inDrive's bug bounty වැඩසටහන දුර්වලතා හඳුනා ගැනීමට සහ ආරක්ෂක ක්‍රියාවලීන් ප්‍රශස්ත කිරීමට white hat හැකර්වරුන් සමඟ සහයෝගයෙන් සයිබර් ආරක්ෂාව ශක්තිමත් කරන ආකාරය ඉගෙන ගන්න.

හැඳින්වීම

ඩිජිටල් තාක්‍ෂණය අපගේ ජීවිතයේ සෑම අංශයකටම ඇතුළු වන ලෝකයක, සයිබර් ආරක්‍ෂාව ඉතා වැදගත් වේ. ලොව පුරා සමාගම් ඔවුන්ගේ දත්ත සහ පද්ධති සයිබර් තර්ජන වලින් ආරක්ෂා කර ගැනීම සඳහා විශාල වශයෙන් ආයෝජනය කරයි. ආරක්ෂාව ශක්තිමත් කිරීම සඳහා වඩාත් ඵලදායී ක්රමයක් වන්නේ ස්වාධීන ආරක්ෂක විශේෂඥයන් සමඟ වැඩ කිරීමයි, එය "වයිට් හැට් හැකර්" ලෙසද හැඳින්වේ.

දෝෂ ත්‍යාග වැඩසටහනක් දියත් කිරීමට සැලසුම් කරන හෝ දැනටමත් එකක් දියත් කර ඇති සමාගම් සඳහා මෙම ලිපිය ප්‍රයෝජනවත් වනු ඇත. අපි inDrive හි දෝෂ ත්‍යාග වැඩසටහන සංවිධානය කිරීම සහ සංවර්ධනය කිරීම සහ එය අපගේ සයිබර් ආරක්‍ෂාව ශක්තිමත් කිරීමට උපකාරී වූ ආකාරය පිළිබඳ අපගේ අත්දැකීම් බෙදා ගන්නෙමු.

සියලුම ආරක්‍ෂක ගැටලු විසඳීමට එය කෝකටත් තෛලයක් නොවන බැවින් දෝෂ ත්‍යාග වැඩසටහනට පමණක් සීමා නොවිය යුතු බව ද පෙන්වා දීමට කැමැත්තෙමු. දෝෂ ත්‍යාගය ඔබට සමහර දුර්වලතා හඳුනා ගැනීමට උදවු කළ හැකි නමුත්, එය විය හැකි තර්ජනවල සම්පූර්ණ පරාසය ආවරණය නොකරයි. විවිධ ආරක්ෂක මෙවලම් සහ ශිල්පීය ක්‍රම භාවිතා කිරීම ඇතුළත් ආරක්ෂාව සඳහා ඔබ පුළුල් ප්‍රවේශයක් ගත යුතුය.

පහත ප්‍රස්ථාරයේ දැක්වෙන පරිදි, විවිධ මෙවලම් විවිධ දුර්වලතා හඳුනා ගනී, ස්වයංක්‍රීය ස්කෑනර්, ස්ථිතික සහ ගතික කේත විශ්ලේෂණය, ආරක්ෂක විගණන සහ සේවක පුහුණුව වැනි ක්‍රම ඒකාබද්ධ කිරීමේ වැදගත්කම අවධාරණය කරයි.

ආරම්භය

මුලදී, අපගේ bug bounty වැඩසටහන සංවෘත මාදිලියේ ක්‍රියාත්මක විය. මෙමගින් අපට bughunters ගලායාම පාලනය කිරීමටත්, ක්‍රමයෙන් ආරාධනා යැවීමටත්, ප්‍රතිඵල නිරීක්ෂණය කිරීමටත් හැකි විය. මෙම ප්රවේශය අභ්යන්තර ක්රියාවලීන් නිශ්ශබ්දව දෝෂහරණය කිරීමට සහ වැඩිදියුණු කිරීමට අපට අවස්ථාව ලබා දුන්නේය. මෙයට ස්තූතිවන්ත වන්නට, අපට ප්‍රසිද්ධියට යාමට සූදානම් වීමට හැකි විය.

ඒකාබද්ධ කිරීම සහ ත්‍රිත්වය

bug bounty වැඩසටහනක ඇති දුර්වලතා හඳුනා ගැනීම ප්‍රධාන පියවරකි. මෙම ක්‍රියාවලිය වේගවත් හා කාර්යක්ෂම කිරීමට අපි Slack සහ Jira සමඟ ස්වයංක්‍රීයව ඒකාබද්ධ කිරීම භාවිතා කරමු.

