نمایش محتوای اصلی
در حال بارگذاری ...
Search
سبد خرید (0)

وبلاگ

کشف باگ و درآمدزایی در صنعت امنیت سایبری (باگ بانتی)

کشف باگ و درآمدزایی در صنعت امنیت سایبری (باگ بانتی)

علیرضا عظیم زاده
تاریخ انتشار: 1399/11/19

امروز به طور اتفاقی درحال خواندن و بررسی کامنت‌هایی که از سوی علاقه‌مندان حوزه هک و امنیت درباره کتاب "آموزش کاربردی تست نفوذ وب" ثبت شده‌اند بودم و لازم دانستم از طریق بلاگ نشر پندارپارس، صحبت و دردلی با شما کتابخوان‌های بسیار دوست داشتنی و گرانقدر داشته باشم.

نمی‌دانم چه میزان عظیم زاده را می‌شناسید!. و با اخلاق و منش او آشنا هستید!. اما می‌دانم و شما هم بدانید که اگر کاری را شروع کند و در آن حوزه با لطف و عنایت خدای منان، اندک دانشی کسب کند، از اشتراک گذاری خالصانه آن موضوع با اهلش دریغ نخواهد کرد. چون خودش سختی بسیاری در مسیر یادگیری در آن سال‌های اول بخاطر مشکلات مالی چشیده و هرگز نخواسته که دیگر عزیزی، این راه پر پیچ و خم را از صفر تجربه کند و از تبدیل شدن به یک فرد مؤثر و متخصص در صنعت امنیت سایبری کشور عزیزمان ایران   دلسرد و نا امید شود.
 
اگر، واقعا و جداً به موضوع هک/تست‌نفوذ و درآمدزایی ارزی و ریالی از صنعت امنیت سایبری علاقه‌مند بودید و کتاب چاپ شده‌ی "آموزش کاربردی تست نفوذ وب"  را با دقت مطالعه می‌کردید و تک تک مطالب آموزشی را در محیط آزمایشگاه کتاب تمرین می‌داشتید، به جرأت می‌توانم بگویم که در شروع کار و در یک بازه زمانی یکساله براحتی می‌توانستید دست‌کم 30 میلیون تومان کسب درآمد داشته باشید (آن هم در منزل :D).
 
برای اثبات پاراگراف بالا که کتاب "آموزش کاربردی تست نفوذ وب" حالا حالاها محتوایش با نیاز دنیای وب‌هکینگ/تست‌نفوذ و باگ‌بانتی  کاملا به‌روز و هماهنگ است، به توضیح مختصری پیرامون آخرین باگ کشف شده و پاداش دریافتی از کافه‌بازار می‌پردازیم  ]]این حسرت برای آن دسته از عزیزانی که کتاب را قبلا تهیه کرده‌اند و آنطور که باید پشتکار و تمرین نداشته‌اند[[:      D:
 
این شرکت بواسطه خدماتی که ارائه می‌دهد زیردامنه‌های متعددی دارد و دقیقا از طریق مطالب آموزشی فصل دوم کتاب (شناسایی و آنالیز DNS، دامنه و زیردامنه (صفحه62)) تعداد زیادی زیردامنه فعال کشف شد. این زیردامنه قابلیت ثبت‌نام داشت و پس از لاگین، شما وارد صفحه داشبوردی می‌شوید که یک برگه(tab) جذاب جهت بارگذاری(upload) و ارسال مدارک دارد. به محض مشاهده این برگه  به سراغ عنوان آموزشی صفحه250 و صفحه276 (آسیب‌پذیری بارگذاری فایل) رفتم و سپس اقدام به بارگذاری یک عکس/فایل در قالب‌های jpg و svg  نمودم که هر دو روش موفقیت‌آمیز  اجرایی شدند. و این یعنی شما می‌توانید حملات XSS و CSRF را براحتی، و حملات برپایه SSRF و XXE (فصل پنجم) را در صورت مهیا بودن شرایط در سمت سرور اجرایی کنید. پاداش این باگ امنیتی کشف و گزارش شده، 6 میلیون تومان بود. 
 
 
همچنین با توجه به شرایط ...:(... اقتصادی و برای حمایت همه جانبه از کتابخوان های عزیز، تا این لحظه تغییری در قیمت این کتاب ارزشمند اعمال نشده است. امیدوارم از این فرصت ویژه استفاده کنید که شاید دوباره پیش نیاید.
 
پیش از بنده، افراد بسیار باسوادی در ایران بودند که در حوزه باگ‌بانتی در سطح بین‌المللی (پلتفرم‌های خارجی مثل H1)‌ بطور جدی فعالیت می‌کردند و حوالی سال93  اصلا چیزی به اسم پاداش (عمومی یا خصوصی) و... در ایران طبق تحقیقاتی که انجام دادم  اصلا وجود نداشت. به جرأت می‌توانم بگویم اولین نفر در داخل ایران هستم که تلاش بسیاری کردم تا اینگونه رفتار و فعالیت‌ها، شکل قانونمند به خودشان بگیرند و مدیران شرکت‌ها و استارتاپ‌ها  به مبحث پرداخت پاداش به ازای کشف باگ  توجه خوبی از خودشان نشان دهند؛ و امروز در سال99 شاهد اجرایی شدن چندین پلتفرم باگ‌بانتی در ایران هستیم. البته و متأسفانه فعالیت این پلتفرم‌ها همچنان آنطور که باید باشند نیست و مهم‌تر آنکه میزان پرداخت پاداش‌ها اصلا قابل قبول و متناسب با مقیاس شرکت/سازمان تست شونده  نیست. اما همین را می‌توان به فال نیک گرفت که انشاله  در آینده‌ای بسیار نزدیک شاهد پخته و حرفه‌ای تر شدن صنعت و مفهوم باگ‌بانتی و امنیت سایبری در ایران عزیزمان باشیم.
 
چند مدت پیش یک وبینار بسیار فشرده 2ساعته در سایت ایسمینار(Eseminar) با حمایت مدیریت محترم نشر پندارپارس درباره باگ‌بانتی برگزار شد که اگر قرار باشد حق آن موضوع ادا شود، باید یک وبینار دست‌‌کم 4ساعته مجددا برگزار شود. اگر علاقه‌مند به برگزاری دوباره این وبینار بودید که بتوانیم دقیق و کامل‌تر پیرامون سرفصل‌ها بحث و آموزش داشته باشیم، حتما با مدیریت محترم نشر جناب آقای یعسوبی که از چنین فعالیت‌هایی صمیمانه استقبال می‌کنند هماهنگ کنید و اعلام نیاز بفرمایید که در یک فرصت مناسب بتوانیم به بعد جذاب و تجاری درآمدزایی قانونمنده دنیای هک و نفوذ بپردازیم.
 
و انشااله اگر فرصت شود، حتما محتوای کتاب "آموزش کاربردی تست نفوذ وب"  را با باگ‌هایی که توسط شکارچیان باگ کشف و گزارش شده اند و به ازایش چه پاداش‌های زیادی که دریافت کرده‌اند را بخش به بخش مورد بررسی قرار خواهیم داد.

و یک درود و خداقوت ویژه به عاشقان کتابهای کاغذی:


لینک وبینار ۲ساعته قبلی:
 
 
انشااله شما عزیزان فرهیخته هم همان‌طور که برای خرید یک لپتاپ، یک گوشی هوشمند، یک ماشین و... هزاران چیز مادی دیگر ساعت‌ها در اینترنت وقت صرف می‌کنید، برای خرید و تهیه یک کتاب خوب دست‌کم  دو ساعت در فضای مجازی یا واقعی زمان بگذارید؛ چون تنها چیزی که هرگز به عقب باز نمی‌گردد، زمان و عمر ما است و بس. پس چه بهتر که در کوتاه‌ترین زمان ممکن دانش موضوعی را که به آن علاقه‌مند هستیم بیاموزیم و از آن کسب درآمد داشته باشیم.  تقریبا 2سال پیش که شروع به یادگیری کاربردی و عملیاتی مباحث داده‌کاوی(Data Mining) کردم، کتب اکثر ناشران مشهور خارجی و ایرانی را در محیط اینترنت و هم در نمایشگاه کتاب تهران مطالعه سطحی و بررسی اولیه کردم. و برای خرید بهترین کتاب، سـه روز پیاپی به نمایشگاه کتاب رفتم. کتاب‌های فارسی کاربردی بسیار خوبی دیدم که واقعا نمونه اش را با آن شکل و محتوا در کتب خارجی ندیده بودم و از مطالعه‌اش با توجه به سطح دانشی که در آن مقطع زمانی داشتم بسیار خوشحال بودم و هستم.
 
