چگونه بدون سابقه کاری از سریعترین راه وارد باگ بانتی هانتینگ شویم؟

چگونه بدون سابقه کاری از سریعترین راه وارد باگ بانتی هانتینگ شویم؟

سلام دوستان من Sk Selim یک توسعه‌گر نرم‌افزار، محقق امنیتی  هستم و به عنوان سرگرمی نویسندگی هم می‌کنم. دراین مقاله، روش منحصربفردی را برای افراد مبتدی یا افرادی که این مسیر را شروع کرده اند و در میانه راه هستند را به عنوان “سریع ترین راه ورود به باگ بانتی هانتینگ بدون سابقه کاری” معرفی می کنم.

به نظر می‌رسد که موثر باشد! اینطور نیست؟

پس بدون فوت وقت به سراغ آن می‌رویم. دوستان این روش یک چالش 100 روزه یا می توان گفت یک چالش 3 ماهه باگ بانتی است، که این امر باعث می شود تا در طول مسیر هوشمندانه حرکت کنیم. قبوله؟

قبل ازاینکه شروع کنیم، میخواهم یک کتاب معرفی کنم که نه کتاب فنی است و حتی به امنیت سایبری هم مربوط نیست. اسم کتاب “قانون 80/20 ” است که توسط ریچارد کوخ به رشته تحریر درآمده. به من اعتماد کنید، این کتاب کاملا می‌تواند بازی را عوض کند، طبق یک ضرب‌المثل 80 درصد نتایجی که بدست می‌آوریم، براساس 20 درصد کارهایی است که انجام داده‌ایم. اینجا ماهم همین کار را انجام می‎‌دهیم، یعنی تنها به یادگیری مباحث و مهارت هایی خواهیم پرداخت که به ما کمک می‌کنند تا سرعت یادگیری ما افزایش یابد و فرایند یادگیری را ساده سازی کنند.

مقدمه

باگ بانتی هانتینگ یک سیستم برای کشف آسیب‌پذیری‌های امنیتی در نرم افزارها، وب اپلیکیشن ها و اپلیکیشن های موبایل است. دراین روش صاحبان نرم افزارها درازای باگ های کشف شده پاداش پرداخت می‌کنند، که باتوجه به این مساله باگ بانتی هانتر در فرایند انجام این کار می‌تواند درآمدی هم داشته باشد.

انواع برنامه های باگ بانتی

  • برنامه عمومی
  • برنامه خصوصی
برنامه عمومی:

شرکت در برنامه های عمومی برای تمام هکرهای اخلاقی آزاد است، هرکسی می‌تواند گزارش های باگ کشف شده را ثبت کند. البته این ثبت گزارش باید در راستای قوانین و قرارداد افشای آسیب پذیری نوشته شده باشد، درغیراینصورت تایید نخواهد شد.

برنامه خصوصی:

برنامه باگ بانتی خصوصی یک برنامه دعوتی است که درآن برای محققان امنیتی دعوتنامه ارسال می‌شود. دراین برنامه بااستفاده از دعوتنامه تنها محققان امنیتی و هکرهایی که آمار و ارقام درخشانی درباره مهارت های آن ها وجود دارد اجازه شرکت کردن داده می‌شود. برنامه های خصوصی تنها محققانی را انتخاب می‌کند که درزمینه عملیات خاصی که موردنیاز آنهاست مهارت دارند.

پلتفرم‌های باگ بانتی زیادی وجود دارد، که دراین مقاله برخی ازآنها را نام می‌بریم:
*  Hackerone(پیشنهاد می‌شود)
* Bugcrowd  (پیشنهاد می‌شود)
*  Synack
*  Intigriti
*  Cobalt

پیش نیازها

دراین قسمت تعدادی از موارد پیش نیازی که نیاز است قبل از شروع بکار به آنها بپردازید را برای شما دسته بندی کرده‌ام:

پیش نیازهای سیستمی
  • i3/ryzen3 processor ( پیشنهاد من i5/ryzen5 یا بالاتر)
  • یک رم 4 تا 8 GB کافیست (پیشنهاد من 16 GB )
  • یک هارد دیسک 500 GB (پیشنهاد من هارد SSD)
مهارت های پیش نیاز:

برای افراد مبتدی، من پیشنهاد میکنم که باگ بانتی هانتینگ را از زمینه امنیت وب شروع کنند. می توانید از این زمنیه شروع کنید و کم کم به کشف و پویش بقیه زمینه ها هم بپردازید.

دراین قسمت چند مهارتی که باید قبل از شروع باگ بانتی هانتینگ یادبگیرید را برای شما نام میبریم:

  • مبانی کامپیوتر و آی تی
  • مبانی لینوکس
  • مبانی شبکه (TCP/IP، مدل OSI)
  • اصول وب (HTTP، HTTPS، API ها، GET، POST، مدل Client-Server، HTML-CSS-JS و…)
  • یادگرفتن زبان های برنامه نویسی یا اسکریپتینگ مثل Python، Go، Bash، Perl، Java، Rubi (نیازی نیست که به همه این موارد حرفه ای باشید)
  • 10 مورد برتر OWASP

 

کتاب ها

  •   The Web Application Hackers Handbook — By Dafydd Stuttard
  •   Bug Bounty Essential — By Carlos A. Lozano and Shahmeer Amir
  •   Web Security Testing Guide — By OWASP
  •  Mastering Modern Web Penetration Testing — By Prakhar Prasad
  •  Real World Bug Hunting — By Peter Yaworski
  •   Bug Bounty Bootcamp — By Vickie Li

کانال یوتوب

(STOK)
https://m.youtube.com/channel/UCQN2DsjnYH60SFBIA6IkNwg

(Nahamsec) https://m.youtube.com/channel/UCCZDt7MuC3Hzs6IH4xODLBw

(John Hammond) https://youtube.com/c/JohnHammond010

(Cristi Vlad) https://m.youtube.com/user/cristivlad25

(InsiderPhD) https://m.youtube.com/channel/UCPiN9NPjIer8Do9gUFxKv7A

(Fara Hawa) https://youtube.com/c/FarahHawa

Hindi Chanel:
(Spin The Hack)
https://youtube.com/c/SpinTheHack

(Bitten Tech) https://youtube.com/c/BittenTech

(Pratik Dabhi) https://youtube.com/c/impratikdabhi

Write-ups, Articles, Blogs, Online Community-
• https://link.medium.com/9CfjoJxEkrb
Medium (infosec writeups)

 منبع

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *