۵ توصیه برای شکارچیان آسیب پذیری تازه وارد
۵ توصیه برای شکارچیان آسیب پذیری تازهوارد
این بلاگپست شامل تجمیع و برداشتی هدفمند از محتوای گپوگفتهایی با برخی شکارچیان آسیب پذیری، هکرهای کلاه سفید و متخصصین امنیتی ست که قبلا در بلاگ راورو منتشر کردهایم. در گپوگفتهای قبلی پرسشهای مشترک و مشابهی را از افراد متفاوت پرسیده بودیم و هر یک از افراد از دیدگاه خود، پاسخهایی به این سوالها دادهاند. حالا قرار است که سوالهای مشترک را از دل گپوگفتهای گذشته بیرون بکشیم و پاسخهای متفاوت افراد به آنها را در کنار هم قرار دهیم. اینطور فکر میکنیم که این جمعبندی پاسخهایی به یک پرسش داده شده، میتواند ارزشمند، دارای پیامی جدید و نمودی از تنوع دیدگاهها در خرد جمعی باشد.
آنچه در این بلاگپست خواهید خواند:
در این بلاگپست گفتههایی از سیدرضا فاطمی، محمد درخشان، ابوالفضل فهیمی، رضا شریفزاده و برنا نعمتزاده را خواهید خواند که براساس تجربهی زیسته و مسیری که طی کردهاند، از توصیههای خود برای یک شکارچی آسیب پذیری تازهوارد گفتهاند.
داخل پرانتز: ترتیب ارائهی پاسخهای افراد در متن، مطابق با ترتیب گپوگفتهای منتشرشده با آنها در بلاگ راوروست.
سید رضا فاطمی:
بهتر است که این را به دو قسمت تقسیم کنیم؛ یکی تا قبل از اینکه علاقهاش را پیدا کند و یکی هم بعد از اینکه علاقهاش را پیدا کرد.
تا قبل اینکه علاقهاش را پیدا کند، میتواند مسیر را مثل یک ماراتن فرض کند. شما باید در این مسیر بدوی و حرکت کنی. فرقی نمیکند چهجوری. مهم این است که نایستی. همین که داری به سمت علاقهات پیش میروی، موفقت میکند. کار به جایی میرسد که چشم باز میکنی و میبینی با مسائل مختلف آشنایی پیدا کردهای و به یک دید کلی از این حوزه رسیدهای. در اینجا یک حسی بهت میگوید که به کدام بیشتر علاقه داری یا در کدوم میتوانی بیشتر موفق باشی.
بعد از اینکه علاقه را پیدا کردی، باید اصولیتر ادامه بدهی؛ دیگر شلخته درو کردن و جلو رفتن فایده ندارد. باید مطالعه کنی و دیسیپلین را در کار خودت رعایت کنی. منابع را از منابع دست اول و انگلیسی مطالعه کنی. باید خودت را با این شرایط وفق بدهی که همیشه باید در این مسیر بهروز بمانی. من خودم در حوزهی وب زیاد اهل مطالعهی کتاب نبودم. ولی توانستم کمبودها و جای خالیها را با تجربهای که از پروژههای مختلف به دست آوردم، CTFهایی که شرکت کردم و بلاگپستهایی که مطالعه کردم، پر کنم. گامهایی که آقا یاشار هم در موردشان صحبت کردند، نقشه راهی که گذاشتند و کتابهایی که معرفی میکنند، هم خوب هستند. میتوانند آنها را نگاه کنند و به تجربهی دیگران تکیه کنند. اما این راه، راه من نبود. شاید اگه این راه را میرفتم، زودتر به این نقطهی فعلی میرسیدم و این راهی که رفتم اینقدر طول نمیکشید. ولی خب، من میخواستم بر اساس تجربه و علاقه، راه و تکتک قدمهایم را انتخاب کنم.
توصیه می کنم که موقع ورود به این حوزه علاقهی شخصی را اولویت بدهند. اگر دنبال علاقه باشید، می توانید به موفقیت برسید و حتی درآمد کسب کنید. اما اگر توی قدم اول به کسب درآمد فکر کردید، تضمینی برای رسیدن شما به نقطهی مطلوب وجود ندارد. همچنین توصیه میکنم که بین جنبهها و ابعاد مختلف زندگیشان تعادل را رعایت کنند.
پیشنهاد خواندنی: گپوگفتی با شکارچی فعال راورو؛ سیدرضا فاطمی (Checkmate)
محمد درخشان:
در این مسیر صبر خیلی مهم است! باید مطالعهی زیاد داشته باشند و مهارت برنامه نویسیشان را قوی کنند، مخصوصا زبانهای Python و JavaScript.
پیشنهاد خواندنی: گپوگفتی با شکارچی برتر راورو؛ محمد درخشان (mohammadrobot)
ابوالفضل فهیمی:
شخصی که در اوایل مسیر قرار دارد و میخواهد شروع کند، خب خیلی بستگی به علایقش دارد که چه سمتی را انتخاب کند؛ برنامهنویسی، هک و امنیت، امنیت هم در چه حوزهای باشد؟ وب یا اپلیکیشن؟ من چون در حوزهی وب کار کردهام، پیشنهاد میکنم این حوزه را امتحان کند و بعد به سراغ اپلیکیشن برود. براساس تجربهی من، به نظرم اینطوری میتواند اپلیکیشن را بهتر هم درک کند. این انتخاب هم وجود دارد که راه قانونی را انتخاب کند یا راه غیرقانونی را؟ حقیقتا من یک جورایی در هر دوش بودهام. حالا یکسریها میگویند که کار غیرقانونی پولش بیشتر است، ولی خب دردسرش هم بیشتر است. حالا آن کسی که قانونی کار میکند پولش کمتر است، ولی خیالش راحتتر است. من اینها را به فردی که در آغاز مسیر است، میگویم. ولی نمیاتونم بگویم که دقیقا چه کاری را انجام بده، چون به انتخاب خودش بستگی دارد.
پیشنهاد خواندنی: گپوگفتی با شکارچی فعال راورو؛ ابوالفضل فهیمی (Crypton)
رضا شریفزاده:
یکی از موضوعاتی که به نظرم خوب است به آن توجه شود، بحث خطرات این شغل است. چون خیلی از افرادی که وارد این کامیونیتی میشوند، بچههای کمسنوسال هستند. من گاهی دیدهام که برروی سایتهای پرخطر کار میکنند و به من میگویند که گزارشش را بدهیم. امیدوارم آگاهسازی در زمینهی این موضوعات خیلی زیاد شود که افراد کمسنوسالتر بدانند که تستنفوذ اگر به صورت قانونی نباشد، طبعاتی دارد. پیشنهاد میکنم حتما از پلتفرمهای داخلی مثل راورو یا پلتفرمهای خارجی مثل هکروان که قانونی باشد و فردا دچار دردسر نشوند استفاده کنند. کارکردن بدون مجوز بر روی سایتهای حساس، طبعات قانونی به شدت زیادی دارد و ممکن است مسیر زندگی هر شخص را تغییر دهد.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ رضا شریفزاده
برنا نعمتزاده:
حرفی که برای شکارچیان آسیب پذیری دارم این است که اول از همه لازم است که واقعا به این حوزه علاقه داشته باشید. منظورم از علاقه این نیست که بگویید "هک جذاب است." یا " جذاب است که آسیب پذیری پیدا کنم و گزارش بدهم و بانتی بگیرم.". نه! منظورم این است که وقتی دارید یک جملهای را از یک آسیب پذیری میخوانید، اول از همه بروید و در کلی reference (در منابع مختلف؛ یوتویوب، کتابها و ...) چک کنید تا بفهمید مفهوم آن دقیقا چیست. بعدش خیلی ساده برای خودتان توضیح دهید. طوریکه اگر من و یا هر شخص دیگری از شما پرسیدیم: "مفهوم این جمله چیست؟" بتوانید خیلی ساده برای مخاطب توضیح دهید. این یعنی آن مفهوم را خوب فهمیدهاید، یعنی آنقدر علاقه دارید که برای آن مفهوم وقت بگذارید.
مورد بعدی بحث پیوستگی و مدیریت زمان است. اینکه شما بتوانید وقت خوبی را برای این قضیه بگذارید و با استفاده از تجربههایی که درطول مسیر به دست میآوردید، آسیب پذیری های خوبی را کشف کنید و گزارش دهید. ممکن است در اوایل مسیر، یک مقدار سخت باشد. ولی وقتی که شما پیوسته رو به جلو حرکت کنید و بدانید که در طول مسیر به دنبال چه هستید و مسیر را باعلاقه ادامه دهید، قطعا میتوانید نتیجهی خیلی خوبی بگیرید.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیب پذیری تماموقت؛ برنا نعمتزاده ( bornan )
سخن آخر:
گفتنیها را، عزیزانی که این مسیر را طی کرده اند، گفتند. فقط خواستیم توجه دوبارهای به این نکته بدهیم، که احتمالا به تعداد انسانهای روی زمین، راه برای هکرشدن وجود دارد. ؛)
بلاگپستهای مرتبط:
برخی از مصائب و چالشهای هکر بودن
قوانین و فرهنگ باگ بانتی در ایران