شکارچی‌ها میدان‌ها اهداف گزارش‌های شکار بلاگ درباره ما
EN
شکارچی‌هامیدان‌هااهدافگزارش‌های شکاربلاگدرباره ما
ENورود ثبت نام
گپ‌وگفتی با شکارچی آسیب‌پذیری؛ پیمان زینتی

گپ‌وگفتی با شکارچی آسیب‌پذیری؛ پیمان زینتی

۶۵

در این بلاگ‌پست، به سراغ یک شکارچی آسیب پذیری و متخصص تست نفوذ در دنیای امنیت سایبری رفته‌ایم تا با او گپ‌وگفت کوتاهی داشته باشیم؛ پیمان زینتی (@Scar3cr0vv)

پیمان 22 سال دارد. از از 15-16 سالگی وارد دنیای هک و امنیت شده است. بیشتر در حوزه‌ی امنیت وب‌اپلیکیشن‌ها فعالیت می‌کند. هم به باگ بانتی می‌پردازد، هم به تست نفوذ. سعی می‌کند با حفظ تنوعی از هردو، از هیچ کدام اصطلاحا "زده" نشود. فکر می‌کند رقابتی که در باگ بانتی همواره در جریان است، ممکن است شکارچی آسیب پذیری را خسته کند. آرزو دارد که ایران از حالت اوپن سورسی که هست، کمی کلوز سورس‌تر شود.

ما حدود 4 سال پیش، مصاحبه‌ی دیگری با پیمان داشته‌ایم: گپ‌وگفتی با شکارچی جوان و فعال راورو؛ پیمان زینتی

_ ما معمولا در ابتدای هر مصاحبه از شکارچی‌ها می‌خواهیم که کمی از خودشان برایمان بگویند. از آن‌جا که قبل‌ترها با شما مصاحبه‌ای داشته‌ایم، این سوال را از شما این‌طور می‌پرسیم: از زمان آن مصاحبه تا الان، چه‌ تغییراتی کرده‌ای؟

من حدود چهار، پنج سال است که در حوزه‌ی امنیت سایبری کار می‌کنم. از آن زمان تا الان، کمی اجتماعی‌تر شده‌ام. در زمینه‌ی فنی، دانش و مهارتم را ارتقا داده‌ام و قوی‌تر کرده‌ام. من در آن زمان، تجربه‌ی کاری زیادی نداشتم. ولی الان تجربه‌ی این را دارم که به مدت دو سال و نیم در یک شرکت کار کرده‌ام.

_ در مصاحبه‌ی قبلی پرسیده بودیم که بالاترین بانتی‌ای که تا حالا دریافت کرده‌ای، چه قدر بوده؟ پاسخ شما "14 میلیون تومان" بود. الان پاسخ شما چیست؟

من مدتی از باگ بانتی فاصله گرفته بودم. اخیرا در راورو هم فعالیتی نمی‌کردم. بالاترین مبلغ بانتی‌ام مربوط به باگ بانتی اسنپ که در آن شرکت کرده بودم برمی‌گردد و 35 میلیون بوده است.

_ با توجه به مسیری که در دنیای امنیت سایبری طی کرده‌‌ای، برای افرادی که الان در موقعیت چند سال قبل شما قرار دارند، پیشنهادی داری؟

من باگ بانتی را دوست دارم و انجامش می‌دهم. در کنار آن، تجربه‌ی تست نفوذ و کار در یک شرکت را مفید می‌دانم. برای یک شکارچی آسیب پذیری، می‌تواند کمک‌کننده باشد که مدتی (مثلا یک سال) را در یک شرکت کار کند و از آن زاویه با روند تست نفوذ آشنا شود. در باگ بانتی ممکن است یک شکارچی آسیب پذیری، فقط چند مورد X و Y را بلد باشد و فقط به چک‌‌کردن همان موارد بپردازد. ولی در تست نفوذ تو موظف هستی که بیشتر از آن پیش بروی. این تجربه به دانش آن فرد و مسیرش در باگ بانتی هم کمک می‌کند.

پیشنهاد خواندنی: ۵ توصیه برای شکارچیان آسیب پذیری تازه‌ وارد

_ باگ بانتی برای شما چه خوشایندی‌ها و ناخوشایندی‌هایی دارد؟

خوشایندی که... همه‌اش خوشایند است. ولی ناخوشایندی‌اش، رقابتی ست که همواره در جریان است. این رقابت ممکن است شکارچی آسیب پذیری را خسته کند. مثلا شما نگاه می‌کنی و می‌بینی که خودت سه روز کار کرده‌ای و دو آسیب پذیری کشف کرده‌ و گزارش داده‌ای. یک شکارچی آسیب پذیری دیگر هم همزمان کار کرده و 20 گزارش آسیب پذیری ثبت کرده است. هر چقدر هم بخواهی که مقایسه نکنی، این تفاوتی که بین خودت و یک شکارچی دیگر می‌بینی، در طول زمان خسته‌ات می‌کند، اعتماد به نفست را می‌گیرد و ... .

