كيف تصبح مكتشف ثغرات Bug bounty hunter ؟

 كيف تصبح مكتشف ثغرات "Bug bounty hunter"؟

او كيف تصبح صياد مكافآت للاخطاء Bug Bounty Hunter

المنشور المنتظر 😍 اتمنى يعجبكم 

هذه صورة المخترق ويدعى Chang Chi yuan الذي ادعى انه قام باستهداف الثغرة التى جعلت فيس بوك تقوم بعمل Force Logout ل 90 مليون حساب على موقعها.


ماهو عمل هذا الشخص Chang Chi yuan؟


شانج شي يوان يعمل كصياد مكافأت للاخطاء او Bug Bounty Hunter


من اين اتت كلمة صياد المكافأت نعود قليلاً الى الماضي القديم ايام ال cowboys والغرب الامريكي المتوحش, فمن المؤكد انك قد شاهدت افلام رعاه البقر والمجرمين وكيف يتم ملاحقتهم وذلك بتعليق صورهم على جدران المنازل وفي مكتب الشريف ووضع مكافأة على المجرم سواء كان حي او ميت


الان لم نعد نعيش في عالم فيه خارجين عن القانون وايضاً المجرمين تلاحقهم الحكومات ولا داعي للاستخدام صائدي الجوائز الذين يبحثون عن المجرمين, واصبح الوضع الان هو صيد للجوائز في مجال امن المعلومات…


اذن ماهو ال Bug Bounty Hunting هي برامج تقام على الانترنت ويجتمع فيها الكثير من المخترقين الاخلاقيين (White Hat Hackers) من اجل عمل اختبارات وفحوصات للمواقع واستخراج الثغرات وعندما يجد المخترق الاخلاقي ثغره يرسلها الى الموقع الذي تم فحصة وعلى حسب صعوبة الثغرة يتم اعطاء المخترق جائزة مالية وقد تصل الى ملايين الدولارات في بعض الاحيان, وهذا هو العمل الذي يقوم به شانج شي يوان التايواني.


اذن كيف يمكنني ان اصبح مثل شانج شي يوان؟


لكي تصبح صياد مكافأت للاخطاء او Bug Bounty Hunter عليك ان تكون مبرمجاً للويب Web وان تكون على معرفة كبيرة بتقنيات الويب مثل ال HTML, CSS, JAVASCRIPT, PHP وتعرف كيف يعمل الويب بشكل عام.


ان تدرس انواع الثغرات التى توجد على الويب مثل ال CSRF, SQL Injection, XSS, Access Token Harvesting


وبعد ذلك يأتي استخدام الادوات التى تقوم بها بعمل اختبارات للمواقع مثل ال tracing و mapping وهنالك اداه مهمة تقوم بكل ذلك واسمها burp suite


والان جاء دور دخولك للمواقع التى يجتمع بها المخترقين الاخلاقيين واصحاب المواقع التى يراد عمل الاختبارات عليها وهذه بعض المواقع التى يمكن الانضمام لها والبدء في عمل الفحوصات والاختبارات والاختراقات وتسمى CROWDSOURCED Cyber Security Platform


والسبب في تسميتها CrowdSourced انها تقوم على مبدا ان اي شخص يمكنه الانضمام لعمل الاختبارات, فبدل ان يأتي اصحاب الموقع بشركات متخصصة في الاختراقات والتى قد تكلف اموال طائلة, فأنة يوكل هذه المهمة لجميع المشتركين في منصات Bug Bounty حتى يفصحوا مواقعهم ويأتوهم بالنتائج.


على العموم اشهر موقعين في هذا المجال هم: bugcrowd و منصة hackerone


وايضاً يوجد مواقع ومنصات اخرى وقد يطول ذكرها في هذا البوست.


لكن على العموم الطريق لكي تصبح مختبر اختراقات مواقع الكترونية ليس بذلك الصعب, ولكنه يتطلب منك ان تكون مثابر بشكل متواصل بقراءة اخر اخبار الاختراقات والثغرات ولا انسى اهم مهارة في هذا المجال التى هي التجربة والخطا, فكلما جربت اكثر كلما تعلمت اكثر حتى وان اخطأت…

بالتوفيق للجميع 💙

#عبدالرحمن_جهيم (( ✍ #اسامة_العطار ))

شارك الموضوع
تعليقات