.png)
حسوحال لحظهی کشف و شکار آسیب پذیری
این بلاگپست شامل تجمیع و برداشتی هدفمند از محتوای گپوگفتهایی با برخی شکارچیان آسیب پذیری، هکرهای کلاه سفید و متخصصین امنیتی ست که قبلا در بلاگ راورو منتشر کردهایم. در گپوگفتهای قبلی پرسشهای مشترک و مشابهی را از افراد متفاوت پرسیده بودیم و هر یک از افراد از دیدگاه خود، پاسخهایی به این سوالها دادهاند. حالا قرار است که سوالهای مشترک را از دل گپوگفتهای گذشته بیرون بکشیم وپاسخهای متفاوت افراد به آنها را در کنار هم قرار دهیم. اینطور فکر میکنیم که این جمعبندی پاسخهایی به یک پرسش داده شده، میتواند ارزشمند، دارای پیامی جدید و نمودی از تنوع دیدگاهها در خرد جمعی باشد.
آنچه در این بلاگپست خواهید خواند:
در این بلاگپست گفتههایی از پیمان زینتی، سیدرضا فاطمی، محمد درخشان، ابوالفضل فهیمی، مهدی مرادلو، آرمان محمدتاش، ارغوان کامیار، علیرضا رضایی، محمدحسین آشفتهیزدی، بهراد احمدپور و رضا شریفزاده را خواهید خواند که راجع به حسحالی که در لحظهی شکار و کشف آسیبپذیری تجربه میکنند، گفتهاند.
داخل پرانتز: ترتیب ارائهی پاسخهای افراد در متن، مطابق با ترتیب گپوگفتهای منتشرشده با آنها در بلاگ راوروست.
پیمان زینتی:
حس نابی دارد. اینکه باگی را پیدا کنی و گزارش کنی. و آن باگ تکراری هم نباشدو mpact بالایی هم داشته باشد، واقعا حس خیلی نابی دارد اصلا.
پیشنهاد خواندنی: گپوگفتی با شکارچی جوان و فعال راورو؛ پیمان زینتی (Scar3cr0vv)
سیدرضا فاطمی:
سوال سختی ست. چون از نظر من شیرینی هک به مسیری ست که طی میکنی، وگرنه لذت رسیدن به نتیجه، ثبات زیادی ندارد و سریع از بین میرود. حداقل برای من اینطوری است که آن خوشی پایدار نیست و همواره مسیری که طی کردهام، من را علاقهمند و مشتاق نگه میدارد. اینکه درگیر چالش شوم؛ خودم را به جای برنامهنویس بگذارم، حدس بزنم و منطق پشت برنامه را بخوانم، بعد طبق آن تستهای خودم را پیادهسازی کنم. و اینکار را آنقدرر تکرار کنم تا به هدفی که مد نظرم است، برسم. هر بار هم این مسیر برام پر از تجربههای لذتبخش جدیده است. رسیدن به باگ برایم شیرینی خودش را دارد، ولی خب آن طور نیست که بپرم بالا و شادی کنم. یک مقدار به مانیتور خیره میشوم و به خودم میگویم:" جالب بود! ". بعدش هم خیلی ساده از کنارش رد میشوم. مثل یک مسابقهی CTF، که چالش را حل میکنی، به flag میرسی و بعد از ثبت فلگ، بدون فوت وقت، به سراغ چالش بعدی میروی. ؛)
بهعنوان یک هکر کلاه سفید، همین که کمک میکنم تا یک سری سایت امنتر شوند، سایتهایی که ممکن است در فرداروز من یا اعضای خانوادهام هم عضو آنها باشیم، برایم لذتبخش است. امنتر کردن آن محیط، برای خانوادهی من هم محیط امنتری را فراهم میکند، برای جامعهای که عضوی از آن هستیم، هم همینطور.
پیشنهاد خواندنی: گپوگفتی با شکارچی فعال راورو؛ سیدرضا فاطمی (Checkmate)
محمد درخشان:
اگر باگی باشد که حساس باشد، هیجانزده میشوی. و مثلا وقتی که باگ را گزارش دهی، استرس تکراری شدنش را داری.
پیشنهاد خواندنی: گپوگفتی با شکارچی برتر راورو؛ محمد درخشان (mohammadrobot)
ابوالفضل فهیمی:
تا قبل از اینکه باگی پیدا شود و در حال کشفش هستیم، خب یه خورده خستهکننده است. ولی وقتی یک باگ پیدا میشود، خستگیای که در آن چند ساعت داشتیم، از تنمان درمیآید. خیلی حس خوبی دارد. این حس را برای همهی هانترها آرزو میکنم. ؛)
پیشنهاد خواندنی: گپوگفتی با شکارچی فعال راورو؛ ابوالفضل فهیمی (Crypton)
مهدی مرادلو:
حس خیلی خوبی ست. میدانید بعد از یک مدت، هیجان و اهمیت کشف آسیب پذیری و دریافت بانتی کمرنگتر میشود. و سناریویی که داری اجرا میکنی، از بانتی و باگ برایت جذابتر میشود. من به مرور در کارهایم متوجه میشوم که این سناریوها، راههای مختلف و … دارند بهمرور هی تکمیلتر میشوند... مثلا داری سناریوی قبلی را انجام میدهی و به جایی میرسی که قبلا انجامش ندادهای و باید سناریوی جدیدی را امتحان کنی. من گاهی برای تست یک آسیب پذیری، ۴۰،۳۰ تا سناریو را امتحان کردهام! گاهی من سناریویی را کشف و اجرا میکنم که روی سایت جواب نمیدهد. ولی همین که این سناریو به ذهنم رسیده، برایم خیلی لذتبخش است.
کلا سناریو نوشتن هم خیلی لذتبخش است؛ خودت رو بهجای یه هکر کلاهسیاه میگذاری و باخودت میگویی:" با این سناریو چهکار میتوانم بکنم تا بیشترین ضربه را به این سازمان بزنم؟ ولی به جای ضربه زدن، گزارشش را بدهم و بانتی بگیرم." این مایندست از جنس حمله است که همهی هکرها دارند و نیاز هم هست که داشته باشند. چون گزارشهای شکار اینطوری ارزش بیشتری پیدا میکنند. مثلا الان یک XSS بهتنهایی را شکارچی میتواند گزارش دهد و ۵۰۰ دلار بانتی بگیرد. ولی یک XSS تبدیلشده به SSRF را میتواند گزارش کند و ۱۰ هزار دلار یا ۲۰ میلیون تومان بانتی بگیرد.
پیشنهاد خواندنی: گپوگفتی با پردرآمدترین شکارچی راورو در سال ۱۴۰۰؛ مهدی مرادلو (moradlooo)
آرمان محمدتاش:
بستگی به سطح دسترسیای که میگیرم و آن قدرت و تسلطی که روی سایت دارم، دارد؛ اگر یک Shell را Upload کنم، خیلی خوشحال میشوم. اگر آسیب پذیری Account Takeover و یا Information Leak باشد، در یک حدی. اگر روی پلتفرم باشد، میگویم خب من آسیب پذیری زدهام و قرار است برایش ارزش قائل شوند، داپلیکیت و خارج از محدوده نخورد و اذیت هم نکند. گاهی هم قرار نیست بانتی خاصی بگیرم، ولی اگر بخواهم عشقی میروم بزنم. میگویم من این سایت را زدهام و حس خوبی برایم دارد.
پیشنهاد خواندنی: گپوگفتی با شکارچی جوان راورو؛ آرمان محمدتاش (Arman_Security)
ارغوان کامیار:
لحظهی کشف آسیب پذیری برایم اینطور است که انگار در تاریکی باشیم و یهویی جرقهی بزرگی زده شود. واقعا همهی سختیها و خستگیهایم را میبرد! فارغ از اینکه به پول میرسد یا نمیرسد. از خود کشف آن آسیب پذیری خیلی خوشحال و هیجانزده میشوم. چند سالی ست که دارم کار میکنم ولی هنوز وقتی یک آسیب پذیری بحرانی را پیدا میکنم، حسابی هیجان زده می شوم. برایم عادی نمیشود. از پیدا کردن آسیب پذیری خیلی انرژی میگیرم.
پیشنهاد خواندنی: گپوگفتی با شکارچی راورو؛ ارغوان کامیار (spark)
علیرضا رضایی:
مسیر کشف آسیب پذیری مثل پیش رفتن در تونل سیاهی است که مدتی در آن هستید و نمیدانید چه خبر است! دارید جلو میروید. چون همهجا تاریک است، فاصلهی تاریکی تا روشنایی هم مشخص نیست و چیزی نمیبینید. فاصلهی تاریکی تا روشنایی هم مشخص نیست. (ولی درواقع ممکن است اینطور نباشد و در نزدیکی یک آسیب پذیری باشید.) همینطور دارید میروید و یکهو میبینید که وسط روشنایی و جنگل هستید و آسیب پذیری را پیدا کردهاید. از تاریکی به سمت روشنایی جلورفتن، لحظهی خوبی است.
