Author

Topic: إستفسار بخصوص أدوات باونتي بوج (Read 257 times)

legendary
Activity: 2702
Merit: 3045
Top Crypto Casino
هناك برامج تساعد على اكتشاف الثغرات عن طريق فحص الموقع ضد الثغرات المعروفة. لكن لا اعتقد ان هناك برامج كشف ثغرات تعتمد تلذكاء الاصطناعي او اذا كان الذكاء الاصطناعي مجدي في مثل هذه الحالات من اساسه.
legendary
Activity: 1610
Merit: 1131
الله يعطيكم العافية كانت ردودكم في محلها، إتضح لي الإنخراط في هذا العمل يتطلب الكثير من جهد كان سؤالي حول الوقت الذي يمكنني تعلم هذه الأشياء من خلال أفكاركم قمت بمسح ضوئي على النت وجدت أن هذا سيأخذ مني المزيد من الوقت، رغم ذلك سأحاول دراسة مجموعة من المعلومات التي قمتم بمشاركتها لأنها تستحق و ستكون مفيدة لي أيضاً.

لدي إستفسار أخر هل يمكن ل (artifical intelligece ) الإشتغال نيابة عني في إيجاد الثغرات،و أعتقد هذه المسألة أصعب بكثير و لدي فضول كبير لو تنصحني بماذا سأبدأ في تعلم بناء مثل هذه المشاريع AI 
legendary
Activity: 2702
Merit: 3045
Top Crypto Casino
اضافة الى ما ذكره الاخ Omega، يجب ان يكون لديك فهم جيد كيف تعمل تطبيقات و مواقع الواب و كيف يتم تبادل البيانات بين متصفحك او التطبيق و السيرفر الذي يتصل به و كيف يعالج السيرفر تلك البيانات. اضافة الى فهم جيد كيف تعمل الشبكات.
اتقان لغات البرمجة يكون مفيد جدا في حال كان التطبيق او الموقع مفتوح المصدر و بذلك يمكنك مراجعة الكود لايجاد الاخطاء التي يمكن استغلالها.

على العموم هناك انواع من الثغرات المعروفة و هي اغلب ما يركز عليه متصيدو الجوائز مثل sql injection، xss، csrf... و تختلف قيمة الجائزة حسب خطورة الثغرة و كيفية استغلالها و ما يمكن ان ينتج عن ذلك.
طبعا الامر ليس بتلك السهولة فاغلب الشركات تقوم بفحص مواقعها ضد الثغرات المعروفة و تحدث كوداتها لغلق الثغرات الجديدة لذلك استعمال برامج كشف الثغرات غير مجد في اغلب الحالات لان الشركات تستعمل نفس البرامج او برامج متطورة اكثر لحماية نفسها. يمكنك الاستعانة بها لكن البحث بشكل يدوي هو الافضل.

بالنسبة لصائدي الجوائز استعمال بعض البرامج لفحص المواقع و السيرفرات لجمع البيانات او ما يعرف ب recon لا غنى عنه. مثلا يمكن استعمال نظام تشغيل kali linux و هو مزود بعديد برامج ال pentesting او حتى برامج استغلال الثغرات.
من اشهر البرامج التي يتم استعمالها ايضا برنامج burp suite و لديهم اكاديمية يمكن ان تتعلم منها: https://portswigger.net/web-security/learning-path

تبقى افضل طريقة للتعلم هي عن طريق التجربة و هناك عديد البرامج و المسابقات CTF التي تساعد على ذلك لتحسين مهاراتك مثل hackthebox. اضافة الى ذلك قم على الاطلاع على اخر الثغرات التي تم نشرها من مواقع مثل exploit-db و غيره اضافة الى قراءة المقالات التي ينشرها صائدو الجوائز الاخرون و يشرحون فيها كيف توصلوا الى ايجاد ثغرة معينة و استغلالها مثلا من هنا https://infosecwriteups.com/
هناك دورات و دروس في cyber security و pentesting مدفوعة او مجانية تجدها مثلا على udemy يمكن ان تكون مفيدة.

تنبيه: لا تقم بالتجربة على اي موقع او تطبيق الا اذا كان صاحبه موافقا على ذلك اما من خلال الاتصال به مباشرة او من خلال العروض الموجودة على المواقع المخصصة مثل hackerone و عند ايجاد ثغرة يجب اعلام صاحب الموقع مباشرة بها حتى يقوم باغلاقها و لا تقم بنشر ما توصلت اليه مع غيرك الا بعد موافقة صاحب الموقع ايضا طبعا بعد غلق الثغرة.
staff
Activity: 3500
Merit: 6152
ان كنت تقصد ايجاد الثغرات في المواقع و المنصات، فالذي يجب عليك تعلمه هو قواعد البيانات، و لغات الويب و خاصة تعلم طريقة انشاء و عمل العقود الذكية. لا يوجد دورات مخصصة للبوج باونتي في حد ذاتها، لكن بالنسبة لتعلم الأمور التي ذكرتها سابقا، أعتقد أن الأخ @Coinoplex يمكنه أن يساعدك في هذا الخصوص و ان يعطيك بعض المواقع. أما بالنسبة لايجاد مثل هذه الحملات، فعليك بموقع ايمونيفاي
legendary
Activity: 1778
Merit: 1474
🔃EN>>AR Translator🔃
أود أن أعرف منكم في حالة إذا كنت أريد التعلم و الإنخراط في حملات باونتي بوج كم من الوقت سيستغرق ذلك؟
حسب معلوماتي البسيطة فان المطورين Developers هم من يحضون بفرص الالتحاق حملات الباونتي الخاصة بكشف الثغرات في الكود الخاص بتطبيق معين. هذا طبعا لا يلغي المستخدمين العاديين من المشاركة لكن بناء على معرفتهم المحدودة فان تقييمهم لن يشمل كل جوانب التطبيق من شكل و محتوى و كود التطوير بالاضافة الى مختلف العناصر التي يجب التثبت منها لاصدار تقييم يمكن صاحبه من الفوز بالباونتي.

و أريد أيضاً ما هي أفضل البرامج للإشتغال على هذه الأداة؟ و يمكنكم أيضا مشاركة روابط يمكنها مساعدتي في التعلم أو إذا كانت هناك دورة تدريبية يمكنكم مشاركتها و شكراً مسبقاً
ليس عناك برامج مختصة بهكذا مجال لأن هذه الحملات تتم ادارتها من طرف أصحاب المشاريع و حسب مجال نشاط التطبيق فان المطورين العاملين على ذلك الاختصاص يمكنهم الالتحاق بالحملة.
الأمر برأيي ليس سهلا و ليس متاحا للجميع.
legendary
Activity: 1610
Merit: 1131
السلام عليكم
أود أن أعرف منكم في حالة إذا كنت أريد التعلم و الإنخراط في حملات باونتي بوج كم من الوقت سيستغرق ذلك؟
و أريد أيضاً ما هي أفضل البرامج للإشتغال على هذه الأداة؟ و يمكنكم أيضا مشاركة روابط يمكنها مساعدتي في التعلم أو إذا كانت هناك دورة تدريبية يمكنكم مشاركتها و شكراً مسبقاً
Jump to: