كيف تصبح صائد المكافآت او Bug Bounty Hunter

إذا كنت مهووسا بالحماية والأمن المعلوماتي فقد تكون سمعت ببرنامج bug bounties 

وهو برنامج يحتوي على مواقع وتطبيقات لشركات معينة يقترح عليك أن تكتشف ثغرة وتقوم بعمل إبلاغ للشركة وتقوم هذه الشركة بمكافاتك على حسب نوع الثغرة ومستوى الخطر كانت هذه فقط مجرد مقدمة عن البرنامج 

الان لنعد للسؤال , كيف تصبح صائد جوائز ومكتشف ثغرات (رورونوا زورو الانترنت) , طبعا يمكن لأي شخص لديه مهارات في مجال الكمبيوتر ودرجة عالية في من الفضول والبحث أن يصبح باحثا ناجحا عن نقاط الضعف . لا يهم السن سواء كنت صغيرا او كبيرا . الشيء المهم هو أنك ستحتاج الى التعلم المستمر . سادرج مجموعة من الموارد ادناه والتي سوف تفيدك في البدء .

اللغة شيئ مهم في التعلم طبعا اللغة الانجليزية مهمة في هذا المسار ( لغة العلم ) .

 الخطوة 1 ) ابدأ بالقراءة 

هناك بعض الكتب الإرشادية التي تتوفر على اساسيات في اختبار الاختراق واكتشاف الاخطاء . حاول ان تصب تركيزك على تطبيقات الويب في البدء , نظرا لان برامج المكافاة تتضمن غالبا أهداف في الويب 

مجموعة من الكتب والمواقع المفيدة : 

http://www.amazon.com/The-Web-Application-Hackers-Handbook/dp/8126533404/

https://www.owasp.org/index.php/OWASP_Testing_Project

https://www.nostarch.com/pentesting

http://www.amazon.com/The-Hacker-Playbook-Practical-Penetration/dp/1512214566/ref=dp_ob_title_bk

الخطوة 2 ) قم بتطبيق ما تعلمته .

أثناء تعلمك , من المهم التأكد من أنك تفهم ما تعلمته وذلك بتطبيقه , يعتبر تطبيق على الانظمة الضعيفة أفضل طريقة لاختبار مهاراتك طبعا تطبيقها على بيئة محاكية يكون أفضل , هذه ستعطيك فكرة عن ما ستواجهه في العالم الحقيقي 

مجموعة من المواقع والتي تتوفر على قائمة من التطبيقات والانظمة للتدريب على العديد من السيناريوهات :

https://www.hacksplaining.com/exercises

http://www.amanhardikar.com/mindmaps/Practice.html

الخطوة 3 ) اقرأ تحليلات او ما يسمى ب Write ups والتي قام هاكرز اخرون بحلها .

الآن بعد أن أصبح لديك فهم أساسي لكيفية العثور على الثغرات الأمنية واستغلالها ، فقد حان الوقت للبدء في التحقق مما يجده الهكرز الآخرون في الميدان . لحسن الحظ يُعرف مجتمع الحماية بالسخاء و تبادل المعرفة

Write ups :

https://forum.bugcrowd.com/t/researcher-resources-tutorials/370

https://www.reddit.com/r/netsec

https://www.youtube.com/user/JackkTutorials/videos

https://www.youtube.com/user/DEFCONConference/videos

https://www.youtube.com/user/Hak5Darren/playlists

https://github.com/onlurking/awesome-infosec

 الخطوة 4) انضم إلى المجتمع!

انضم إلى مجتمع عالمي يضم عشرات الآلاف من الهكرز وصائدي الجوائز . لحسن الحظ يسعد العديد من هؤلاء بمشاركة معارفهم مع باحث زميل مهذب وفضولي جديد في المجتمع فكن لطيفا لتحصل على مرادك 

http://webchat.freenode.net/?channels=#bugcrowd

الخطوة 5) ابدأ في التعلم عن مكافآت الأخطاء

حسنًا ، لقد وصلنا الآن إلى النقطة التي حان الوقت تقريبًا لبدء البحث عن المكافآت. ولكن أولاً ، دعنا نتعلم كيف تعمل bug bounties  وكيفية البدء ، فقط للتأكد من فرصتنا في النجاح.

https://forum.bugcrowd.com/t/how-do-you-approach-a-target/293

https://blog.bugcrowd.com/advice-for-writing-a-great-vulnerability-report/

https://researcherdocs.bugcrowd.com/docs/reporting-a-bug

https://blog.bugcrowd.com/advice-for-writing-a-great-vulnerability-report/

الخطوة 6) لنبدأ الصيد !

حان الوقت للبدء في الصيد ! عندما تكون جديدًا وتبدأ ، من الأفضل ألا تحاول اختراق أكثر bug bounties شيوعًا. من المحتمل أن تنتهي محاولة اختراق Tesla Motors و Facebook و Pinterest وغيرها بإحباط للمبتدئين ، حيث إن هذه الشركات تحظى بشعبية كبيرة وأكثر أمانًا لأنها تتلقى العديد من تقارير .

بدلاً من ذلك ، ركز على bug bounties التي من المحتمل أن يتم تجاهلها من قبل الآخرين. غالبًا ما تكون bug bounties التي لا تدفع مكافآت ، ولكنها بدلاً من ذلك تقدم نقاط وتقييمات. هذه التقييمات تساهم في إظهار مهاراتك ومن المحتمل أن تبدأ في تلقي دعوات إلى برامج المكافآت الخاصة. برامج المكافآت الخاصة هي دعوة فقط وتقتصر على عدد صغير من الأشخاص ، مما يعني منافسة أقل واحتمالية أكبر لإيجاد الأخطاء بنجاح.

تعتبر bug bounties وسيلة رائعة للدخول إلى مجتمع InfoSec وبناء حياتك المهنية. استخدم bug bounties كوسيلة لكسب أموال إضافية ، وتحسين مهاراتك ، والتعرف على أشخاص جدد ، وحتى بناء سيرتك الذاتية.

تذكر أن تتصرف دائمًا بشكل محترف وأن تعامل الناس جيدًا. هذا مجتمع صغير ونحب أن نعتني ببعضنا البعض - أنت لا تعرف أبدًا من تقابله!

[full-width]