کشف باگ و درآمدزایی در صنعت امنیت سایبری (باگ بانتی)
علیرضا عظیم زاده
تاریخ انتشار: 1399/11/19
امروز به طور اتفاقی درحال خواندن و بررسی کامنتهایی که از سوی علاقهمندان حوزه هک و امنیت درباره کتاب "آموزش کاربردی تست نفوذ وب" ثبت شدهاند بودم و لازم دانستم از طریق بلاگ نشر پندارپارس، صحبت و دردلی با شما کتابخوانهای بسیار دوست داشتنی و گرانقدر داشته باشم.
نمیدانم چه میزان عظیم زاده را میشناسید!. و با اخلاق و منش او آشنا هستید!. اما میدانم و شما هم بدانید که اگر کاری را شروع کند و در آن حوزه با لطف و عنایت خدای منان، اندک دانشی کسب کند، از اشتراک گذاری خالصانه آن موضوع با اهلش دریغ نخواهد کرد. چون خودش سختی بسیاری در مسیر یادگیری در آن سالهای اول بخاطر مشکلات مالی چشیده و هرگز نخواسته که دیگر عزیزی، این راه پر پیچ و خم را از صفر تجربه کند و از تبدیل شدن به یک فرد مؤثر و متخصص در صنعت امنیت سایبری کشور عزیزمان ایران دلسرد و نا امید شود.
اگر، واقعا و جداً به موضوع هک/تستنفوذ و درآمدزایی ارزی و ریالی از صنعت امنیت سایبری علاقهمند بودید و کتاب چاپ شدهی "آموزش کاربردی تست نفوذ وب" را با دقت مطالعه میکردید و تک تک مطالب آموزشی را در محیط آزمایشگاه کتاب تمرین میداشتید، به جرأت میتوانم بگویم که در شروع کار و در یک بازه زمانی یکساله براحتی میتوانستید دستکم 30 میلیون تومان کسب درآمد داشته باشید (آن هم در منزل :D).
برای اثبات پاراگراف بالا که کتاب "آموزش کاربردی تست نفوذ وب" حالا حالاها محتوایش با نیاز دنیای وبهکینگ/تستنفوذ و باگبانتی کاملا بهروز و هماهنگ است، به توضیح مختصری پیرامون آخرین باگ کشف شده و پاداش دریافتی از کافهبازار میپردازیم ]]این حسرت برای آن دسته از عزیزانی که کتاب را قبلا تهیه کردهاند و آنطور که باید پشتکار و تمرین نداشتهاند[[: D:
این شرکت بواسطه خدماتی که ارائه میدهد زیردامنههای متعددی دارد و دقیقا از طریق مطالب آموزشی فصل دوم کتاب (شناسایی و آنالیز DNS، دامنه و زیردامنه (صفحه62)) تعداد زیادی زیردامنه فعال کشف شد. این زیردامنه قابلیت ثبتنام داشت و پس از لاگین، شما وارد صفحه داشبوردی میشوید که یک برگه(tab) جذاب جهت بارگذاری(upload) و ارسال مدارک دارد. به محض مشاهده این برگه به سراغ عنوان آموزشی صفحه250 و صفحه276 (آسیبپذیری بارگذاری فایل) رفتم و سپس اقدام به بارگذاری یک عکس/فایل در قالبهای jpg و svg نمودم که هر دو روش موفقیتآمیز اجرایی شدند. و این یعنی شما میتوانید حملات XSS و CSRF را براحتی، و حملات برپایه SSRF و XXE (فصل پنجم) را در صورت مهیا بودن شرایط در سمت سرور اجرایی کنید. پاداش این باگ امنیتی کشف و گزارش شده، 6 میلیون تومان بود.
همچنین با توجه به شرایط ...:(... اقتصادی و برای حمایت همه جانبه از کتابخوان های عزیز، تا این لحظه تغییری در قیمت این کتاب ارزشمند اعمال نشده است. امیدوارم از این فرصت ویژه استفاده کنید که شاید دوباره پیش نیاید.
پیش از بنده، افراد بسیار باسوادی در ایران بودند که در حوزه باگبانتی در سطح بینالمللی (پلتفرمهای خارجی مثل H1) بطور جدی فعالیت میکردند و حوالی سال93 اصلا چیزی به اسم پاداش (عمومی یا خصوصی) و... در ایران طبق تحقیقاتی که انجام دادم اصلا وجود نداشت. به جرأت میتوانم بگویم اولین نفر در داخل ایران هستم که تلاش بسیاری کردم تا اینگونه رفتار و فعالیتها، شکل قانونمند به خودشان بگیرند و مدیران شرکتها و استارتاپها به مبحث پرداخت پاداش به ازای کشف باگ توجه خوبی از خودشان نشان دهند؛ و امروز در سال99 شاهد اجرایی شدن چندین پلتفرم باگبانتی در ایران هستیم. البته و متأسفانه فعالیت این پلتفرمها همچنان آنطور که باید باشند نیست و مهمتر آنکه میزان پرداخت پاداشها اصلا قابل قبول و متناسب با مقیاس شرکت/سازمان تست شونده نیست. اما همین را میتوان به فال نیک گرفت که انشاله در آیندهای بسیار نزدیک شاهد پخته و حرفهای تر شدن صنعت و مفهوم باگبانتی و امنیت سایبری در ایران عزیزمان باشیم.
چند مدت پیش یک وبینار بسیار فشرده 2ساعته در سایت ایسمینار(Eseminar) با حمایت مدیریت محترم نشر پندارپارس درباره باگبانتی برگزار شد که اگر قرار باشد حق آن موضوع ادا شود، باید یک وبینار دستکم 4ساعته مجددا برگزار شود. اگر علاقهمند به برگزاری دوباره این وبینار بودید که بتوانیم دقیق و کاملتر پیرامون سرفصلها بحث و آموزش داشته باشیم، حتما با مدیریت محترم نشر جناب آقای یعسوبی که از چنین فعالیتهایی صمیمانه استقبال میکنند هماهنگ کنید و اعلام نیاز بفرمایید که در یک فرصت مناسب بتوانیم به بعد جذاب و تجاری درآمدزایی قانونمنده دنیای هک و نفوذ بپردازیم.
و انشااله اگر فرصت شود، حتما محتوای کتاب "آموزش کاربردی تست نفوذ وب" را با باگهایی که توسط شکارچیان باگ کشف و گزارش شده اند و به ازایش چه پاداشهای زیادی که دریافت کردهاند را بخش به بخش مورد بررسی قرار خواهیم داد.
و یک درود و خداقوت ویژه به عاشقان کتابهای کاغذی:
لینک وبینار ۲ساعته قبلی:
انشااله شما عزیزان فرهیخته هم همانطور که برای خرید یک لپتاپ، یک گوشی هوشمند، یک ماشین و... هزاران چیز مادی دیگر ساعتها در اینترنت وقت صرف میکنید، برای خرید و تهیه یک کتاب خوب دستکم دو ساعت در فضای مجازی یا واقعی زمان بگذارید؛ چون تنها چیزی که هرگز به عقب باز نمیگردد، زمان و عمر ما است و بس. پس چه بهتر که در کوتاهترین زمان ممکن دانش موضوعی را که به آن علاقهمند هستیم بیاموزیم و از آن کسب درآمد داشته باشیم. تقریبا 2سال پیش که شروع به یادگیری کاربردی و عملیاتی مباحث دادهکاوی(Data Mining) کردم، کتب اکثر ناشران مشهور خارجی و ایرانی را در محیط اینترنت و هم در نمایشگاه کتاب تهران مطالعه سطحی و بررسی اولیه کردم. و برای خرید بهترین کتاب، سـه روز پیاپی به نمایشگاه کتاب رفتم. کتابهای فارسی کاربردی بسیار خوبی دیدم که واقعا نمونه اش را با آن شکل و محتوا در کتب خارجی ندیده بودم و از مطالعهاش با توجه به سطح دانشی که در آن مقطع زمانی داشتم بسیار خوشحال بودم و هستم.
و در پایان، به احادیثی که از سوی معصومین(ع) نقل شده است اعتقاد دارم و برای کسب روزی حلال در حد توانم تلاش میکنم؛ و به خودم اجازه نمیدهم که به هر قیمتی برای کسب روزی، هر کاری انجام دهم: کوچک کردن فعالیت و تلاش دیگران، فروش اطلاعات محرمانه، بخیل و خساست در انتقال تجارب و دانش، پشت دیگران تهمت و بدگویی کردن، دو رویی به قیمت حفظ شأن و کلاس اجتماعی (به ظاهر میگویند هدفشان از برگزاری دوره x ارتقاء دانش شماست اما در عمل حاضر نیستند منابع آموزش خوب فارسی و... معرفی کنند و برای اینکه کسب و کارشان آجر نشود پشت افراد و دستاوردهایشان بدگویی و هزاران کار ناشایست میکنند و طوری جلوه میدهند که گویا شخص y را نمیشناسند و آن مطلب از سوی خودشان گردآوری شده است). پس حواسمان باشد که روزی هر انسانی از مؤمن و مسلمان گرفته تا کافرش از سوی خدا ضمانت شده است؛ و دست اندازی به روزی دیگران باعث کوچک کردن خودمان خواهد شد و قطعا دیر یا زود، واقعیت بر همگان آشکار میشود و آن فرد اصلی در مرتبه و مقام بالاتری خواهد ایستاد.
امیر المومنین(ع) می فرمایند: أعظمُ الخطایا اِقتِطاعُ مالِ امرِیءٍ مُسلِمٍ بِغَیر حَقٍّ.
عظیمترین گناهان، خوردنِ به ناحق و تجاوز به مال یک مسلمان است.
امام جعفر صادق (ع) می فرمایند: لَیسَ بِوَلِیٍّ لی مَن أَكَلَ مالَ مؤمنٍ حَراماً.
هر کس مال مؤمنی را به ناحق بخورد پیرو من نیست.
امام جعفر صادق (ع) می فرمایند: لَو أَنَّ الناسَ أَدُّوا حُقوقَ اَموالِهِم لَكانوُا عایِشینَ بَخَیر.
مردم اگر حقوق و واجبات مالی خود را ادا میکردند مسلّماً همه از یک زندگی مطلوب و رضایتبخشی برخوردار میشدند.
امام جعفر صادق (ع) می فرمایند: مَن اَكَلَ مِن مالِ اَخیهِ ظُلماً وَ لَم یَرُدَّهُ اِلَیهِ اَكَلَ جَذوَةً مِنَ النّارِ یَومَالِقیامَةِ.
کسی که از مال برادر دینی خود به ناحق بخورد و آن را به صاحبش برنگرداند خوراک او در روز قیامت شعلههای آتش خواهد بود.
راستی تابحال دقت کردین که یک کتاب بعد از چندین بار خواندن، چاقتر میشود؟
انگار که چیزهایی مابین صفحهها بعد از خواندشان جا میماند. چیزهایی مثل احساسات، افکار، بوها، صداها و... .
و جمله آخر:
مسئله این نیست که خرید کتاب چقدر براتون گرون تموم میشه، مسئله اینه که اگر کتاب نخونی چقدر برات گرون تموم میشه!.