আসসালামু আলাইকুম। কেমন আছেন সবাই? আমরা যারা সাইবার সিকিউরিটি নিয়ে পড়াশুনা করি তারা সবাই বাগ বাউন্টি কথা টা অনেক শুনাছি বা এই বিষয়ে পর্যাপ্ত জ্ঞান রাখি। সাইবার সিকিউরিটি তে বেশীর ভাগ মানুষ চায় বাগ বাউন্টি করে টাকা ইনকাম করতে। প্রথমেই বলে নেই যে বাগ বাউন্টি কি?
বাগ বাউন্টি কি?
বিভিন্ন প্ল্যাটফর্ম আছে যাদের কাছে ছোটো বা বড় কোম্পানি গুলো তাদের নিজস্ব সিস্টেমের ভুল ক্রটি বের করার জন্য দিয়ে থাকে। আবার ওই প্ল্যাটফর্মে হ্যাকার রা থাকে যারা এই কোম্পানি গুলোর সিস্টেমের উপর Penetration Testing করে। যদি হ্যাকার রা কোনো ভুল ক্রটি পেয়ে থাকে তাহলে তারা প্ল্যাটফর্মের মাধ্যমে ওই কোম্পানির সিস্টেমের উপর করা penetration testing এর রিপোর্ট টা কোম্পানির কাছে সাবমিট করে। তখন ওই কোম্পানি ওই হ্যাকার কে নির্দিষ্ট পরিমাণের প্রাইজ মানি দিয়ে থাকে। এবং এই পুরো প্রসেস টাকে বাগ বাউন্টি বলা হয়।
অনেকেই চায় বাগ-বাউন্টি করে টাকা ইনকাম করার। কিন্তু তাদের মধ্যে ৬০% ব্যাক্তিই জানে না বাগ-বাউন্টি মূলত কি বা এর বেসিক গুলো কি কি? এর জন্য আমি এই পোষ্ট টি পড়ার অনুরোধ জানাচ্ছি।
চলুন এখন শুরু করা যাক কিভাবে বাগ-বাউন্টি তে টার্গেট সিলেক্ট করা যায়। নিচে এটি সম্পর্কে বিস্তারিত আলোচনা করা হলো।
কিভাবে বাগ-বাউন্টি তে টার্গেট সিলেক্ট করা যায়
অনেকেই বলবে যে, "বাগ বাউন্টি তে টার্গেট সিলেক্ট করা নিয়ে অতো না ভাবলেও চলবে, শুধু বাগ-হান্টিং এর স্কিল থাকলেই চলবে"। কিন্তু একজন বিগেনার দের জন্য বিষয় টা মোটেও তেমন না।
আপনি যদি ভালো টার্গেট সিলেক্ট করেন তাহলে আপনার বাগ খুজে পাওয়ার সম্ভাবনা অনেকাংশে বেড়ে যায়। প্রধানত ২ টি মাধ্যমে টার্গেট খুজে পাওয়া যায়। নিচে মাধ্যম দুটি সম্পর্কে বিস্তারিত আলোচনা করা হলো।
Method 1:
বাগ-বাউন্টি প্ল্যাটফর্ম সিলেক্টঃ
বর্তমানে অনেক অনেক বাগ-বাউন্টি প্ল্যাটফর্ম রয়েছে। কিন্তু কিছু প্ল্যাটফর্ম আছে যেগুলো বিগেনার কিংবা প্রফেশনাল, সকল বাগ হান্টার দের জন্যই সুবিধাজনক। নিচে কিছু বাগ-বাউন্টি সাইটের লিংক দেওয়া হলো যেগুলো থেকে আপনি আপনার বাগ-বাউন্টি ক্যারিয়ার শুরু করতে পারবেন।
এগুলো কিছু জনপ্রিয় বাগ-বাউন্টি প্ল্যাটফর্ম। কিন্তু সবচেয়ে বেশি এবং বহুল পরিচিত প্ল্যাটফর্ম টি হলো "HackerOne", আমি পার্সোনালি এই প্ল্যাটফর্ম টাকেই সাজেস্ট করবো আপনার বাগ হান্টিং ক্যারিয়ার শুরু করার জন্য।