پیشنهاد خواندنی: گپوگفتی با شکارچی؛ علیرضا رضایی
محمدحسین آشفته یزدی:
خانم مریم میرزاخانی در یکی از مصاحبههایش میگوید که یکی از دلایلی که ریاضی را دوست دارد، حسی ست که بعد از کلی سختی و شکست در موقع حل مسئله بهش دست میدهد. دقیقا جایی که میگویی: " آها… جواب این است!" من هم همین حس را موقع کشف آسیب پذیری دارم.
پیشنهاد خواندنی: گپوگفتی با شکارچی؛ محمدحسین آشفتهیزدی (sec_zone64)
بهراد احمدپور:
شکار آسیب پذیری برای من معمولا شیرین است. بعضیوقتها تهمزههای تلخی هم پیدا میکند. تلخیاش وقتهایی ست که فکر میکنم آسیبپذیری را توانستهام پیدا کنم و خیلی بابتش خوشحال میشوم، ولی وقتی بعد از یک روز یا چند ساعت که برمیگردم یا دقیقتر رویش کار میکنم، میفهمم که "نه!". میفهمم که آن لحظه اشتباهی فکر کرده بودم که این آسیبپذیری وجود دارد. بابت همین میگویم اغلب اوقات شیرین است ولی خوب بعضیوقتها این تلخی هم اتفاق میافتد.
همانطور که گفتم قبلا تجربهی این را داشتهام که آنلحظه خیلیخوشحال شدهام ولی بعدش که برگشتهام و بررسی کردهام دیدهام که این باگ شاید خیلی درست نبوده، شاید من سناریو را اشتباه رفتهام و اینجورچیزها... بهخاطر همین الان دیگر معمولا وقتی باگ پیدا میکنم، خیلیذوقزده نمیشوم. مثلا در صبر و اینجورچیزها میآیم و چندینوچندبار بررسیاش میکنم. بهخاطر همین هم میگویم شاید قبلا در آن لحظه خیلی خوشحال میشدم، مخصوصا اگر از باگهای خیلی حساستر هم میبود. ولی الان نه. سعی میکنم یک ذره خودم را کنترل کنم، چندباری چکش کنم و مطمئن شوم، ازش قشنگ یک ریپورت آماده کنم و بعدش حالا میروم یکذره خوشحالی میکنم و دوباره سرکارم برمیگردم.
پیشنهاد خواندنی: گپوگفتی با شکارچی جوان راورو؛ بهراد احمدپور (behrad_amp)
رضا شریفزاده:
لحظهی کشف و شکار آسیب پذیری، قبلا برای من خیلی هیجانانگیزتر بود. الان شاید به شکل یک وظیفهی روتین میدانمش و به نظرم این خیلی خوب است. یعنی باعث میشود آدم احساس کند که باید پیدا کند و اگر پیدا نکند، یک ضعفی دارد. ممکن است خیلی جاها هم پیدا نشود. ولی درحالحاضر چون برای خودم یک وظیفه میدانم، صرفا وقتی آسیب پذیری پیدا میکنم احساس میکنم توانستهام وظیفهام را به نحو احسنت انجام دهم. این حسی است که من موقع کشف یک حفرهی امنیتی پیدا میکنم.
پیشنهاد خواندنی: گپوگفتی با شکارچی آسیبپذیری؛ رضا شریفزاده
سخن آخر:
در جستوجوی آسیبپذیری و در پی شکار و کشف آن بودن میتواند ،ای هر شکارچی، حسوحال متفاوت و منحصربهفردی را داشته باشد. برای شما چه حسوحالی دارد؟
بلاگپستهای مرتبط:
آسیب پذیری های محبوب شکارچیان آسیب پذیری
چگونه توانستم آسیب پذیری ۶۰ میلیون تومانی Mass Assignment را برروی وبسایت راورو کشف کنم؟ (رایتاپ محمدجواد بناروئی)
بررسی وجود ۵ آسیب پذیری رایج برروی درگاه پرداخت هدف راورو (رایتاپ رامین فرجپور)