اريد ان اكون مختبر اختراق تطبيقات الويب (bug hunter)

هناك العديد من الأمور عليك معرفتها قبل العمل في هذا المجال، أهمها أن تكون على إطلاع و معرفة جيدة بأساسيات الحاسوب، فكثير من المشاكل تحدث بسبب الاعتماد على شيء محدد في حاسوب ما، و  لذلك بلا معرفة بأساسيات الحاسوب لن يمكنك اكتشاف الثغرات، لذلك دورة علوم الحاسوب ضرورية في حال لم تكن على إطلاع على محاورها.

أيضاً لا يمكن اكتشاف الثغرات في تطبيق ما في حال لم تكن على علم بالتقنيات المستعملة في هذا التطبيق، ولو بشكل بسيط، فلا يمكنك اكتشاف ثغرات في شيء لا تعلم عنه شيئاً، لذلك عليك اختيار إحدى دورات تطبيقات الويب، حسب اللغة التي تريدها.

و لكن لا يتم شرح هذا المفهوم بشكل مباشر في الدورات، كما سبق و أخبرتك هذا ضروري حتى تتعرف على تقنيات تطوير الويب.

يمكنك الاستفادة من العرض الصيفي لأخذ دورتين في نفس الوقت.

هل يتم شرح الخوادم مثل الاباتشي وغيرها , في دورة علوم الحاسب والبروتوكولات الشائعه وطريقة استخدامها ام شرح نظري فقط 

وايضا قواعد البيانات وطريقه ربطها ب الموقع

لانني منذ اكثر من 6 شهور وانا تائه احاول ان ادخل الي هذا المجال وسمعت العديد من الدورات علي اليوتيوب ولكن اشعر بانني لا افهم الكثير 

ارجو منك افادتي وشكرا لك قيس .

بتاريخ 28 دقائق مضت قال محمد شرابي:

هل يتم شرح الخوادم مثل الاباتشي وغيرها , في دورة علوم الحاسب والبروتوكولات الشائعه وطريقة استخدامها ام شرح نظري فقط 

وايضا قواعد البيانات وطريقه ربطها ب الموقع

لانني منذ اكثر من 6 شهور وانا تائه احاول ان ادخل الي هذا المجال وسمعت العديد من الدورات علي اليوتيوب ولكن اشعر بانني لا افهم الكثير 

ارجو منك افادتي وشكرا لك قيس .

صحيح سوف يتم شرح الخوادم وقواعد البيانات في دورة علوم الحاسوب ، كما أن هذه هي مسارات الدورة وبداخل هذه المسارات سوف يتم شرح الخوادم وقواعد البيانات:- 

• مدخل إلى علوم الحاسوب
• أساسيات البرمجة
• أنظمة التشغيل ونظام لينكس
• قواعد البيانات
• إلى عالم الويب
• البرمجة كائنية التوجه
• الخوارزميات وبنى المعطيات
• أنماط التصميم
• أساسيات هندسة البرمجيات

هل يمكن إيجاد ثغرة أو مشكلة في كود البرنامج أو الموقع بدون خبرة في التقنيات واللغات المستخدمة في البرنامج أو الموقع؟ 

بالطبع لا.

حسنًا، ما هي أسرع طريقة للبدء في مجال الـ bug bounty hunting أو الـ Ethical Hacking؟

أولاً للمبتدئين، أوصي بالبدء بصيد ثغرات مكافآت الاختراق في مجال أمان الويب لأنه أسهل بعض الشيء بالنسبة لك، وفيما بعد يمكنك البدء في استكشاف مجالات أخرى أيضًا مثل تطبيقات الهاتف أو سطح المكتب.

المهارات الأساسية المطلوب هي:

•  أساسيات الكمبيوتر وتقنية المعلومات.
• أساسيات نظام Linux
• أساسيات الشبكات (TCP/IP، نموذج OSI).
• الأساسيات الأساسية للويب (HTTP، HTTPS، واجهات برمجة التطبيقات (APIs)، GET، POST، نموذج العميل والخادم، HTML-CSS-JS، وما إلى ذلك).
• لغات البرمجةونصحيتي هي تعلم الأساسيات من خلال C++ أولاً  وإن كانت صعبة بعد المحاولة، فتعلم بايثون ثم جافاسكريبت.
• قائمة OWASP Top 10 العشرة الأكثر شيوعًا للثغرات الأمنية في تطبيقات الويب.

