هل تعلم ؟
انه في اليوم الواحد يتم اختراق 30 الف موقع علي مستوي العالم يوميا وهذا ليس شئ جيدا علي الاطلاق وشئ غير اخلاقي وشئ خطير بأن يتم اختراق موقعك ... علي سبيل المثال فلنفترض انك شخص لديك شركة والشركة لديها موقع وعليه ملفات في غاية الاهمية ومعلومات عن جميع الموظفين في الشركه سواء قواعد البيانات او ملفات الإدارة ..فكيف هو شعورك عندما تأتي في اليوم الثاني وتجد شركتك اصبحت مخترقه وجميع المعلومات الهامه قد اختفت ؟! هذا ليس شيئاً جيداً علي الإطلاق ! فإنه عندما تُخترق فإن جميع معلوماتك اصبحت مكشوفة الان لشخص مجهول! فكيف لنا ان نحمي انفسنا من الاختراق ؟.
نبذه عن المكافئات الأمنية:
في عام 1983 ظهر شئ جديد في عالم الحاسوب وهو ال Bug Bounty Program وهو برنامج المكافئات الامنية وكان اول سبب في ظهور هذا الشئ وهم وجودو شئ قد يعرض انظمة الحاسوب في هذا الوقت الي الخطر ف عندما وجد باحث امني ثغرة في نظام الحاسوب قام بتبليغ الفريق الأمني للحاسوب ومن هذا اليوم ظهر برنامج المكافئات الامنية وكان أبرز الاشخاص في هذا المجال في هذا الوقت شخص يدعي Jarrett Ridlinghafer.
ما فائدة برامج المكافئات الأمنية؟
لهذا البرنامج فوائد ايجابية جداً فإن هذا البرنامج قد يقلل من احتمالية وقوع عملية اختراق علي موقعك.. فبالتالي فإن نسبة اختراق موقعك هي نسبة قليله جدا..!
يقوم الشخص صاحب الموقع بالذهاب الي احد المنصات العالمية المتخصصه ببرنامج المكافئات الأمنية مثل:
- HackerOne
- Bug Crowd
- SynAck
- OpenVulnerability
- OpenVas
- CVE Mitre
وبعدها يقوم الشخص بوضع الاشياء الذي يريد فحصها وتحديدها مثل
الموقع المراد فحصه او بعض من ال SubDomains المرتبطة بالموقع الخاص بك .. او SourceCode خاص بك ايضا .. او التطبيقات الخاصه بك..
وبعدها تحدد القواعد التي تريدها مثل الثغرات التي لا تريدها وايضا يفضل بان من يقوم بهذا الشئ هو شخص له المعرفة بالثغرات ف انتا تخبره ماذا تريد وبعدها.. هو من يضع كل القوانين علي حسب خبرته والمقصود بهذا هو الثغرات التي ضمن ال Scope والثغرات التي خارج ال Scope ما معني هذا بمعني أن الثغرات التي لها ضرر كبير علي الموقع فأن المستخدم له الحق بتقديم هذه الثغرة مع الدليل وهو ال POC او ال Proof Of Concept وهذا عبارة عن الدليل وهو عادة يكون مقطع فيديو او صور لدليل علي الثغره الموجوده في الموقع وبعدها يري المستخدم او الشخص الEthical Hacker يقوم بالذهاب الي الموقع وايجاد ثغرات عالية الخطورة فهو لا يستغلها في شئ سئ بل يقوم بالابلاغ عنها فاما تقبلها الشركه ام لا مع تقديم ال Bounty الي الشخص سواء عبارة عن Swag وهي حقيبة بها اغراض للشخص مقدمه له من الموقع او المال .
ما هي المتطلبات الازمه لكي اعمل في هذا المجال ؟
اولا:
يجب ان تشاهد دورات عن ال CEH وهي ال Certified Ethical Hacker
لماذا يجب ان ادرس ال CEH لكي تتعلم بعض اوامر ال Linux Distribution مما تساعدك فيما بعد اتقان لغة ال Bash
لمشاهدة الدورة من هنا : CEH Course
لماذا يجب ان ادرس ال CEH لكي تتعلم بعض اوامر ال Linux Distribution مما تساعدك فيما بعد اتقان لغة ال Bash
لمشاهدة الدورة من هنا : CEH Course
ثانيا:
يجب ان تشاهد دورات WAPT والمقصود بها Web Application Penetration Testing وفي هذه الدورة سوف تتعلم كيف تتعامل مع الثغرات وخاصة ثغرات ال OWASP TOP 10 وهي اهم الثغرات ذات الخطورة عالميا ! وايضا سوف تتدرب علي Labs مخصصه بهذه الثغرات وسوف نتحدث عنها فيما بعض في موضوع جديد لاحقا ولكن لنعطي نبذه عنها هي عبارة عن سورس كود تضعه في الLocal Host اي شبكه محلية خاصه بك.. تكون مبنية علي جهازك سوف نعرف هذا لاحقا..
لمشاهدة الدورة من هنا : WAPT-Course-By Ibrahem Hegazy
لمشاهدة الدورة من هنا : WAPT-Course-By Ibrahem Hegazy
ثالثا:
يجب ان تشاهد بعض ال Write Up التي نشرها المختصون في هذا المجال حتي تتعلم وتعرف كيف استغل هذا الشخص الثغره وايضا لتتعلم طريقة كتابة ال reports
وابسط طريقة لمشاهدة هذه الاشياء فقط اذهب الي محرك البحث واكتب اسم الثغره التي تريدها وضع فقط بجانبها كلمة POC وعند رؤيتك لها فقط اتقنها !
لمشاهدة بعض ال Poc المهمه من هنا : Poc Vulnerability Videos
وهذا كان كل شئ خاص ب برنامج المكافئات الأمنية.
إرسال تعليق