ස්ලැක්

අපි නාලිකා දෙකක් භාවිතා කරමු:

• වාර්තා සැකසීමේදී ප්‍රධාන සිදුවීම් සන්නිවේදනය කිරීමේ ප්‍රධාන නාලිකාව. මෙයට නව වාර්තා පිළිබඳ දැනුම්දීම්, ඉංජිනේරුවන්ට කාර්ය පැවරීම් සහ අවදානම් හෙළිදරව් කිරීමේ ඉල්ලීම් ඇතුළත් වේ. මෙම නාලිකාව කණ්ඩායමට විවේචනාත්මක සිදුවීම් පිළිබඳව සැමවිටම දැනුවත් වීමට ඉඩ සලසයි.

• අතිරේක නාලිකාවක් වාර්තාවල මූලික විශ්ලේෂණය සහ ත්‍රිකෝණයට සම්බන්ධ සේවකයින් සඳහා වේ. වාර්තා අදහස් සහ නඩු විභාග විස්තර වැනි හදිසි නොවන ක්‍රියාකාරකම් පිළිබඳ දැනුම්දීම් මෙහි එවනු ලැබේ.

ගිණුම් ගැලපීම

HackerOne සහ Slack පරිශීලකයන් අතර සිතියම්ගත කිරීමක් සැකසීම වැදගත් අදහස් සහ වාර්තා සටහන් සෘජුවම වගකිව යුතු පාර්ශ්ව වෙත ලබා දීම සහතික කරයි, වැදගත් තොරතුරු මඟ හැරීමේ අවදානම අවම කරයි. මෙය inDrive ආරක්ෂක කණ්ඩායම සහ පර්යේෂකයන් අතර සන්නිවේදනය සරල කරයි, වඩාත් ඵලදායී අවදානම් පිළියම් සඳහා පහසුකම් සපයයි.

ජිරා

ජිරා සමඟ ඒකාබද්ධ කිරීම මඟින් නිශ්චිත ක්ෂේත්‍ර කට්ටලයක් සමඟ නිවැරදි ස්ථානයේ පමණක් කාර්යයක් නිර්මාණය කිරීමට ඔබට ඉඩ සලසයි. ජිරා ඔටෝමේෂන් ක්‍රියාකාරීත්වය භාවිතා කරමින්, අපගේ අභ්‍යන්තර අවදානම් හැසිරවීමේ ක්‍රියාවලීන් වැඩිදියුණු කිරීම සඳහා අපි අපගේම කාර්ය සැකසුම් රීති නිර්මාණය කළෙමු, මෙම ක්‍රියාවලිය කාර්යක්ෂමව සංවිධානය කිරීමට අපට ඉඩ සලසයි. පහත දැක්වෙන්නේ මෙම ස්වයංක්‍රීයකරණයේ උදාහරණයකි.

• ස්වයංක්‍රීයකරණයෙන් සොයා ගන්නා ලදී: පද්ධතිය ස්වයංක්‍රීයව Found By ක්ෂේත්‍රය දෝෂ ත්‍යාග අගය සමඟ පුරවයි, විශ්ලේෂණ සඳහා කාර්යයේ මූලාරම්භය දක්වයි.

• කාර්ය පැවරීම: රීති භාවිතා කරමින්, කාර්යයක් ස්වයංක්‍රීයව ඉංජිනේරුවෙකුට පැවරේ, වැඩ බෙදා හැරීම සහතික කරයි.

• ස්ලැක් දැනුම්දීම්: කාර්යයක් පැවරූ විට, ඉංජිනේරුවරයා සඳහන් කර අවශ්‍ය සියලු තොරතුරු සපයන දැනුම්දීමක් ස්ලැක් වෙත යවනු ලැබේ.

විවේචනාත්මක දුර්වලතා සඳහා:

• කැප වූ Slack නාලිකාවකට පණිවිඩ: තීරණාත්මක අවදානමක් පිළිබඳ දැනුම්දීම වහාම ප්‍රතිචාර දැක්වීම සඳහා වෙනම නාලිකාවකට යවනු ලැබේ.

• SMS පණිවිඩ යැවීම: ඊට අමතරව, SMS දැනුම්දීම් වගකිව යුතු පුද්ගලයින්ට යවනු ලැබේ.

ප්‍රේරක සමඟ අයාචිත තැපැල් සමඟ සටන් කිරීම

HackerOne හි ප්‍රේරක යනු නව අවදානම් වාර්තාවලට අදාළ ඇතැම් සිදුවීම්වලට ප්‍රතිචාර වශයෙන් විවිධ ක්‍රියා ස්වයංක්‍රීය කිරීමට ඔබට ඉඩ සලසන ප්‍රබල මෙවලමකි. ඔවුන් ආරක්ෂක කණ්ඩායමේ කාර්යය බෙහෙවින් සරල කරන අතර වාර්තා වලට ප්‍රතිචාර දැක්වීමේ ක්‍රියාවලිය ප්‍රශස්ත කිරීමට උපකාරී වේ.