وأغلب النقاط السابقة ستجدها في دورة علوم الحاسوب في أكاديمية حسوب، وبها ستتعلم التالي:

• أساسيات الحاسوب وعلومه والتفكير المنطقي وما هي الخوارزميات وكيف تفيد في البرمجة
• تطبيقات عملية على أساسيات التفكير المنطقي باستخدام بيئة سكراتش Scratch التفاعلية
• أساسيات لغة البرمجة JavaScript وبايثون، وتطبيق المفاهيم التي تم شرحها باستخدامها، والتوسع في شرح التطبيقات العملية للغات البرمجة، أيضًا أساسيا بايثون.
• أساسيات أنظمة التشغيل المختلفة وكيفية تثبيت البرمجيات اللازمة للبرمجة عليها
• أساسيات سطر الأوامر في نظام لينكس، وشرح الأسس التي بني عليها النظام مع تطبيقها عمليًا
• أنظمة قواعد البيانات المختلفة، مع شرح تفصيلي للغة SQL للتعامل معها
• مبادئ أساسية في أنظمة قواعد البيانات NoSQL
• المفاهيم الأساسية التي تبنى فيها صفحات الويب
• مفاهيم أساسية في الشبكات والخوادم، وكيف يتم استقبال الطلبيات إلى الخادم والرد عليها
• مبادئ الحماية والأمان في الويب

وسيكون لديك وصول أيضًا للمسارات الأولى من جميع الدورات الأخرى، مثل دورة PHP وبايثون وجافاسكريبت، والتي من خلالها يتم الاستفاضة في شرح الأساسيات لزيادة معلوماتك بجانب دورة علوم الحاسوب، وأيضًا دورة تطوير واجهات المستخدم المسار الأول يتم به شرح التالي:

• أساسيات HTML
• أساسيات CSS
• أساسيات JavaScript
• أساسيات jQuery
• بناء موقع شخصي

وبعد ذلك تستطيع البدء في فحص الأنظمة وتطبيقات الويب بحثًا عن الثغرات، وهناك العديد من الأدوات التي يمكنك استخدامها للمساعدة في هذا ، مثل Nikto و Wfuzz.

بالإضافة للشرح السابق الذي يوضح كل خطوة مطلوبة لهذا المجال إليك بعض المصادر الأخرى التي يمكنك الاستفادة منها لتعلم اختبار الاختراق لتطبيقات الويب:

1. PortSwigger Web Security Academy: يقدم مجموعة مجانية من التدريبات التفاعلية والمقالات التعليمية التي تغطي مختلف جوانب اختبار الاختراق لتطبيقات الويب. يمكنك الوصول إلى بيئة اختبار افتراضية وممارسة المهارات العملية.
2. Hacker101: هو مشروع تعليمي من HackerOne يهدف إلى تعليم مبادئ اختبار الاختراق وأساليبه. يوفر دورات تعليمية مجانية تغطي مواضيع مثل استغلال الثغرات الشائعة وتقنيات اختبار الاختراق وإعداد البيئة.
3. Metasploit Unleashed: يعد دليلًا مفتوحًا وشاملًا لتعلم استخدام أداة Metasploit Framework في اختبار الاختراق. يقدم الموقع دروسًا تفصيلية وتطبيقية حول استخدام Metasploit لاستغلال الثغرات واختبار الأمان.
4. OWASP (Open Web Application Security Project): يقدم OWASP مجموعة واسعة من الموارد والمشاريع المفتوحة المصدر المتعلقة بأمان تطبيقات الويب. يمكنك استكشاف مشروعات مثل OWASP Top 10 وOWASP Testing Guide وOWASP WebGoat لتعلم المزيد عن تقنيات اختبار الاختراق والثغرات الأمنية الشائعة.
5.  يحتوي YouTube على العديد من الفيديوهات التعليمية التي تغطي مواضيع اختبار الاختراق لتطبيقات الويب. يمكنك البحث عن قنوات مثل "The Cyber Mentor" و "HackerSploit" و "LiveOverflow" لمشاهدة محتوى تعليمي ذو قيمة. بالإضافة إلى ذلك، هناك العديد من المدونات والمواقع الأخرى التي تغطي مواضيع أمان تطبيقات الويب واختبار الاختراق.

تذكر أنه في عملية تعلم اختبار الاختراق لتطبيقات الويب، من المهم ممارسة المهارات العملية وتطبيق المفاهيم التي تعلمتها على بيئات اختبار آمنة وقانونية.

ستجد الكثير من الأشخاص يقولون لك: تعلم هذا، ثم هذا، وستجد اختلافًا في طريقة تعلم كل شخص منهم. وأنا لا أقول أن أي طريقة خاطئة، بل هناك طريق صحيح وطريق أكثر صحة. في كلتا الحالتين، ستتعلم.

لذلك، أنصحك بشدة باتباع أي مسار حتى النهاية وعدم إضاعة وقتك في البحث عن المسار الأكثر صحة، فأنت على المسار الصحيح.

وبالنسبة للمسار، يمكنك الاطلاع على مسار "Cyber Security Expert" المتاح على موقع roadmap.sh من هنا. ولكن قبل أن تصبح مختبر اختراق في مجال معين، من المفضل أن تصبح مبرمجًا في هذا المجال، كما ذكر مصطفى.

اقتباس

هل يمكن إيجاد ثغرة أو مشكلة في كود البرنامج أو الموقع بدون خبرة في التقنيات واللغات المستخدمة في البرنامج أو الموقع؟ 

بالطبع لا.

بتاريخ On 3‏/8‏/2023 at 13:08 قال عبدالباسط ابراهيم:

بالإضافة للشرح السابق الذي يوضح كل خطوة مطلوبة لهذا المجال إليك بعض المصادر الأخرى التي يمكنك الاستفادة منها لتعلم اختبار الاختراق لتطبيقات الويب:

1. PortSwigger Web Security Academy: يقدم مجموعة مجانية من التدريبات التفاعلية والمقالات التعليمية التي تغطي مختلف جوانب اختبار الاختراق لتطبيقات الويب. يمكنك الوصول إلى بيئة اختبار افتراضية وممارسة المهارات العملية.
2. Hacker101: هو مشروع تعليمي من HackerOne يهدف إلى تعليم مبادئ اختبار الاختراق وأساليبه. يوفر دورات تعليمية مجانية تغطي مواضيع مثل استغلال الثغرات الشائعة وتقنيات اختبار الاختراق وإعداد البيئة.
3. Metasploit Unleashed: يعد دليلًا مفتوحًا وشاملًا لتعلم استخدام أداة Metasploit Framework في اختبار الاختراق. يقدم الموقع دروسًا تفصيلية وتطبيقية حول استخدام Metasploit لاستغلال الثغرات واختبار الأمان.
4. OWASP (Open Web Application Security Project): يقدم OWASP مجموعة واسعة من الموارد والمشاريع المفتوحة المصدر المتعلقة بأمان تطبيقات الويب. يمكنك استكشاف مشروعات مثل OWASP Top 10 وOWASP Testing Guide وOWASP WebGoat لتعلم المزيد عن تقنيات اختبار الاختراق والثغرات الأمنية الشائعة.
5.  يحتوي YouTube على العديد من الفيديوهات التعليمية التي تغطي مواضيع اختبار الاختراق لتطبيقات الويب. يمكنك البحث عن قنوات مثل "The Cyber Mentor" و "HackerSploit" و "LiveOverflow" لمشاهدة محتوى تعليمي ذو قيمة. بالإضافة إلى ذلك، هناك العديد من المدونات والمواقع الأخرى التي تغطي مواضيع أمان تطبيقات الويب واختبار الاختراق.

تذكر أنه في عملية تعلم اختبار الاختراق لتطبيقات الويب، من المهم ممارسة المهارات العملية وتطبيق المفاهيم التي تعلمتها على بيئات اختبار آمنة وقانونية.

بالفعل انا سمعت cybermentor ولكن في جزء اختبار تطبيقات الويب لم افهم شيئا لانني لا اعرف كيفيه بنائها وربطها بالخوادم وقواعد البيانات والخ  ..... 

اعتقد انني يجب ان ادرس دوره من دورات اكاديمية حسوب توضح لي كيف يتم بناء تطبيقات الويب 

هل يوجد احد هنا يعمل في هذا المجال ؟

شكرا لكم جميعا