Bug Bounty শুরু করার পূর্ণ গাইড
Bug Bounty প্রোগ্রাম হচ্ছে এমন একটি প্রক্রিয়া যেখানে বিভিন্ন কোম্পানি বা ওয়েবসাইট হ্যাকারদের টাকা দিয়ে অনুরোধ করে যেন তারা তাদের সিস্টেমে নিরাপত্তার দুর্বলতা খুঁজে দেয়। এই পদ্ধতিতে হ্যাকারদের বলা হয় Ethical Hacker বা Security Researcher।
🧩 অধ্যায় ১: Bug Bounty কী?
✅ সহজ ভাষায়:
Bug Bounty হলো এমন একটি প্রোগ্রাম যেখানে আপনি যদি কোনো কোম্পানির ওয়েবসাইট, অ্যাপ বা সার্ভারে নিরাপত্তা দুর্বলতা খুঁজে পান এবং সেটি রিপোর্ট করেন — তাহলে কোম্পানি আপনাকে অর্থনৈতিক পুরস্কার দেয়।
🎁 আপনি যা পেতে পারেন:
-
💵 নগদ অর্থ
-
🏅 Hall of Fame (প্রতিষ্ঠানের ওয়েবসাইটে আপনার নাম)
-
🎫 Swag (T-shirt, স্টিকার ইত্যাদি)
🛠️ অধ্যায় ২: কী কী স্কিল দরকার?
আপনার Bug Bounty শুরু করতে নিচের জ্ঞান থাকা উচিত:
| বিষয় | বিস্তারিত |
|---|---|
| Web Security Basics | HTTP, Cookies, Sessions, Authentication |
| OWASP Top 10 | SQLi, XSS, CSRF, Broken Auth ইত্যাদি |
| Burp Suite | ওয়েব ট্রাফিক বিশ্লেষণ ও ম্যানিপুলেট করার টুল |
| Linux & Terminal | Command Line ব্যাসিক জ্ঞান |
| Reconnaissance | সাবডোমেইন, IP, ও DNS স্ক্যানিং শেখা |
✅ শিখতে পারেন:
🌐 অধ্যায় ৩: Bug Bounty প্ল্যাটফর্মে অ্যাকাউন্ট খোলা
আপনি যেসব প্রোগ্রাম জয়েন করতে পারেন:
১. 🛡️ HackerOne
-
আন্তর্জাতিক সবচেয়ে জনপ্রিয় প্ল্যাটফর্ম
-
Uber, PayPal, Twitter ইত্যাদির প্রোগ্রাম আছে
-
শুরুতে: Public CTF বা TryHackMe-এর মতো প্লে-গ্রাউন্ডে প্র্যাকটিস করুন
২. 🔍 Bugcrowd
-
Yahoo, Atlassian-এর মতো কোম্পানির প্রোগ্রাম
-
রিপোর্ট Submit করতে VDP (Vulnerability Disclosure Program) দিয়ে শুরু করুন
৩. 🐛 Intigriti
-
ইউরোপিয়ান কোম্পানির অনেক প্রোগ্রাম থাকে
-
সাবধানে পড়ুন Scope এবং Out-of-scope
৪. 🧪 YesWeHack, Synack (নিমন্ত্রণ-ভিত্তিক)
📝 অধ্যায় ৪: কীভাবে রিপোর্ট লিখবেন?
✅ একটি Bug Report-এ যা যা থাকা উচিত:
-
Title:
Reflected XSS on login page via query parameter -
Summary:
একটি সারাংশ যা বলবে কী ধরনের সমস্যা এবং তার ইম্প্যাক্ট। -
Steps to Reproduce:
-
Impact:
User session hijack হতে পারে। -
Proof of Concept (PoC):
সরাসরি প্রমাণ দেখানো যেমন স্ক্রিনশট, ভিডিও, বা PoC URL -
Recommendations:
কোম্পানিকে গাইড করুন কিভাবে এটি ঠিক করা যায়।
✅ ভাষা:
-
ইংরেজিতে পরিষ্কার ও প্রফেশনাল ভাষায় লিখুন।
-
Grammarly বা ChatGPT দিয়ে রিপোর্টের ইংরেজি চেক করুন।
💳 অধ্যায় ৫: পেমেন্ট কিভাবে পাওয়া যায়?
| প্ল্যাটফর্ম | পেমেন্ট মেথড | শর্ত |
|---|---|---|
| HackerOne | Payoneer, ACH | 2FA চালু থাকা আবশ্যক |
| Bugcrowd | PayPal | রিপোর্ট অ্যাপ্রুভ হলে |
| Intigriti | Bank Transfer | EU ভিত্তিক ব্যাঙ্ক একাউন্ট সাপোর্ট করে |
🔔 বাংলাদেশ থেকে পেমেন্ট পাওয়ার সবচেয়ে সহজ উপায় হচ্ছে Payoneer বা Wise।
✅ অধ্যায় ৬: কিভাবে শুরু করবেন — ধাপে ধাপে
| ধাপ | কাজ |
|---|---|
| ১ | Web Application Security শেখা শুরু করুন (OWASP Top 10) |
| ২ | Burp Suite ও Recon টুল শিখুন |
| ৩ | HackerOne বা Bugcrowd-এ অ্যাকাউন্ট খুলুন |
| ৪ | VDP প্রোগ্রাম দিয়ে শুরু করুন (No reward, but good for practice) |
| ৫ | রিপোর্ট লিখার প্র্যাকটিস করুন |
| ৬ | রিপোর্ট সাবমিট করলে ধৈর্য ধরুন |
| ৭ | ইনকাম পেলে Payoneer অ্যাকাউন্টে টাকা তুলুন |
🎯 Bonus: কিছু Bug Ideas (শুরু করার জন্য)
-
Subdomain takeover
-
XSS (Reflected, Stored)
-
IDOR (Insecure Direct Object Reference)
-
SQLi
-
Misconfigured S3 buckets
-
Open Redirect
-
Rate Limiting bypass
📌 গুরুত্বপূর্ণ টিপস:
✅ শুধু পোর্ট স্ক্যানিং করলেই রিপোর্ট করবেন না
✅ প্রোগ্রামের Scope ভালোভাবে পড়ুন
✅ রিপোর্টের ভাষা যেন পেশাদার হয়
✅ কোনো অ্যাটাক বা ডিডস করবেন না (অবৈধ)
🔚 উপসংহার
Bug Bounty হলো শেখার, প্র্যাকটিস করার ও ইনকাম করার দুর্দান্ত মাধ্যম। তবে এটা সময়সাপেক্ষ — ধৈর্য, প্র্যাকটিস ও ধারাবাহিকতা আপনাকে সফল করে তুলবে।