උදාහරණයක් ලෙස, සමාගම inDriver සිට inDrive වෙත නැවත සන්නාම කිරීමේදී, අපි බොහෝ විට සමාජ මාධ්‍ය ගිණුම් සමඟ ගැටලු වාර්තාවලට මුහුණ දුන්නා.

අපි ප්‍රේරකය පහත පරිදි අභිරුචිකරණය කළෙමු:

• ප්‍රේරක කොන්දේසිය: වාර්තාවේ ලැයිස්තුවෙන් වචන තිබේ නම්: මාධ්‍ය, සමාජ, ෆේස්බුක්, ට්විටර්, ඉන්ස්ටග්‍රෑම්.

• ප්‍රේරක ක්‍රියාව: නිශ්චිත කොන්දේසිය අනාවරණය වූ විට, පහත අනතුරු ඇඟවීමේ පෙළ සහිත උත්පතන කවුළුවක් ස්වයංක්‍රීයව පර්යේෂකයාට දර්ශනය වේ: “ආයුබෝවන්, ඔබ සමාජ මාධ්‍ය සබැඳි (Instagram, Twitter, Facebook) පිළිබඳ ගැටලුවක් වාර්තා කිරීමට ආසන්න බව පෙනේ. ) අපගේ සමාගම නැවත සන්නාමගත කිරීමේ ක්‍රියාවලියක යෙදී සිටින අතර අපි මෙම ගැටළුව පිළිබඳව දනිමු. අපි මෙම ගැටලුව සඳහා වාර්තා තාවකාලිකව භාර නොගනිමු, එබැවින් ඉදිරියට ගොස් වාර්තාවක් ඉදිරිපත් කිරීමට පෙර ගැටලුව නිසි ලෙස පිළිගෙන ආරක්ෂක ප්‍රතිපත්තිය පිළිබඳව ඔබව හුරු කරවන ලෙස අපි ඔබෙන් ඉල්ලා සිටිමු.

මෙය නුසුදුසු වාර්තා ගණන අඩු කිරීමට පමණක් නොව පර්යේෂකයන් දැනුවත් කිරීමටත්, අනාගත වාර්තාවල ගුණාත්මකභාවය වැඩි දියුණු කිරීමටත් උපකාරී වේ.

ව්‍යාපාරය සහ ටෙලිග්‍රාම් නාලිකාව

කාලයත් සමඟ වැඩසටහනේ ක්රියාකාරිත්වය අඩු වන බව අපි තේරුම් ගත්තා. මෙය ස්වාභාවික ක්‍රියාවලියක් වන අතර, වඩාත් පැහැදිලිව පෙනෙන දුර්වලතා දැනටමත් සොයාගෙන ඉවත් කර ඇති අතර, පර්යේෂකයන්ගේ අවධානය නැවත ආකර්ෂණය කර ගැනීම සඳහා අමතර උත්සාහයන් අවශ්‍ය වේ. අපගේ වැඩසටහන සඳහා ඉහළ මට්ටමේ නියැලීමක් සහ උනන්දුවක් පවත්වා ගැනීම සඳහා, අපි පියවර ගණනාවක් ගත්තා.

ප්‍රධාන මෙවලම්වලින් එකක් වූයේ බගුන්ටර් සඳහා අපගේ විශේෂිත ටෙලිග්‍රාම් නාලිකාවයි. මෙම නාලිකාව සන්නිවේදන මාධ්‍යයක් ලෙස පමණක් නොව ප්‍රයෝජනවත් තොරතුරු හුවමාරු කර ගැනීමේ වේදිකාවක් ලෙසද සේවය කරයි. අපි අපගේ යෙදුම පිළිබඳ තොරතුරු සක්‍රියව බෙදා ගන්නා අතර පර්යේෂකයන්ට අපගේ සේවාවන්හි දුර්වලතා සොයා ගැනීමට උපකාර කළ හැකි ද්‍රව්‍ය සපයන්නෙමු. මෙය තාක්ෂණික ලියකියවිලි, නව විශේෂාංග පිළිබඳ විස්තර හෝ ආරක්ෂක දෘෂ්ටිකෝණයකින් උනන්දුවක් දැක්විය හැකි වාස්තු විද්‍යාත්මක වෙනස්කම් විය හැකිය.

