ان الـ bug bounties أو اختراق الويب هو أمر يذهل الكثير من الناس. أعني من لا يريد كسب المال أثناء اختراق الأشياء أيضًا! لكن الأمر ليس بهذه السهولة كما يبدو. لذا، إذا كنت تخطط للحصول على مكافات أو اختراق الويب، فهذه المقالة مخصصة لكم يا أصدقائي 🙂

يطرح الكثير من الأشخاص هذا السؤال حول ما الذي يجب عليهم تعلمه أو ما هي المعرفة الضرورية قبل الدخول فيه. يرجى أن تضع في اعتبارك أن هذه المقالة ستغطي بشكل خاص اختراق الويب، ولن أغطي أيضًا موضوعات مثل الأدوات التي تحتاجها للبدء بها، أو النظام الأساسي وما إلى ذلك. هناك بالفعل الكثير من المقالات المتاحة حول هذه المواضيع، وكل ما عليك هو ما عليك فعله هو البحث في Google 🙂 بعد الإبلاغ عن أكثر من 120 الـ Bug على العديد من الأنظمة الأساسية، آمل أن أتمكن من الإجابة على سؤالك في العنوان المذكور 🙂 فلنبدأ!

حسنًا، علينا أن نبدأ من الصفر في الـ bug bounties . سأحاول تغطية الأشياء واحدة تلو الأخرى ويمكنك ضبط الترتيب وفقًا لمنهجية التعلم الخاصة بك. هذا ليس أي أمر ولكنه مجرد ملخص للأشياء الأساسية المطلوبة.

المتطلبات الأساسية

• البرمجة:- هذا موضوع للنقاش وسيعطيك الناس إجابات مختلفة حول هذا الموضوع وهؤلاء الأشخاص على حق أيضًا، بطريقتهم الخاصة. ما أعتقده شخصيًا هو، إذا كنت تعرف البرمجة، فأنت تتقدم بخطوة أو خطوتين عن الآخرين لأنك تستطيع رؤية نقاط الضعف والثغرات التي سيفتقدونها بالتأكيد. على سبيل المثال. إذا كنت تعرف لغة برمجة واحدة، دعنا نقول JS، وإذا كان شخص ما لا يعرفها، فيمكنك استغلال XSS بشكل أفضل من أي شخص آخر. لذا فإن هذه النقطة أمر لا بد منه. سأقترح عليك البدء بـتعلم C Programming مرة أخرى، لا يوجد ترتيب لتعلمها ولكن هناك اعتقاد مفاهيمي مثل إذا كنت تعرف لغة C، فيمكنك في الغالب فهم أي لغة. لاحقًا، يمكنك استخدام JS وPython . سيساعدك الأول كثيرًا في اختراق الويب، أما الآخر فهو أمر لا بد منه إذا كنت تريد القيام ببعض الأتمتة والبرمجة النصية.
• الشبكات:- الشبكات هي الشيء الذي سيساعدك على تغطية 60-70% من الأساسيات في أي نوع من أنواع الأختراق. إذا كان لديك فهم واضح لـ TCP/IP، وHTTP/HTTPS، والبورتات، والبروتوكولات المختلفة، فسوف يساعدك ذلك دائمًا على فهم ما يحدث مع الطلب/الاستجابة في تطبيق الويب. هناك الكثير من المصادر المتاحة لتعلم الشبكات ويوتيوب مليء بمقاطع الفيديو حول مواضيع مختلفة. وعلى وجه الخصوص، عليك أن تتعلم طبقات الشبكة لأنها تغطي فكرة نقل البيانات بأكملها داخل الإنترنت. يمكنك أيضًا التعرف على جدران الحماية في هذا القسم والتي تحتاج إلى تجاوزها كثيرًا في عمليات اختراق الويب.
• المعرفة بنظام Linux: – يجب أن يكون لديك المعرفة بالتعامل مع Linux. هناك ثلاثة أنظمة تشغيل رئيسية نستخدمها في الأختراق وهي: MacOS وWindows وLinux. في هذه الثلاثة، تعلم أكبر قدر ممكن من Linux. احصل على المساعدة من المصادر المتاحة على الإنترنت. في روتينك اليومي، ستلاحظ حدوث الكثير من المشكلات عند بدء تثبيت الأدوات فيه. يجب أن تتعلم كيفية التعامل مع مشكلات Kernal في Linux. أيضًا، إذا كنت تعرف كيفية التعامل مع نظام التشغيل Linux، فيمكنك التعامل مع كل نظام تشغيل باستخدام واجهة سطر الأوامر (CLI). ابدأ في تعلم أوامر Linux، وقم بعمل cheatsheet لذلك وسيساعدك ذلك كثيرًا. في اختراق الويب، ستحتاج إلى بعض الأدوات التي تأتي مثبتة مسبقًا مع Kali وبمجرد أن تعرف كيفية استخدام Terminal في Linux، يمكنك التعامل معها بسهولة.
• معرفة قواعد البيانات المختلفة: – هذا جزء سيساعدك على اكتشاف الثغرات ونقاط الضعف الحرجة على سبيل المثال. حقن SQL . تعلم قواعد بيانات مختلفة (ليس المستوى الاحترافي ولكن على الأقل فهمها) لأنه بمجرد تخزين البيانات في مكان ما، فإنها تنتقل إلى قاعدة البيانات وبعد ذلك تعطينا نتائج من قاعدة البيانات المحددة هذه. بعض قواعد البيانات الشائعة هي Microsoft SQL server وMongoDB وSQLite وOracle وMariaDB وما إلى ذلك. عليك أن تفهم كيفية حفظ البيانات في قواعد البيانات هذه.
• السيرفرات السحابية: – مرة أخرى، هذا شيء ترغب في تعلمه لاحقًا ولكن دعني أخبرك أن هذا مهم جدًا للحصول على هذه المعرفة نظرًا لأنك ترغب في إعداد لاب في مكان ما في رحلتك وليس هناك مكان أفضل للقيام به ذلك على غير السحابة. هناك العديد من السيرفرات التي تسمح لك باستضافة نظام التشغيل الخاص بك وإعداد لاب لأختراق. تعد Google Cloud Console وAWS من الخدمات السحابية الجيدة للبدء بها.
• تصفح الإنترنت: – هذه هي المهارة الأكثر أهمية التي تحتاج إلى تعلمها إذا كنت تريد تحقيق بعض النجاح على الأقل في اختراق الويب. لقد رأيت العديد من الأشخاص يطرحون أسئلة سخيفة حول كيفية بدء الـ bug bounties ، أو ما هو  payloads التي نحتاج إلى استخدامها وما إلى ذلك. بمجرد أن تعرف كيفية استخدام Google، أنا متأكد من أنك لن تطرح هذه الأسئلة على أي شخص. يمكنك العثور على كل شيء تقريبًا على الإنترنت، كل ما عليك فعله هو كتابة بعض المفاتيح في لوحة المفاتيح.

