راهنمای استفاده از سامانه‌ی باگ‌جو
  • ۱. قبل از شروع به تست یک وب سایت حتما قوانین و شرایط مربوط به آن سایت را مطالعه کنید. در صورت تخطی از قوانین وضع شده توسط وب سایت، مسولیت عواقب ناشی از آن به عهده شما خواهد بود.
  • ۲. از یک نام کاربری و آدرس ایمیل مناسب برای ثبت نام در سامانه‌ی باگجو استفاده نمایید.
  • ۳. تیم باگ‌جو اطلاعات شخصی افراد را در اختیار هیچ نهاد و ارگانی قرار نخواهد داد، بهتر است شما نیز بدون اطلاع و اطمینان اطلاعات شخصی خود را در اختیار افراد قرار ندهید.
  • ۴. سعی کنید گزارشی که ارسال می‌کنید شفاف و ساده باشد. برای گزارش یک عنوان مناسب و کوتاه انتخاب نمایید. شما باید روند رخداد آسیب پذیری را به خوبی برای مشتری شرح دهید. مثلا: آسیب پذیری SQL Injection ناشی از عدم اعتبار سنجی آدرس ایمیل
    • 4-1-با نام کاربری خود وارد سایت شوید
    • 4-2- وارد قسمت ویرایش پروفایل کاربر بشوید.
    • 4-3- در قسمت آدرس ایمیل مقدار') and 1=convert(int,@@version)-- را وارد نمایید.
  • ۵. برای اثبات آسیب پذیری و شدت آن نیازی نیست که به داده‌های حساسی از سیستم هدف دسترسی پیدا کنید. تنها شرح آسیب پذیری و نحوه رخ داد آن کفایت می کند. اینکار خلاف قوانین باگ‌جو و وب سایت هایی موجود در باگ‌جو می‌باشد و ممکن است باعث ایجاد مشکل برای شما بشود.
  • ۶. هر یک از وب سایت‌های موجود در باگ‌جو ممکن است محدودیت‌های خاص خودش (مانند کمبود وقت، کمبود نیرو، تعدد آسیب پذیریهای گزارش شده) را داشته باشد، بنابراین برای تایید آسیب پذیری گزارش شده و رفع آن باید صبور باشید و به تیم‌ها وقت کافی بدهید.
  • ۷. یکی از اتفاقات پر تکرار در Bug Bounty Program ها، دریافت گزارشات تکراری می‌باشد. به یاد داشته باشید که غیر از شما افراد زیادی نیز به دنبال کشف آسیب پذیری هستند، پس ممکن است شما و افرادی دیگر به صورت تقریبا همزمان یک آسیب پذیری را پیدا کنید و از طرف وب سایت گزارش شما تکراری اعلام شود. در این شرایط شما نباید احساس بدی داشته باشید. حداقل شما فهمیدید که مسیر را درست رفته اید. با این حال اگر نیاز به کمک داشتید حتما با از طریق bugjoo@saminray.com تماس بگیرید تا مشکل را بررسی کنیم.
  • ۸. شما نباید محتوای گزارش و جزییات یک آسیب پذیری را با کسی به اشتراک بگذارید. این کار اخلاقی و قانونی نمی باشد و در دراز مدت باعث تخریب اعتبار شما (چه در باگ‌جو و چه خارج آن) خواهد شد.
  • ۹. برخی از وب سایت ها به صورت خصوصی از سرویس باگ‌جو استفاده می کنند. اگر شما از طرف آن وب سایت‌ها به برنامه‌ی آنها دعوت شده اید نباید جزییات برنامه آنها را در اختیار افراد دیگری قرار دهید.
  • ۱۰. افزایش امتیاز، رتبه‌ و سابقه‌ی شما بر اساس نوع باگ‌هایی که تا کنون گزارش کرده‌اید باعث می‌شود که از طرف وب‌سایت‌ها برای برنامه‌های خصوصی و یا فعالیت‌های دیگر دعوت شوید.