#صباح_الخير
الفترة الماضية كنت احاول الاطلاع ع بعض الطرق والآليات المتبعة في موضوع اصطياد الثغرات او bug bounty.وبحكم توفر كتب كثيرة في هذا المجال قررت اقراء كتابين احدهم في الصورة ادناه؛ وسأقوم بذكر ملخص ما تعلمته فان شد انتباهك قم بمراجعته.
سأقوم بالتعليق عليه حسب الفصول:
#يتبع
الفترة الماضية كنت احاول الاطلاع ع بعض الطرق والآليات المتبعة في موضوع اصطياد الثغرات او bug bounty.وبحكم توفر كتب كثيرة في هذا المجال قررت اقراء كتابين احدهم في الصورة ادناه؛ وسأقوم بذكر ملخص ما تعلمته فان شد انتباهك قم بمراجعته.
سأقوم بالتعليق عليه حسب الفصول:
#يتبع
الفصل الاول:يتحدث الكاتب عن مقدمة في اصطياد الثغرات والمفهوم العام لها وأشهر المنصات التي تقدم مكافات في موضوع اصطياد الثغرات عامة كانت او خاصة لكل جهة،كما يقدم الكتاب الأساسيات العامة التي تقوم بإعطائك معلومات عن مدى أهمية قراءة هذا الكتاب لك في حال أردت الدخول لهذا المجال
#يتبع
#يتبع
الفصل الثاني:اختيارك للبرنامج الذي تود ان تقوم بالمشاركة فيه، وشرح اهم المعايير التي تدفعك للاشتراك فيه مثل القوانين المتعارف عليها في تصنيف الثغرات و الوقت المتوقع في الرد على كل ثغرة والمبالغ التقريبية المتاحة.كما يتحدث عن القوانين لكل منصة ومدى الجوده لفريق الترياج
#يتبع
#يتبع
الفصل الثالث:توضيح ماهو داخل النطاق وماهو خارج النطاق و ماهو الأسلوب المتبع في عملية مسح النظام المستهدف حسب النطاق؛كما قام الكاتب بتوصية بأخذ الملاحظات جميعها التي قد تفيدك مستقبلاً في مرحلة ربط المعلومات وكتابة التقرير.
الفصل الرابع: شرح مبسط عن آلية عمل XSS وأنواعها وتقييم كل نوع منها وماهي الأنواع التي قد تحصل على تصنيف ثغرات عالي منها وكما تحدث الكاتب عن طرق إيجادها وماهي الأدوات الخاصة بها.وبطبع لدى الكاتب ميزة جيدة في هذا الكتاب وهو مثال لنموذج لتقرير عن الثغرة في احد منصات المكافاة
الفصل الخامس:شرح متعمق عن ثغرة SQL وطرق استغلالها وأنواعها وأمثلة على تقارير سابقة حققت مكافات جيدة وطرق علاج مثل هذه الثغرات والأدوات التي تفيدك باستخراجها والتأكيد عن ان الفحص اليدوي من اهم وأول الخطوات في هذا المجال.
الفصل السادس:شرح مبسط عن ثغرة CSRF وطرق استغلالها وطرق كتابة payload الخاص بها والاستفادة من بعض الأدوات المدفوعة التي تقوم بعمل الاستغلال بشكل آلي ومثال عن نموذج تقرير عن الثغرة حيث مثل هذه الثغرات قد يكون تصنيفها عالي او حرج مما يعطي مكافات بشكل اكبر.
الفصل السابع:يتحدث الكاتب عن آلية استغلال لثغرة XEE وطرق عملها، ومؤشرات وجودها.
الفصل الثامن:البحث عن اخطاء المبرمجين في ترك الملفات بعد عملية تثبيت السكربتات وما الى ذلك،فمثل هذه الأخطاء تعطيك مكافاة سهله.
الفصل الثامن:البحث عن اخطاء المبرمجين في ترك الملفات بعد عملية تثبيت السكربتات وما الى ذلك،فمثل هذه الأخطاء تعطيك مكافاة سهله.
الفصل التاسع:تصنيف CVEs ومعرف التصنيفات لكل ثغرة وكيفية تطبيقها مع برمجيات ادارة المحتوى CMS.
الفصل العاشر:الطريقة السليمة في كتابة التقارير والتي قد تساهم في عملية رفع المكافاة.
الفصل الحادي عشر:كيف يمكنك مسح التطبيقات المستهدفة حتى مع وجود جدران الحماية وأفضل الأدوات لها
الفصل العاشر:الطريقة السليمة في كتابة التقارير والتي قد تساهم في عملية رفع المكافاة.
الفصل الحادي عشر:كيف يمكنك مسح التطبيقات المستهدفة حتى مع وجود جدران الحماية وأفضل الأدوات لها
الفصل الثاني عشر:ماهي الأخطاء المرتكبة في عملية رفع التقارير والتي قد تكون our of scope.
#انتهى تقريري البسيط عن الكتاب، انصحكم بقراءته وكما اقول دائماً جد لنفسك مهارة تستطيع تحقيق دخل منها.
#كل_التوفيق
#انتهى تقريري البسيط عن الكتاب، انصحكم بقراءته وكما اقول دائماً جد لنفسك مهارة تستطيع تحقيق دخل منها.
#كل_التوفيق
جاري تحميل الاقتراحات...