growth.
Read my stories

ព្យួរស្លាក

purcat-imgcybersecurity #bug-bounty #security #white-hat-hackers #vulnerabilities #information-security #cyber-security-awareness #bugbounty #good-company

អត្ថបទនេះត្រូវបានបង្ហាញនៅក្នុង...

Read on Terminal Reader Terminal
Read this story w/o Javascript Lite
Also published here

រឿងដែលទាក់ទង

Join HackerNoonloading
Latest technology trends. Customized Experience. Curated Stories. Publish Your Ideas