در این بلاگ‌پست نمی‌خواهیم به تعداد آسیب پذیری‌های گزارش‌شده، به تعداد شکارچیان آسیب پذیری، انواع اهداف و یا سایر جزئیات باگ پارتی بپردازیم. می‌خواهیم به تجربه‌های انسانی در دل این رویداد، نگاهی بیندازیم؛ به آن‌چه در رویداد باگ پارتی و قبل از آن در میان شکارچیان آسیب پذیری می‌‌گذشت. این بار روایت‌گر این بخش از باگ پارتی هستیم. 

آن‌چه در این بلاگ‌پست خواهید خواند: 

دری باز به سوی اولین تجربه‌ها 

آمدن یا نیامدن، گاهی مسئله این است... 

لزوم داشتن انگیزه و مراقبت از آن 

روز دومی که شبیه روز اول نبود 

این بلاگ‌پست حاصل کنارهم قراردادن گپ‌و‌گفت‌هایی ست که در طول رویداد باگ پارتی با برخی از شکارچیان آسیب پذیری حاضر داشته‌ایم. در این بلاگ‌پست گفته‌هایی از شکارچیان آسیب پذیری را خواهید خواند که راجع به روند باگ بانتی، اهداف و آسیب پذیری های شکارشده در باگ پارتی گفته‌اند. گفته‌هایی از: بهراد رضایی، آیلین همایونی، محمد دلاور، مجید موسوی، زهرا، مهدی غلامی، حسین محمدیان، محمدرضا عمرانی، محمدصالح مهری،ایلیا کشتکار و هادی پات 

دری باز به سوی اولین تجربه‌ها 

برای برخی از شکارچیان آسیب پذیری، این اولین تجربه‌ محسوب می‌شد؛ اولین تجربه‌ در باگ بانتی، اولین تجربه در باگ بانتی راورو یا اولین تجربه‌ی حضور در رویدادهای این‌چنینی. آن‌ها تجربه‌ی خود از فعالیت در سایر زمینه‌های دنیای امنیت سایبری (مانند تست نفوذ، کار سازمانی و ...) را به همراهشان آورده بودند تا این بار آن‌ها را در شکار آسیب پذیری در باگ پارتی به کار گیرند. 

بهراد رضایی: 

این اولین تجربه ی من در باگ بانتی است. اولین باگی که در باگ بانتی زدم، در این جا بود. متاسفانه رد شد. ولی گفتند که اگر بتوانی اکسپلویتش را انجام دهی و شدت آسیب پذیری بالاتر رود، پذیرفته و شامل بانتی می‌شود. من از قبل‌تر، برای فعالیت در باگ بانتی اکانت ساخته بودم. در دوره کارآموزی با بعضی از همکاران می‌خواستیم وارد باگ بانتی شویم. ولی به دلیل دانش کمی که داشتیم منصرف شدیم. این اکانت هم بدون فعالیت ماند. در آن زمان بیشتر روی تست نفوذ تمرکز کردیم. با وجود این که اصلا سابقه‌ی شرکت در برنامه‌های باگ بانتی را نداشتم، اما این تجربه برایم خیلی راحت بود. شاید هم شانس آوردم. 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب‌پذیری؛ بهراد رضایی 

آیلین همایونی: 

من 3 ، 4 سال است که در حوزه ی امنیت سایبری کار می‌کنم و بیشتر به تست نفوذ وب و شبکه پرداخته‌ام. باگ پارتی فرصتی شد که باگ بانتی را هم تجربه کنم. خیلی جو قشنگی دارد. خوشحالم که اینجا هستم. 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب پذیری؛ آیلین همایونی 

محمد دلاور:  

این اولین بار است که من در باگ بانتی راورو مشارکت می‌کنم. همچنین اولین بار است که در رویدادی مثل باگ پارتی شرکت می‌کنم. واقعا برای من شگفت‌انگیز بود. اصلا فکر نمی‌کردم که در ایران چنین رویدادی وجود داشته باشد. محیطش کاملا شبیه ایونت‌های باگ بانتی خارج از کشور مثل هکروان است. تارگت‌ها هم ماشاءالله  خیلی سخت بودند. 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب‌پذیری؛ محمد دلاور 

