كيف تصبح صياد مكافآت للاخطاء Bug Bounty Hunter

  • Home
  • Blog
  • كيف تصبح صياد مكافآت للاخطاء Bug Bounty Hunter
كيف تصبح صياد مكافآت للاخطاء Bug Bounty Hunter

 

هذه صورة المخترق ويدعى Chang Chi yuan الذي ادعى انه قام باستهداف الثغرة التى جعلت فيس بوك تقوم بعمل Force Logout ل ٩٠ مليون حساب على موقعها.
ماهو عمل هذا الشخص Chang Chi yuan؟
شانج شي يوان يعمل كصياد مكافأت للاخطاء او Bug Bounty Hunter
من اين اتت كلمة صياد المكافأت نعود قليلاً الى الماضي القديم ايام ال cowboys والغرب الامريكي المتوحش, فمن المؤكد انك قد شاهدت افلام رعاه البقر والمجرمين وكيف يتم ملاحقتهم وذلك بتعليق صورهم على جدران المنازل وفي مكتب الشريف ووضع مكافأة على المجرم سواء كان حي او ميت كما هي الصورة ادناه للمجرم الكبير Billy The Kid


فكان بعض رعاه البقر يخرجون في مهام لصيد هؤلاء الخارجين عن القانون وعند تسليمهم يتم إعطائهم الجوائز المالية.

الان لم نعد نعيش في عالم فيه خارجين عن القانون وايضاً المجرمين تلاحقهم الحكومات ولا داعي للاستخدام صائدي الجوائز الذين يبحثون عن المجرمين, واصبح الوضع الان هو صيد للجوائز في مجال امن المعلومات…

اذن ماهو ال Bug Bounty Hunting هي برامج تقام على الانترنت ويجتمع فيها الكثير من المخترقين الاخلاقيين (White Hat Hackers) من اجل عمل اختبارات وفحوصات للمواقع واستخراج الثغرات وعندما يجد المخترق الاخلاقي ثغره يرسلها الى الموقع الذي تم فحصة وعلى حسب صعوبة الثغرة يتم اعطاء المخترق جائزة مالية وقد تصل الى ملايين الدولارات في بعض الاحيان, وهذا هو العمل الذي يقوم به شانج شي يوان التايواني.

اذن كيف يمكنني ان اصبح مثل شانج شي يوان؟
لكي تصبح صياد مكافأت للاخطاء او Bug Bounty Hunter عليك ان تكون مبرمجاً للويب Web وان تكون على معرفة كبيرة بتقنيات الويب مثل ال HTML, CSS, JAVASCRIPT, PHP وتعرف كيف يعمل الويب بشكل عام.
ان تدرس انواع الثغرات التى توجد على الويب مثل ال CSRF, SQL Injection, XSS, Access Token Harvesting
وبعد ذلك يأتي استخدام الادوات التى تقوم بها بعمل اختبارات للمواقع مثل ال tracing و mapping وهنالك اداه مهمة تقوم بكل ذلك واسمها burp suite وهنالك سلسة في قناتي على اليوتيوب قمت بشرح هذة الاداة وتجدها على الرابط: https://goo.gl/X89VtE

والان جاء دور دخولك للمواقع التى يجتمع بها المخترقين الاخلاقيين واصحاب المواقع التى يراد عمل الاختبارات عليها وهذه بعض المواقع التى يمكن الانضمام لها والبدء في عمل الفحوصات والاختبارات والاختراقات وتسمى CROWDSOURCED Cyber Security Platform
والسبب في تسميتها CrowdSourced انها تقوم على مبدا ان اي شخص يمكنه الانضمام لعمل الاختبارات, فبدل ان يأتي اصحاب الموقع بشركات متخصصة في الاختراقات والتى قد تكلف اموال طائلة, فأنة يوكل هذه المهمة لجميع المشتركين في منصات Bug Bounty حتى يفصحوا مواقعهم ويأتوهم بالنتائج.
على العموم اشهر موقعين في هذا المجال هم: bugcrowd.com و منصة hackerone.com
وايضاً يوجد مواقع ومنصات اخرى وقد يطول ذكرها في هذا البوست.

لكن على العموم الطريق لكي تصبح مختبر اختراقات مواقع الكترونية ليس بذلك الصعب, ولكنه يتطلب منك ان تكون مثابر بشكل متواصل بقراءة اخر اخبار الاختراقات والثغرات ولا انسى اهم مهارة في هذا المجال التى هي التجربة والخطا, فكلما جربت اكثر كلما تعلمت اكثر حتى وان اخطأت…

وبالاخير اقول لكم…
Happy Hunting…