_ به برنامه‌های باگ بانتی دلاری هم می‌پردازی؟

حقیقتا دوست دارم، ولی از نظر زمانی، نمی‌رسم که برایش زمانی بگذارم. بار ذهنی باگ بانتی دلاری بیشتر است؛ از این لحاظ که بخواهی آسیب پذیری را کشف کنی، نگرانی بابت پروسه‌ی تبدیل بانتی و بلاک نشدن و ... .

_ در میان اهداف مختلف برنامه‌های باگ بانتی، بیشتر چه اهدافی را ترجیح می‌دهی؟ در انتخاب هدف، چه معیارهایی برای شما اهمیت دارد؟

مثلا اگر بخواهم از میان اهداف راورو، هدفی را انتخاب کنم که رویش وقت بگذارم، هدفی را انتخاب می‌کنم و ترجیح می‌دهم که اطلاعاتش کامل باشد؛ توضیحات شفافی داده باشد. امکانات و شرایط لازم را هم در نظر گرفته باشد. مثلا؛ اگر برای تست، به حساب X نیاز است، آن را در اختیار شکارچی قرار دهد. مثلا؛ من در میان اهداف باگ پارتی به سراغ بانک سینا نرفتم، چون که Credential نداشتم. می‌خواستم برروی هدف چارگون کار کنم. بخش قوانینش را خواندم و دیدم که سه، چهار مورد از OWASP، استثناء شمرده شده و منع شده بود. مثل XSS و LFI و Race Condition و موارد دیگر. این‌که دیدم این‌طوری محدود و منع کرده‌اند، باعث شد کلا بررویش کار نکنم. آخر مگر OWASP چندتاست که چهارتایش را منع کنید؟

پیشنهاد خواندنی: باگ هایی که گزارش نمی‌شوند!

_ در حال حاضر بیشتر به تست نفوذ می‌پردازی یا باگ بانتی؟ چرا؟

من در حال حاضر، سعی می‌کنم هر دو را داشته باشم؛ به‌طور پروژه‌ای تست نفوذ قبول کنم و به‌طور پاره‌وقت به باگ بانتی هم بپردازم. حفظ تنوعی از هردو، باعث می‌شود که از هیچ کدام اصطلاحا "زده" نشوم. هچنین در پرداختن به باگ بانتی، ممکن است تمرکزم را برروی موارد خاصی بگذارم و برخی موارد را چک نکنم. پرداختن به پروژه‌های تست نفوذ کمکم می‌کنند که موارد دیگر را کلا کنار نگذارم، همچنان بهشان توجه کنم و روال کار همچنان دستم باشد. _ آرزویی برای حوزه‌ی امنیت سایبری داری؟ می‌شود گفت در حال حاضر ایران انگار اوپن سورس است. امیدوارم یک‌مقدارر کلوز سورس‌تر شود. همین. _ما هم امیدواریم که وضعیت امنیت سایبری در ایران ارتقا یابد. ممنون که در این مصاحبه همراه ما بودی، پیمان عزیز.

_ چه آرزویی برای حوزه‌ی امنیت سایبری داری؟

آرزو دارم که وضعیت امنیت سایبری ایران از حالت اوپن سورسی که هست، کمی کلوز سورس‌تر شود.

_ ما هم امیدواریم. ممنون که وقتت را در اختیار ما قرار دادی و در این مصاحبه همراهمان بودی پیمان عزیز.

بلاگ‌پست‌های مرتبط:

گپ‌وگفتی با شکارچی آسیب‌پذیری؛ علی فیروزی

گپ‌وگفتی با شکارچی آسیب پذیری؛ محمدجواد بناروئی

گپ‌وگفتی با شکارچی آسیب‌پذیری؛ نیما غلامی

گپ‌وگفتی با شکارچی آسیب پذیری تمام‌وقت؛ برنا نعمت‌زاده

راورو

«راورو» یک واژه‌ی کردی و به معنای شکارچی حرفه‌ای است.
ما در راورو تلاش می‌کنیم پاسخی برای دغدغه‌های امنیتی کسب‌وکارها باشیم. تلاش می‌کنیم با ایجاد پلی میان تخصص متخصصین امنیت و کسب‌وکارها، شرایطی را فراهم آوریم که کسب‌وکارها بتوانند با خیالی آسوده، ارتقای امنیت کسب‌وکار خود را به ما بسپارند و خود بر روی حل سایر چالش‌های موجود در مسیر رشد کسب‌وکارشان تمرکز کنند.

اشتراک در خبرنامه

اطلاع از آخرین خبرنامه‌ی راورو

راورو
شکارچی
میدان
روز و روزگارتون امن ؛)© تمامی حقوق برای راورو محفوظ است.