مجید موسوی: 

این اولین تجربه من در باگ پارتی بود. دوست داشتم فضای باگ بانتی را از نزدیک ببینم و خودم را محک بزنم. جو رویداد خیلی حرفه‌ای و دوستانه بود. گزارش‌های مختلفی روی مانیتور نمایش داده می‌شدند که نشان‌دهنده‌ی فعالیت مداوم هکرها و شکارچیان آسیب پذیری بود. 

علاقه‌مندان به باگ بانتی می‌توانند در رویدادهایی مثل «باگ پارتی» شرکت کنند. فکر می‌کنم این رویدادها فرصت خوبی برای سنجش توانایی‌ها و یادگیری بیشتر هستند. 

پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با مجید موسوی 

زهرا: 

من در سال‌های فعالیتم خیلی به سمت به باگ بانتی نرفته بودم. می‌شود گفت که رویداد باگ پارتی راورو اولین تجربه‌ی باگ بانتی من شد. خوشحالم که از باگ پارتی شروع شد. برای من تجربه‌ی جالب و جذابی بود. 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب‌پذیری؛ زهرا 

مهدی غلامی: 

این اولین باری است که من وارد چنین جمعی و چنین رویدادی شده‌‌ام. تجربه‌ی اولم است و واقعا تجربه‌ی فوق‌العاده‌ای برای من بود. برایم خیلی جالب بود که این همه آدم، دورهم جمع شده‌اند و همگی مشغول باگ زدن و شکار آسیب پذیری بودند. 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب‌پذیری؛ مهدی غلامی 

آمدن یا نیامدن، گاهی مسئله این است... 

شرکت در باگ پارتی؟ آری یا خیر؟ کدام کفه‌ی ترازو بیشتر سنگینی می‌کند؟ رفتن یا نرفتن، هرکدام ممکن است چه طور پیش بروند؟ 

آیلین همایونی: 

من در آخرین فرصت‌ ثبت‌نام کردم. قبلا هم خیلی دوست داشتم که در چنین رویدادهایی شرکت کنم. از آن جا که شرایط کاری‌ام به‌طور اداری و کارمندی بود، مانع می‌شد و نمی‌توانستم. اما الان امکان و شرایطش برایم مهیا بود. چون به این تصمیم رسیدم که شغل اداری و کارمندی، انتخابم نیست و دیگر در شغل قبلی‌ام مشغول نیستم. از شانس خوب من، دقیقا در چنین موقعیتی دوستانم تماس گرفتند و راجع به باگ پارتی گفتند. من هم گفتم که می‌آیم. قبلا در رویدادهای CTF آنلاین شرکت کرده بودم. قبلا خودمان یکی دو بار رویدادهای CTF برگزار کرده بودیم. تجربیاتم بیشتر در آن زمینه بود. ولی تجربه ی شرکت در رویدادهای حضوری مانند باگ بانتی را نداشتم. 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب پذیری؛ آیلین همایونی 

حسین محمدیان: 

من در پلتفرم باگ بانتی راورو، به‌عنوان شکارچی آسیب پذیری حساب کاربری داشتم. ایمیل رویداد باگ پارتی را دریافت کردم. در ابتدا کمی تردید داشتم که به رویداد بیایم یا نه. نگران بودم که اوضاع آن‌طور که می‌خواهم پیش نرود. با این حال آمدم. در این‌جا فضا و زحمت‌هایی که تیم کشیده بودند را دیدم و توانستم با افراد زیادی از کامیونیتی امنیت سایبری، آشنا شوم و ارتباط بسازم. روز اول باگ پارتی، وقتی نتوانستم آسیب پذیری‌ای را پیدا کنم، داشتم ناامید می‌شدم. واقعیت این است که روز دوم نمی‌خواستم بیایم. وقتی صبحش بیدار شدم با خودم گفتم "بروم ببینم چه می‌شود". خوشبختانه در روز دوم، اوضاع خیلی بهتر بود. از روز دوم با چهار پنج نفر به‌‍‌صورت تیمی کار کردیم. از نظرم خیلی اوکی بود. درکل، از تصمیمی که برای آمدن گرفتم، راضی‌ام.  