අපගේ ටෙලිග්‍රාම් නාලිකාවේ ප්‍රධාන ප්‍රතිලාභ:

• නිල යාවත්කාලීන: inDrive ආරක්ෂක කණ්ඩායමෙන් සෘජු සහ විශ්වාසදායක පුවත්.
• නව විශේෂාංග නිවේදන: බග් බෝන්ටි ලෝලීන්ට උනන්දුවක් දැක්විය හැකි නව සේවා සහ විශේෂාංග පිළිබඳ තොරතුරු.
• ප්‍රවර්ධන සහ සිදුවීම්: දෝෂ ත්‍යාග වැඩසටහනට අදාළ විශේෂ දීමනා සහ සිදුවීම් පිළිබඳ තොරතුරු.

නාලිකාව පිළිබඳ වැඩි විස්තර සබැඳිය අනුගමනය කිරීමෙන් සොයාගත හැකිය - https://t.me/indrive_bbp.

මීට අමතරව, නව සහ පළපුරුදු bughunters දෙකම ආකර්ෂණය කර ගැනීම සඳහා, අපි HackerOne වේදිකාව මත නිතිපතා ව්‍යාපාර දියත් කරමු. ප්‍රචාරණ මගින් අපගේ වැඩසටහන කෙරෙහි බගන්ටන්ගේ උනන්දුව උත්තේජනය කිරීමට අපට ඉඩ සලසයි. අපගේ ටෙලිග්‍රාම් නාලිකාව හරහා සියලුම ප්‍රචාරණ දියත් කිරීම් ද අපි නිවේදනය කරමු, එමඟින් ප්‍රේක්ෂකයින්ට තොරතුරු ඉක්මනින් ප්‍රකාශ කිරීමට සහ ඔවුන් සහභාගී වීමට දිරිගැන්වීමට ඉඩ සලසයි.

උදාහරණයක් ලෙස, එක් ව්‍යාපාරයක සංඛ්‍යාලේඛන පහත දැක්වේ:

මෙම ක්‍රියාමාර්ග මගින් අපගේ නිෂ්පාදනවල ආරක්‍ෂාව වැඩිදියුණු කිරීමට අවසානයේ දායක වන නැවුම් අදහස් සහ සොයාගැනීම් නිරන්තරයෙන් ගලායාම සහතික කරමින්, දෝෂාභියෝග වැඩසටහන පිළිබඳ උනන්දුව ඉහළ මට්ටමක තබා ගැනීමට අපට ඉඩ සලසයි.

අවදානම් සැකසීමේ සෑම අදියරකටම ඔබේ කාලය නාටකාකාර ලෙස වැඩිදියුණු කිරීමට අපගේ ඉඟි ඔබට උපකාර කරනු ඇත - වරින් වර ට්‍රයිජ් කිරීමට ප්‍රතිචාර දැක්වීමට පළමු ප්‍රතිචාරය දක්වා.

තවද මෙය ඔබගේ වැඩසටහනට සහභාගී වන දෝෂ දඩයම්කරුවන්ගේ විශ්වාසය සහ තෘප්තිය වැඩි කරයි.

අවසාන වශයෙන්, inDrive හි දෝෂ ත්‍යාග වැඩසටහනක් සංවිධානය කිරීම සහ සංවර්ධනය කිරීම පිළිබඳ අපගේ අත්දැකීම් බාහිර ආරක්ෂක විශේෂඥයින් බඳවා ගැනීම සමාගමක සයිබර් ආරක්ෂාව සැලකිය යුතු ලෙස ශක්තිමත් කළ හැකි ආකාරය පිළිබඳ පැහැදිලි උදාහරණයකි. අපගේ සුදු තොප්පි හැකර්වරුන්ගේ ප්‍රජාවට ස්තූතිවන්ත වන්නට, අපට බොහෝ දුර්වලතා හඳුනා ගැනීමට සහ ඒවාට පිළියම් යෙදීමට පමණක් නොව, අපගේ අභ්‍යන්තර ක්‍රියාවලීන් ප්‍රශස්ත කිරීමට ද හැකි වූ අතර, එමඟින් අපගේ කාර්යක්ෂමතාව ඉහළ නංවා අපගේ පද්ධති සහ දත්තවල ආරක්ෂාව වැඩිදියුණු විය.

inDrive හි ආරක්ෂාව සඳහා ඔවුන්ගේ අගනා දායකත්වය වෙනුවෙන් අපගේ දෝෂ ත්‍යාග වැඩසටහනේ සියලුම සහභාගිවන්නන්ට අපි ස්තූතිවන්ත වන අතර අපගේ ප්‍රජාවට එක්වන ලෙස නව පර්යේෂකයන්ට ආරාධනා කරන්නෙමු. එක්ව, අපි ඩිජිටල් ලෝකය ආරක්ෂිත කරන්නෙමු!