۵ توصیه برای شکارچیان آسیب پذیری تازه‌ وارد

۵ توصیه برای شکارچیان آسیب پذیری تازه‌ وارد

۵۳۸

۵ توصیه برای شکارچیان آسیب پذیری تازه‌وارد

 این بلاگ‌پست شامل تجمیع و برداشتی هدفمند از محتوای گپ‌و‌گفت‌هایی با برخی شکارچیان آسیب پذیری، هکرهای کلاه سفید و متخصصین امنیتی ست که قبلا در بلاگ راورو منتشر کرده‌ایم. در گپ‌وگفت‌های قبلی پرسش‌های مشترک و مشابهی را از افراد متفاوت پرسیده بودیم و هر یک از افراد از دیدگاه خود، پاسخ‌هایی به این سوال‌ها داده‌اند. حالا قرار است که سوال‌های مشترک را از دل گپ‌وگفت‌های گذشته بیرون بکشیم و پاسخ‌های متفاوت افراد به آن‌ها را در کنار هم قرار دهیم. این‌طور فکر می‌کنیم که این جمع‌بندی پاسخ‌هایی به یک پرسش‌ داده شده، می‎‌تواند ارزش‌مند، دارای پیامی جدید و نمودی از تنوع دیدگاه‌ها در خرد جمعی باشد. 

آن‌چه در این بلاگ‌پست خواهید خواند:

در این بلاگ‌پست گفته‌هایی از سیدرضا فاطمی، محمد درخشان، ابوالفضل فهیمی، رضا شریف‌زاده و برنا نعمت‌زاده را خواهید خواند که براساس تجربه‌ی زیسته و مسیری که طی کرده‌اند، از توصیه‌های خود برای یک شکارچی آسیب پذیری تازه‌وارد گفته‌اند. 

داخل پرانتز: ترتیب ارائه‌ی پاسخ‌های افراد در متن، مطابق با ترتیب گپ‌وگفت‌های منتشرشده با آن‌ها در بلاگ راوروست. 

سید رضا فاطمی:  

بهتر است که این را به دو قسمت تقسیم کنیم؛ یکی تا قبل از این‌که علاقه‌اش را پیدا کند و یکی هم بعد از این‌که علاقه‌اش را پیدا کرد. 

 تا قبل این‌که علاقه‌اش را پیدا کند، می‌تواند مسیر را مثل یک ماراتن فرض کند. شما باید در این مسیر بدوی و حرکت کنی. فرقی نمی‌کند چه‌جوری. مهم این است که نایستی. همین که داری به سمت علاقه‌ات پیش می‌روی، موفقت می‌کند. کار به جایی می‌رسد که چشم باز می‌کنی و می‌بینی با مسائل مختلف آشنایی پیدا کرده‌ای و به یک دید کلی از این حوزه رسیده‌ای. در این‌جا یک حسی بهت می‌گوید که به کدام بیش‌تر علاقه داری یا در کدوم می‌توانی بیش‌تر موفق باشی. 

بعد از این‌که علاقه را پیدا کردی، باید اصولی‌تر ادامه بدهی؛ دیگر شلخته درو کردن و جلو رفتن فایده ندارد. باید مطالعه کنی و دیسیپلین را در کار خودت رعایت کنی. منابع را از منابع دست اول و انگلیسی مطالعه کنی. باید خودت را با این شرایط وفق بدهی که همیشه باید در این مسیر به‌روز بمانی. من خودم در حوزه‌ی وب زیاد اهل مطالعه‌ی کتاب نبودم. ولی توانستم کمبودها و جای خالی‌ها را با تجربه‌ای که از پروژه‌های مختلف به دست آوردم، CTFهایی که شرکت کردم و بلاگ‌پست‌هایی که مطالعه کردم، پر کنم. گام‌هایی که آقا یاشار هم در موردشان صحبت کردند، نقشه راهی که گذاشتند و کتاب‌هایی که معرفی می‌کنند، هم خوب هستند. می‌توانند آن‌ها را نگاه کنند و به تجربه‌ی دیگران تکیه کنند. اما این راه، راه من نبود. شاید اگه این راه را می‌رفتم، زودتر به این نقطه‌ی فعلی می‌رسیدم و این راهی که رفتم این‌قدر طول نمی‌کشید. ولی خب، من می‌خواستم بر اساس تجربه و علاقه‌، راه و تک‌تک قدم‌هایم را انتخاب کنم.  

توصیه می کنم که موقع ورود به این حوزه علاقه‌ی شخصی را اولویت بدهند. اگر دنبال علاقه باشید، می توانید به موفقیت برسید و حتی درآمد کسب کنید. اما اگر توی قدم اول به کسب درآمد فکر کردید، تضمینی برای رسیدن شما به نقطه‌ی مطلوب وجود ندارد. هم‌چنین توصیه می‌کنم که بین جنبه‌ها و ابعاد مختلف زندگی‌شان تعادل را رعایت کنند.  

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی فعال راورو؛ سیدرضا فاطمی (Checkmate) 

محمد درخشان:  

در این مسیر صبر خیلی مهم است! باید مطالعه‌ی زیاد داشته باشند و مهارت برنامه نویسی‌شان را قوی کنند، مخصوصا زبان‌های Python و JavaScript. 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی برتر راورو؛ محمد درخشان (mohammadrobot) 

ابوالفضل فهیمی:  

شخصی که در اوایل مسیر قرار دارد و می‌خواهد شروع کند، خب خیلی بستگی به علایقش دارد که چه سمتی را انتخاب کند؛ برنامه‌نویسی، هک و امنیت، امنیت هم در چه حوزه‌ای باشد؟ وب یا اپلیکیشن؟ من چون در حوزه‌ی وب کار کرده‌ام، پیشنهاد می‌کنم این حوزه را امتحان کند و بعد به سراغ اپلیکیشن برود. براساس تجربه‌ی من، به نظرم این‌طوری می‌تواند اپلیکیشن را بهتر هم درک کند. این انتخاب هم وجود دارد که راه قانونی را انتخاب کند یا راه غیرقانونی را؟ حقیقتا من یک جورایی در هر دوش بوده‌ام. حالا یک‌سری‌ها می‌گویند که کار غیرقانونی پولش بیش‌تر است، ولی خب دردسرش هم بیش‌تر است. حالا آن کسی که قانونی کار می‌کند پولش کم‌تر است، ولی خیالش راحت‌تر است. من این‌ها را به فردی که در آغاز مسیر است، می‌گویم. ولی نمی‌اتونم بگویم که دقیقا چه کاری را انجام بده، چون به انتخاب خودش بستگی دارد.  

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی فعال راورو؛ ابوالفضل فهیمی (Crypton) 

رضا شریف‌زاده:  

یکی از موضوعاتی که به نظرم خوب است به آن توجه شود، بحث خطرات این شغل است. چون خیلی از افرادی که وارد این کامیونیتی می‌شوند، بچه‌های کم‌سن‌وسال هستند. من گاهی دیده‌ام که برروی سایت‌های پرخطر کار می‌کنند و به من می‌گویند که گزارشش را بدهیم. امیدوارم آگاه‌سازی در زمینه‌ی این موضوعات خیلی زیاد شود که افراد کم‌سن‌وسال‌تر بدانند که تست‌نفوذ اگر به صورت قانونی نباشد، طبعاتی دارد. پیشنهاد می‌کنم حتما از پلتفرم‌های داخلی مثل راورو یا پلتفرم‌های خارجی مثل هکروان که قانونی باشد و فردا دچار دردسر نشوند استفاده کنند. کارکردن بدون مجوز بر روی سایت‌های حساس، طبعات قانونی به شدت زیادی دارد و ممکن است مسیر زندگی هر شخص را تغییر دهد.  

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب‌پذیری؛ رضا شریف‌زاده 

برنا نعمت‌زاده:  

حرفی که برای شکارچیان آسیب پذیری دارم این است که اول از همه لازم است که واقعا به این حوزه علاقه داشته باشید. منظورم از علاقه این نیست که بگویید "هک جذاب است." یا " جذاب است که آسیب پذیری پیدا کنم و گزارش بدهم و بانتی بگیرم.". نه! منظورم این است که وقتی دارید یک جمله‌ای را از یک آسیب پذیری می‌خوانید، اول از همه بروید و در کلی reference (در منابع مختلف؛ یوتویوب، کتاب‌ها و ...) چک کنید تا بفهمید مفهوم آن دقیقا چیست. بعدش خیلی ساده برای خودتان توضیح دهید. طوری‌که اگر من و یا هر شخص دیگری از شما پرسیدیم: "مفهوم این جمله چیست؟" بتوانید خیلی ساده برای مخاطب توضیح دهید. این یعنی آن مفهوم را خوب فهمیده‌اید، یعنی آن‌قدر علاقه دارید که برای آن مفهوم وقت بگذارید.  

مورد بعدی بحث پیوستگی و مدیریت زمان است. این‌که شما بتوانید وقت خوبی را برای این قضیه بگذارید و با استفاده از تجربه‌هایی که درطول مسیر به دست می‌آوردید، آسیب پذیری های خوبی را کشف کنید و گزارش دهید. ممکن است در اوایل مسیر، یک مقدار سخت باشد. ولی وقتی که شما پیوسته رو به جلو حرکت ‌کنید و بدانید که در طول مسیر به دنبال چه هستید و مسیر را باعلاقه ادامه دهید، قطعا می‌توانید نتیجه‌ی خیلی خوبی بگیرید.  

 پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب پذیری تمام‌وقت؛ برنا نعمت‌زاده ( bornan ) 

سخن آخر

 گفتنی‌ها را، عزیزانی که این مسیر را طی کرده اند، گفتند. فقط خواستیم توجه دوباره‌ای به این نکته بدهیم، که احتمالا به تعداد انسان‌های روی زمین، راه برای هکرشدن وجود دارد. ؛)  

بلاگ‌پست‌های مرتبط

برخی از مصائب و چالش‌های هکر بودن 

قوانین و فرهنگ باگ بانتی در ایران 

آسیب پذیری های محبوب شکارچیان آسیب پذیری  

ابزارهای شکار توصیه‌شده‌ی شکارچیان آسیب پذیری