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب‌پذیری؛ حسین محمدیان 

محمدرضا عمرانی: 

وقتی به مجموع موارد مختلف نگاه می‌کنم، در مجموع خوشحالم که این‌جا هستم و فکر می‌کنم "ارزشش را داشت". 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب‌پذیری؛ محمدرضا عمرانی 

محمدصالح مهری: 

من فکر می‌کنم حضور در رویدادی مانند باگ پارتی، حتی اگر هیچ آورده‌ای هم نداشته باشد، همین جسارتی که فرد از رخت‌خوابش و از روتینی که دارد، بیرون بیاید و در چنین رویدادی شرکت کند، خیلی ارزشمند است. 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب‌پذیری؛ محمدصالح مهری 

لزوم داشتن انگیزه و مراقبت از آن 

یک جمع پرشور که برای شکار آسیب پذیری دورهم جمع شده‌اند، می‌تواند بستری انگیزه‌بخش را فراهم آورد. 

حسین محمدیان: 

من مهم‌ترین ویژگی برای یک شکارچی آسیب پذیری را داشتن انگیزه می‌دانم و بعدش حفظ و مراقبت از این انگیزه؛ این‌که سعی کنی این انگیزه را همچنان حفظ کنی و burn out نشوی. اگر حالا 6 ماه روی یک یا چند برنامه وقت گذاشته‌ای ولی آسیب پذیری ای کشف نکرده‌ای، بیخیال نشوی و با خودت نگویی "من نمی‌توانم". من، خودم، مدتی درگیر این فرآیند بوده‌ام. رویداد باگ پارتی واقعا کمکم کرد که انگیزه‌ام بالاتر بیاید و باورم نسبت به خودم بیشتر شود. 

ولی همین مهم است که ادامه دهی و آن انگیزه را همچنان کنار خودت نگه داری و حفظش کنی. به نظرم از همه مهم‌تر همین است؛ همین انگیزه و طرز فکر. چون به نظرم هر کسی که وقت بگذارد، می‌تواند به یک سطحی از دانش برسد؛ حالا بعضی افراد در سطحی بالاتر و بعضی در سطحی پایین‌تر. ولی فکر می‌کنم اگر آن طرز فکر، قدرت ذهنی، تصمیم‌گیری و مصمم بودن برای پیدا کردن آسیب پذیری وجود نداشته نباشد، سخت شود. 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب‌پذیری؛ حسین محمدیان 

ایلیا کشتکار: 

 ما در باگ پارتی شاهد این بودیم که یک سری از بچه ها از بعضی بخش‌ها، راحت‌تر گذر کردند. ولی یک نفر دیگر (که میز جلویی ما هم بود) سر همان بخش‌ها ایستاد، دقیق‌تر چک کرد و یک آسیب پذیری کشف کرد. با سمج‌بودنش شروع کرد به ارسال یک سری پیلودها که نتیجه داد. به نظرم این خیلی مهم است. در باگ بانتی یک ویژگی اخلاقی کمک‌کننده این است که سمج باشی. با خودت بگویی:" آقا من باید این آسیب پذیری را پیدا کنم." این خیلی مهم است که ناامید نشوی. 

پیشنهاد خواندنی: گپ‌وگفتی با دو شکارچی آسیب‌پذیری؛ ایلیا کشتکار و مهدی حسینی 

روزها شبیه هم نیستند

برای برخی از شکارچیان آسیب پذیری، روز دوم رویداد باگ پارتی متفاوت از روز اول رقم خورد.  

هادی پات: 

برای من، امروز بهتر از دیروز بود. دیروز روز اول رویداد باگ پارتی بود و ما به‌عنوان شرکت‌کننده آمادگی زیادی نداشتیم. با ذهنیت قبلی خودمان آمده بودیم و نمی‌دانستیم روال چطور خواهد بود؛ چه‌طور استارت ‌می‌خورد و شروع می‌شود، چه‌طور پیش می‌رود، اهداف به چه روالی معرفی می‌شوند؟ ولی امروز می‌دانستیم که چه تایمی بیاییم و چه تایمی در این‌جا آماده باشیم. می‌دانستیم وقتی هدف معرفی شد، چه‌طور شروع کنیم. به همراه تیممان، برای خودمان پلن چیده بودیم. به همین خاطر روز بهتری بود و توانستیم باگ‌های خوبی بزنیم و آسیب پذیری های خوبی کشف کنیم؛ از آسیب پذیری Account Take Over گرفته تا Broken Access Control و باقی آسیب پذیری ها. 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب‌پذیری؛ هادی پات 

حسین محمدیان: 

من روز اول که تنها کار می‌کردم، خیلی خسته شدم. ولی در روزهای بعدی، در تیم، بچه‌ها همه به‌هم انرژی هم می‌دادند. وقتی بچه‌های دیگر آسیب پذیری کشف می‌کردند، ما هم واقعا خوشحال می‌شدیم. وقتی خودمان آسیب پذیری کشف می‌کردیم، از سمت بچه‌ها حمایت و انرژی دریافت می‌کردیم. 

در میان اهداف روز اول، هدف اولی که ارائه شد، چارگون بود. من یه مقدار در آن گم شدم. که به خاطر تجربه‌ی خودم و این‌ بود که دانش تست‌کردن آن نوع از اپلیکیشن را از قبل نداشتم. حتی تسلیم شده بودم و با خودم گفتم که کلا کار نمی‌کنم. خوشبختانه منتظر ماندم و اهداف بعدی، به نسبت برای من بهتر بودند. به غیر از چارگون، همه‌ی اهداف بعدی خوب و روان‌ بود.  روز دوم، اهداف خیلی بهتر بودند. اهداف روز سوم هم اوکی بودند. اگر بخواهم به‌طور جزئی‌تر بگویم، واقعا خیلی خوب بودند. واقعا گسترده بودند، نقاط مختلفی برای تست داشتند، می‌شد تست‌کیس‌های مختلفی را پیاده کرد و ... .   

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب‌پذیری؛ حسین محمدیان 

زهرا: 

اهدافی روز اول، مثل چارگون و این‌ها، برای ما آشناتر و ملموس‌تر بود. چون برای سامانه‌های مشابهش تست نفوذ انجام داده بودیم. اما اهداف مربوط به بانک و بیمه خیلی برایمان آشنا نبودند. چون حوزه کاریمان نبودند و تجربه‌اش را نداشتیم.   

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب‌پذیری؛ زهرا 

سخن آخر: 

مواردی که در این بلاگ‌پست به آن‌ها پرداختیم، از جنس مواردی بودند که اکثر ما در برخی روزهای زندگی‌مان تجربه‌شان را داشته‌ایم؛ ابهام اولین تجربه‌ها، تردید قبل از رفتن به یک رویداد، نیازمان به انگیزه و روزهایی که اوضاع در آن‌ها خوب پیش نمی‌رود. گاهی شاید کمک‌کننده و تسکین‌بخش باشد که بدانیم "تنها ما نیستیم که چنین تجربیاتی را می‌گذرانیم." یا به‌عبارتی دیگر " ما تنها نیستیم" .  

بلاگ‌پست‌های مرتبط: 

در باگ پارتی چه گذشت؟  

 در باگ پارتی؛ شبکه‌سازی، یادگیری و پویایی  

رابین‌هودهای دنیای صفرویک 

کافه روز صفر 1 

کافه روز صفر ۲؛ شکارگاه