Всё о системе bug bounty

Автор: Gosha_Stepkin (RU)Дата последнего изменения: 08-07-2024

enter image description here В этом руководстве вы узнаете что такое Bug Bounty, в чем плюсы этой программы и какие награды вы можете получить.

BugBounty - что это такое?

Если ссылаться на википедию, то это - программа, предлагаемая некоторыми веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок, особенно тех, которые касаются эксплойтов и уязвимостей.

В Stalcraft, эта программа работает точно так же, то есть любая уязвимость или эксплойт которые будут переданы разработчикам от игрока - в последствии будут исправлены, а игрок вознагражден.

Какие уязвимости подпадают под эту программу?

По сути, любая ошибка в игре - уже попадает под определение Bug Bounty, но это засчитывается лишь в вашу базовую статистику, с которой команда разработчиков “EXBO” на данный момент не придумала что делать.

Если же вы отправляете критическую ошибку, она будет идти в отдельный список, помимо этого - вас будет ждать поощрение, о нём немного позже.

Градация уязвимостей

В простонародье существует парочка определений, таких как “Абуз, дюп, уязвимость в игре либо сайте”

1. Абуз

Абуз представляет из себя махинацию с игровой механикой по принципу как изображено на картинке:

Изображение абуза

В данной ситуации, квестовый персонаж вместо того что бы один раз выдать награду - выдает её бесконечно, а игрок не понимает почему. Это и характеризует абуз: зацикливающееся получение конкретного предмета(ов) бесконечное количество раз. Не важно сломался данный персонаж или вы сломали его своими действиями - вариаций может быть достаточно, это самая распространенная и простая в понимании ситуация.

2. Дюп

Дюп, это очень обширное понятие, абсолютно без разницы как вы его найдете/сделаете, его суть заключается в раздвоение предмета/валюты любым способом. Смоделируем ситуацию: Вы обмениваетесь с игроком предметом, но обмен происходит не стандартно. Вместо того, что бы предмет пропал у вас и появлялся у игрока - после обмена он остается и у вас и появляется у игрока с кем вы производили обмен.

В таком случае происходит дюп: раздвоение любого предмета и/или игровой валюты через ошибку либо вызванную ошибку со стороны игрока

3. Уязвимости, эксплойты

Тут всё очень интересно, для начала постараюсь объяснить какие все же они бывают. Например: получение доступа к базе данных, получение административных прав, управление сервером и т.д . В общем, всё что связано с несанкционированным доступом к закрытым для игрока утилитам либо возможностям. В отличии от абуза или дюпа - такое невозможно найти просто играя, для этого нужно понимание игрового/серверного кода и его изменение.

Существует даже отдельная профессия под названием Пентестер, его отличие от тестера в том - что он проверяет код сайта/приложения на критические уязвимости без помощи разработчика, а тестер - тестирует игровой код который ему предоставили.

В stalcraft бывали случаи когда люди находили очень критические эксплойты, но информацию про них и уж тем более про изучения понятия “Пентест” я не буду писать, иначе статья превратится в “пособник для юнного хакера”

Какое вознаграждение предусмотрено по программе Bug Bounty?

Тут на самом деле разработчики EXBO рассматривают каждую ситуацию индивидуально, по этому я дам вам примерные объёмы вознаграждения, поскольку всё зависит от критичности ошибки/уязвимости.

  • Первое что вам предлагают, это реальные деньги либо сталкоины(донат) можно разделить в любых пропорциях, допустим вам предложили 10.000 рублей/20.000 сталкоинов - вы можете взять 5.000 рублей и 10.000 сталкоинов, либо взять что-то одно.
  • Уникальные скины либо любой скин из игры.

Существует всего 5 уникальных скинов, они есть как на броню так и на оружие:

Мама будет ругаться

Мама будет ругаться

Хуевый стоковый

Хуевый стоковый

Опасность

Опасность

Банановый воин

Банановый воин

Воин гороха

Воин гороха

Самое интересное, скин “Хуёвый стоковый” больше нельзя получить по этой программе, но есть игроки у которых он существует.

  • Уникальное достижение.

В зависимости от того какое количество багов вы предоставили, вам выдают уникальное достижение:

  1. За первый баг: “Друг EXBO”
  2. За второй баг: “Помощник администратора”
  3. За третий баг: “Tester Number One”

enter image description here

Если же вы отправили разработчикам 5 критических ошибок/уязвимостей - поздравляю, вы прошли Bug Bounty! Но даже если вы отправите больше пяти - награда все равно будет, просто на этом этапе заканчивается выдача уникальных достижений.

Пришло время рассказать, что вы можете получить за предоставление той или иной информации разработчикам.

Детальный разбор наград

1. Абуз

  • 5.000 рублей/10.000 сталкоинов
  • Уникальный скин либо любой скин доступный в игре
  • Уникальное достижение

В редких случаях возможна награда в “10.000 рублей/20.000 сталкоинов”

2. Дюп

  • От 20.000 рублей/40.000 сталкоинов, до 50.000 рублей/100.000 сталкоинов
  • Уникальный скин либо любой скин доступный в игре
  • Уникальное достижение

3. Уязвимость/эксплойт

Тут все подбирается максимально индивидуально, по этому награда зависит от критичности.

  • От 5.000 рублей/10.000 сталкоинов - до 150.000 рублей/300.000 сталкоинов
  • Уникальный скин либо любой скин доступный в игре
  • Уникальное достижение

Был случай, когда за один лишь эксплойт - игрок получил максимальную награду и несколько уникальных скинов, вместе с этим - полный комплект уникальных достижений.

Каков итог?

Система Bug Bounty в Stalcraft очень щедрая, по этому если вы знаете какую-либо ошибку или уязвимость - лучше сразу предоставлять ее в техническую поддержку. Доступна она по следующим ссылкам: Вконтакте(личные сообщения) EXBO support

Ответы на вопросы

Если я использую, например, дюп в своих интересах и не сообщу об этом администрации, мне же ничего не будет?

Будет, еще и как. Если вы используете игровой недочет во вред проекту либо в выгоду себе - вы получите заслуженную блокировку в игре, или в худшем случае - вечную блокировку на проекте, этакий “Черный список”

А если я использую дюп в своих интересах, а потом отправлю в техническую поддержку, мне заблокируют аккаунт?

Интересный вопрос на самом деле. Если вы условно надюпали незначительное количество валюты, вам ничего не будет, но если вы из 10.000 игровой валюты сделали 100.000.000 и пошли просить награду - у вас отберут валюту и скорее всего анулируют награду за недочет. Такой случай был, по этому не рекомендую так поступать. Это относится ко всем ошибкам и уязвимостям, по этому лучше сразу передавать информацию в техническую поддержку.

Я передал информацию про уязвимость, но мне отказали в награде, как же так?

Такое возможно в трёх случаях:

  1. Уязвимость не достаточно критическая
  2. Уязвимость до вас передал другой игрок
  3. Разработчики уже знают про это. Старайтесь максимально быстро передавать информацию, так больше шансов что вы будете первым. Ведь кто первый отправил информацию - того и награда.

Можно ли выбрать скин который существует в игре, но он не уникальный и не отображается в списке доступных скинов в игре? И можно ли получить костюм “PRO-Helper”?

Тут не знаю, ссылаясь на слова ZIV`a на недавнем интервью - такое возможно, но только если ошибка/уязвимость действительно серьезная. Возможно если вы захотите костюм, у вас будет выбор: Pro-Helper либо стандартная награда в виде рубли+скин+ачивка. Вы всегда можете уточнить это в технической поддержке.

Спасибо за внимание, юнный БагХантер! Увидимся на просторах зоны