حس‌وحال لحظه‌ی کشف و شکار آسیب پذیری

حس‌وحال لحظه‌ی کشف و شکار آسیب پذیری

۳۳۸

این بلاگ‌پست شامل تجمیع و برداشتی هدفمند از محتوای گپ‌و‌گفت‌هایی با برخی شکارچیان آسیب پذیری، هکرهای کلاه سفید و متخصصین امنیتی ست که قبلا در بلاگ راورو منتشر کرده‌ایم. در گپ‌وگفت‌های قبلی پرسش‌های مشترک و مشابهی را از افراد متفاوت پرسیده بودیم و هر یک از افراد از دیدگاه خود، پاسخ‌هایی به این سوال‌ها داده‌اند. حالا قرار است که سوال‌های مشترک را از دل گپ‌وگفت‌های گذشته بیرون بکشیم وپاسخ‌های متفاوت افراد به آن‌ها را در کنار هم قرار دهیم. این‌طور فکر می‌کنیم که این جمع‌بندی پاسخ‌هایی به یک پرسش‌ داده شده، می‎‌تواند ارزش‌مند، دارای پیامی جدید و نمودی از تنوع دیدگاه‌ها در خرد جمعی باشد.

آن‌چه در این بلاگ‌پست خواهید خواند:

در این بلاگ‌پست گفته‌هایی از پیمان زینتی، سیدرضا فاطمی، محمد درخشان، ابوالفضل فهیمی، مهدی مرادلو، آرمان محمدتاش، ارغوان کامیار، علیرضا رضایی، محمدحسین آشفته‌یزدی، بهراد احمدپور و رضا شریف‌زاده را خواهید خواند که راجع به حس‌حالی که در لحظه‌ی شکار و کشف آسیب‌پذیری تجربه می‌کنند، گفته‌اند.

داخل پرانتز: ترتیب ارائه‌ی پاسخ‌های افراد در متن، مطابق با ترتیب گپ‌وگفت‌های منتشرشده با آن‌ها در بلاگ راوروست.

پیمان زینتی:

حس نابی دارد. اینکه باگی را پیدا کنی و گزارش کنی. و آن باگ تکراری هم نباشدو mpact بالایی هم داشته باشد، واقعا حس خیلی نابی دارد اصلا.

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی جوان و فعال راورو؛ پیمان زینتی (Scar3cr0vv)

سیدرضا فاطمی:

سوال سختی ست. چون از نظر من شیرینی هک به مسیری ست که طی می‌کنی، وگرنه لذت رسیدن به نتیجه، ثبات زیادی ندارد و سریع از بین می‌رود. حداقل برای من این‌طوری است که آن خوشی پایدار نیست و همواره مسیری که طی کرده‌ام، من را علاقه‌مند و مشتاق نگه می‌دارد. این‌که درگیر چالش شوم؛ خودم را به جای برنامه‌نویس بگذارم، حدس بزنم و منطق پشت برنامه را بخوانم، بعد طبق آن تست‌های خودم را پیاده‌سازی کنم. و این‌کار را آن‌قدرر تکرار کنم تا به هدفی که مد نظرم است، برسم. هر بار هم این مسیر برام پر از تجربه‌های لذت‌بخش جدیده است. رسیدن به باگ برایم شیرینی خودش را دارد، ولی خب آن طور نیست که بپرم بالا و شادی کنم. یک مقدار به مانیتور خیره می‌شوم و به خودم می‌گویم:" جالب بود! ". بعدش هم خیلی ساده از کنارش رد می‌شوم. مثل یک مسابقه‌ی CTF، که چالش را حل می‌کنی، به flag می‌رسی و بعد از ثبت فلگ، بدون فوت وقت، به سراغ چالش بعدی می‌روی. ؛)

به‌عنوان یک هکر کلاه سفید، همین که کمک می‌کنم تا یک سری سایت امن‌تر شوند، سایت‌هایی که ممکن است در فرداروز من یا اعضای خانواده‌ام هم عضو آن‌ها باشیم، برایم لذت‌بخش است. امن‌تر کردن آن محیط، برای خانواده‌ی من هم محیط امن‌تری را فراهم می‌کند، برای جامعه‌ای که عضوی از آن هستیم، هم همین‌طور.

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی فعال راورو؛ سیدرضا فاطمی (Checkmate)

محمد درخشان:

اگر باگی باشد که حساس باشد، هیجان‌زده می‌شوی. و مثلا وقتی که باگ را گزارش دهی، استرس تکراری شدنش را داری.

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی برتر راورو؛ محمد درخشان (mohammadrobot)

ابوالفضل فهیمی:

تا قبل از این‌که باگی پیدا شود و در حال کشفش هستیم، خب یه خورده خسته‌کننده است. ولی وقتی یک باگ پیدا می‌شود، خستگی‌ای که در آن چند ساعت داشتیم، از تنمان درمی‌آید. خیلی حس خوبی دارد. این حس را برای همه‌ی هانترها آرزو می‌کنم. ؛)

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی فعال راورو؛ ابوالفضل فهیمی (Crypton)

مهدی مرادلو:

حس خیلی خوبی ست. می‌دانید بعد از یک مدت، هیجان و اهمیت کشف آسیب پذیری و دریافت بانتی کم‌‌رنگ‌تر می‌شود. و سناریویی که داری اجرا می‌کنی، از بانتی و باگ برایت جذاب‌تر می‌شود. من به مرور در کارهایم متوجه می‌شوم که این‌ سناریوها، راه‌های مختلف و … دارند به‌مرور هی تکمیل‌تر می‌شوند... مثلا داری سناریوی قبلی را انجام می‌دهی و به جایی می‌رسی که قبلا انجامش نداده‌ای و باید سناریوی جدیدی را امتحان کنی. من گاهی برای تست یک آسیب پذیری، ۴۰،۳۰ تا سناریو را امتحان کرده‌ام! گاهی من سناریویی را کشف و اجرا می‌کنم که روی سایت جواب نمی‌دهد. ولی همین که این سناریو به ذهنم رسیده، برایم خیلی لذت‌بخش است.

کلا سناریو نوشتن هم خیلی لذت‌بخش است؛ خودت رو به‌جای یه هکر کلاه‌سیاه می‌گذاری و باخودت می‌گویی:" با این سناریو چه‌کار می‌توانم بکنم تا بیش‌ترین ضربه را به این سازمان بزنم؟ ولی به جای ضربه زدن، گزارشش را بدهم و بانتی بگیرم." این مایندست از جنس حمله است که همه‌ی هکرها دارند و نیاز هم هست که داشته باشند. چون گزارش‌های شکار این‌طوری ارزش بیش‌تری پیدا می‌کنند. مثلا الان یک XSS به‌تنهایی را شکارچی می‌تواند گزارش دهد و ۵۰۰ دلار بانتی بگیرد. ولی یک XSS تبدیل‌شده به SSRF را می‌تواند گزارش کند و ۱۰ هزار دلار یا ۲۰ میلیون تومان بانتی بگیرد.

پیشنهاد خواندنی: گپ‌وگفتی با پردرآمدترین شکارچی راورو در سال ۱۴۰۰؛ مهدی مرادلو (moradlooo)

آرمان محمدتاش:

بستگی به سطح دسترسی‌ای که می‌گیرم و آن قدرت و تسلطی که روی سایت دارم، دارد؛ اگر یک Shell را Upload کنم، خیلی خوش‌حال می‌شوم. اگر آسیب پذیری Account Takeover و یا Information Leak باشد، در یک حدی. اگر روی پلتفرم باشد، می‌گویم خب من آسیب پذیری زده‌ام و قرار است برایش ارزش قائل شوند، داپلیکیت و خارج از محدوده نخورد و اذیت هم نکند. گاهی هم قرار نیست بانتی خاصی بگیرم، ولی اگر بخواهم عشقی ‌می‌روم بزنم. می‌گویم من این سایت را زده‌ام و حس خوبی برایم دارد.

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی جوان راورو؛ آرمان محمدتاش (Arman_Security)

ارغوان کامیار:

لحظه‌ی کشف آسیب پذیری برایم این‌طور است که انگار در تاریکی باشیم و یهویی جرقه­­‌ی بزرگی زده شود. واقعا همه‌ی سختی‌­ها و خستگی‌­هایم را می­‌برد! فارغ از این‌که به پول می­‌رسد یا نمی­‌رسد. از خود کشف آن آسیب پذیری خیلی خوشحال و هیجان‌زده می­‌شوم. چند سالی ست که دارم کار می­‌کنم ولی هنوز وقتی یک آسیب پذیری بحرانی را پیدا می‌­کنم، حسابی هیجان زده می شوم. برایم عادی نمی­‌شود. از پیدا کردن آسیب پذیری خیلی انرژی می­‌گیرم.

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی راورو؛ ارغوان کامیار (spark)

علیرضا رضایی:

مسیر کشف آسیب­ پذیری مثل پیش رفتن در تونل سیاهی است که مدتی در آن هستید و نمی‌دانید چه خبر است! دارید جلو می­‌روید. چون همه­‌جا تاریک است، فاصله‌ی تاریکی تا روشنایی هم مشخص نیست و چیزی نمی‌بینید. فاصله‌ی تاریکی تا روشنایی هم مشخص نیست. (ولی درواقع ممکن است این‌طور نباشد و در نزدیکی یک آسیب پذیری باشید.) همین‌طور دارید می‌­روید و یکهو می­‌بینید که وسط روشنایی و جنگل هستید و آسیب­ پذیری را پیدا کرده‌اید. از تاریکی به سمت روشنایی جلورفتن، لحظه‌­ی خوبی است.

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی؛ علیرضا رضایی

محمدحسین آشفته یزدی:

خانم مریم میرزاخانی در یکی از مصاحبه‌هایش می‌گوید که یکی از دلایلی که ریاضی را دوست دارد، حسی ست که بعد از کلی سختی و شکست در موقع حل مسئله بهش دست می‌دهد. دقیقا جایی که می‌گویی: " آها… جواب این است!" من هم همین حس را موقع کشف آسیب پذیری دارم.

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی؛ محمدحسین آشفته‌یزدی (sec_zone64)

بهراد احمدپور:

شکار آسیب پذیری برای من معمولا شیرین است. بعضی‌وقت‌ها ته‌مزه‌های تلخی هم پیدا می‌کند. ‌تلخی‌اش وقت‌هایی ست که فکر می‌کنم آسیب‌پذیری را توانسته‌ام پیدا کنم و خیلی بابتش خوشحال می‌شوم، ولی وقتی بعد از یک روز یا چند ساعت که برمی‌گردم یا دقیق‌تر رویش کار می‌کنم، می‌فهمم که "نه!". می‌فهمم که آن لحظه اشتباهی فکر کرده بودم که این آسیب‌پذیری وجود دارد. بابت همین می‌گویم اغلب اوقات شیرین است ولی خوب بعضی‌وقت‌ها این تلخی هم اتفاق می‌افتد.

همان‌طور که گفتم قبلا تجربه‌ی این را داشته‌ام که آن‌لحظه خیلی‌خوشحال شده‌ام ولی بعدش که برگشته‌ام و بررسی کرده‌ام دیده‌ام که این باگ شاید خیلی درست نبوده، شاید من سناریو را اشتباه رفته‌ام و این‌جور‌چیزها... به‌خاطر همین الان دیگر معمولا وقتی باگ پیدا می‌کنم، خیلی‌ذوق‌زده‌ نمی‌شوم. مثلا در صبر و این‌جورچیزها می‌آیم و چندین‌و‌چندبار بررسی‌اش می‌کنم. به‌خاطر همین هم می‌گویم شاید قبلا در آن لحظه خیلی خوشحال می‌شدم، مخصوصا اگر از باگ‌های خیلی حساس‌تر هم می‌بود. ولی الان نه. سعی می‌کنم یک ذره خودم را کنترل کنم، چندباری چکش کنم و مطمئن شوم، ازش قشنگ یک ریپورت آماده کنم و بعدش حالا می‌روم یک‌ذره خوشحالی می‌کنم و دوباره سرکارم برمی‌گردم.

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی جوان راورو؛ بهراد احمدپور (behrad_amp)

رضا شریف‌زاده:

لحظه‌ی کشف و شکار آسیب پذیری، قبلا برای من خیلی هیجان‌انگیزتر بود. الان شاید به شکل یک وظیفه‌ی روتین می‌دانمش و به نظرم این خیلی خوب است. یعنی باعث می‌شود آدم احساس کند که باید پیدا کند و اگر پیدا نکند، یک ضعفی دارد. ممکن است خیلی جاها هم پیدا نشود. ولی درحال‌حاضر چون برای خودم یک وظیفه می‌دانم، صرفا وقتی آسیب پذیری پیدا می‌کنم احساس می‌کنم توانسته‌ام وظیفه‌ام را به نحو احسنت انجام دهم. این حسی است که من موقع کشف یک حفره‌ی امنیتی پیدا می‌کنم.

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب‌پذیری؛ رضا شریف‌زاده

سخن آخر:

در جست‌وجوی آسیب‌پذیری و در پی شکار و کشف آن بودن می‌تواند ،ای هر شکارچی، حس‌وحال متفاوت و منحصربه‌فردی را داشته باشد. برای شما چه حس‌وحالی دارد؟

بلاگ‌پست‌های مرتبط:

آسیب پذیری های محبوب شکارچیان آسیب پذیری

تعریف هک از نگاه هکرها

چگونه توانستم آسیب پذیری ۶۰ میلیون تومانی Mass Assignment را برروی وبسایت راورو کشف کنم؟ (رایتاپ محمدجواد بناروئی)

بررسی وجود ۵ آسیب پذیری رایج برروی درگاه پرداخت هدف راورو (رایتاپ رامین فرج‌پور)