 
و در پایان، به احادیثی که از سوی معصومین(ع) نقل شده است اعتقاد دارم و برای کسب روزی حلال در حد توانم تلاش می‌کنم؛ و به خودم اجازه نمی‌دهم که به هر قیمتی برای کسب روزی، هر کاری انجام دهم: کوچک کردن فعالیت و تلاش دیگران، فروش اطلاعات محرمانه، بخیل و خساست در انتقال تجارب و دانش، پشت دیگران تهمت و بدگویی کردن،  دو رویی به قیمت حفظ شأن و کلاس اجتماعی (به ظاهر می‌گویند هدفشان از برگزاری دوره x ارتقاء دانش شماست اما در عمل حاضر نیستند منابع آموزش خوب فارسی و... معرفی کنند و برای اینکه کسب و کارشان آجر نشود پشت افراد و دستاوردهایشان بدگویی و هزاران کار ناشایست می‌کنند و طوری جلوه می‌دهند که گویا شخص y را نمی‌شناسند و آن مطلب از سوی خودشان گردآوری شده است).    پس حواسمان باشد که روزی هر انسانی از مؤمن و مسلمان گرفته تا کافرش از سوی خدا ضمانت شده است؛ و دست‌ اندازی به روزی دیگران باعث کوچک کردن خودمان خواهد شد و قطعا دیر یا زود، واقعیت بر همگان آشکار می‌شود و آن فرد اصلی در مرتبه و مقام بالاتری خواهد ایستاد.
 
امیر المومنین(ع) می فرمایند:   أعظمُ الخطایا اِقتِطاعُ مالِ امرِیءٍ مُسلِمٍ بِغَیر حَقٍّ.
عظیم‌ترین گناهان، خوردنِ به ناحق و تجاوز به مال یک مسلمان است.
امام جعفر صادق (ع) می فرمایند:     لَیسَ بِوَلِیٍّ لی مَن أَكَلَ مالَ مؤمنٍ حَراماً.
هر کس مال مؤمنی را به ناحق بخورد پیرو من نیست.
امام جعفر صادق (ع) می فرمایند:     لَو أَنَّ الناسَ أَدُّوا حُقوقَ اَموالِهِم لَكانوُا عایِشینَ بَخَیر.
مردم اگر حقوق و واجبات مالی خود را ادا می‌کردند مسلّماً همه از یک زندگی مطلوب و رضایتبخشی برخوردار می‌شدند.
امام جعفر صادق (ع) می فرمایند:     مَن اَكَلَ مِن مالِ اَخیهِ ظُلماً وَ لَم یَرُدَّهُ اِلَیهِ اَكَلَ جَذوَةً مِنَ النّارِ یَومَ‌الِقیامَةِ.
کسی که از مال برادر دینی خود به ناحق بخورد و آن را به صاحبش برنگرداند خوراک او در روز قیامت شعله‌های آتش خواهد بود.
 
راستی تابحال دقت کردین که یک کتاب بعد از چندین بار خواندن، چاق‌تر می‌شود؟
انگار که چیزهایی مابین صفحه‌ها بعد از خواندشان جا می‌ماند.  چیزهایی مثل احساسات، افکار، بوها، صداها و... .
 
و جمله آخر:
مسئله این نیست که خرید کتاب چقدر براتون گرون تموم میشه، مسئله اینه که اگر کتاب نخونی چقدر برات گرون تموم میشه!.
امتیاز
4.85/5 (400 نظر)
ثبت نظر/پرسش/پیشنهاد
;