HackerOne এ টার্গেট সিলেক্ট করাঃ
প্রথমেই HackerOne এ একজন হ্যাকার হিসেবে একটি একাউন্ট তৈরি করুন। তারপর আপনার পেজের Directory Tab এ যান। ট্যাব টি এই রকম দেখতে হবে,
Rule 1: টার্গেট সিলেক্ট করার সময় আমাদের কে খেয়াল রাখতে হবে যেন টার্গেট টির স্কোপ পুরো পুরি দেওয়া থাকে। টার্গেটের স্কোপ চেকের জন্য যেকোনো টার্গেটের উপর ক্লিক করলে নিচে দেওয়া ছবির মত দেখতে পারবেন।
Rule 2: যেহেতু অনেক বাগ হান্টার একটি টার্গেটের উপর কাজ করে থাকে তাই যে টার্গেটে স্কোপ বেশী সেই টার্গেটের উপর ই কাজ করা ভালো, যেহেতু আপনি একজন বিগেনার। এর জন্য আপনি টার্গেটের স্কোপ অপশানে দেখবেন *.target.com জাতীয় স্কোপ আছে। এগুলো তে অনেক বড় স্কোপ থাকে। এটার মানে হচ্ছে যে এই ডোমেইনের প্রত্যেক টা সাব-ডোমেইনে আপনি বাগ হান্টিং করতে পারবেন।
যেহেতু স্কোপ বেশী তাই সুযোগ ও বেশী থাকে বাগ হান্টিং এর। সুতরাং একজন বাগ হান্টার হিসেবে আপনাকে এই ধরনের টার্গেট সিলেক্ট করা উচিত।
Method 2:
এতক্ষণ আমরা দেখলাম কিভাবে বাগ-বাউন্টি প্ল্যাটফর্ম থেকে টার্গেট সিলেক্ট করা যায়। এবার আমরা দেখবো আমাদের সবার প্রিয় গুগল মামা থেকে কিভাবে টার্গেট সিলেক্ট করা যায়। হুম এটি অনেক মজাদার এবং অবাক করা বিষয় যে গুগল থেকেও টার্গেট খুজে পাওয়া যায়। নিচে বিস্তারিত আলোচনা করা হলো।
Find Targets From Google: আমরা গুগল থেকে Google Dorking এর মাধ্যমে টার্গেট খুজে পেতে পারি। যারা জানেন না যে গুগল ডর্কিং কি তারা গুগলে গুগল ডর্কিং দিয়ে সার্চ করলে পেয়ে যাবেন। একজন হ্যাকার হিসেবে গুগল ডর্কিং জানা আবশ্যক।
- site:.eu responsible disclosure
- inurl:index.php?id=
- site:.nl bug bounty
- “index of” inurl:wp-content/ (Identify WordPress Website)
- inurl:”q=user/password” (for finding drupal cms )
এখানে কিছু ডেমো ডর্ক দিয়ে দেওয়া হয়েছে যেগুলোর মাধ্যমে আপনি টার্গেট খুজে নিতে পারেন। এখানে লিস্টেড সব গুলো সাইটে আপনি বাগ হান্টিং করতে পারবেন। সার্চে প্রদত্ত সাইট গুলোতে গিয়ে তাদের নিয়ম গুলো দেখে নিন।
সর্বশেষ এটাই বলতে চাই যে, আপনি যদি একজন ভালো বাগ হান্টার হতে চান তবে আপনাকে অবশ্যই টার্গেট সিলেকশানের ভালো জ্ঞান থাকতে হবে। ধন্যবাদ।
2 Comments
very importive and useful article
ReplyDeleteThank you so much for supporting us. We are so glad to hear from you. Stay with us.
Delete