هناك بعض الإشارات في هذه القائمة: –

• تدوين الملاحظات: – قم بتدوين التقدم المحرز الخاص بك، كل يوم. هناك طرق مختلفة للقيام بها. قم بتدوينها بشكل فعلي، أو على جهاز الكمبيوتر الخاص بك، ولكن قم بذلك يوميًا حتى لا تترك أي شيء بينهما. أنا شخصياً أستخدم Trello OR Notion وهذان هما الأفضل. ويمكنك كتابتها على دفتر ملاحظاتك أيضًا.
• HTML: – هذا تعليم مدته 10 أيام سيساعدك على فهم ما يحدث مع تطبيق ويب معين. يمكنك معرفة مكان استخدام JS أو أشياء أخرى داخل HTML، وهذا أمر لا بد منه 🙂
• Owasp Top 10: – OWASP Top 10 عبارة عن وثيقة توعية قياسية للمطورين وأمن تطبيقات الويب. وهو يمثل قائمة واسعة حول المخاطر الأمنية الأكثر أهمية لتطبيقات الويب. يوجد بداخله العديد من الأشياء التي تمنحك فهمًا واضحًا لهجمات الويب. وهذا جزء لاحق.

هذا إلى حد كبير ما يمكنني التفكير فيه، عندما نأتي إلى المتطلبات المسبقة. هذه المدونة مخصصة بالكامل للقادمين الجدد الذين يواجهون صعوبة في البحث عن مكان البدء. لم أضع روابط للمواضيع وأترك ​​الأمر لكم حيث أن هناك نقطة في هذه المقالة تقول تصفح الإنترنت. لذا اختر المواضيع، وابحث عنها على Google واختر ما تريد أن تتعلمه. لا يوجد مصدر سيئ، ما عليك سوى اختيار شيء يغطي كل شيء في هذا الموضوع. سأترك لك بعض الروابط رغم ذلك 🙂

لنظام التشغيل Linux: – LinuxJourney

Owasp Top 10:– Owasp

بايثون للمبتدئين:- موقع بايثون الرسمي

أساسيات الشبكات: – دورة مجانية من جوجل

آمل أن يساعدك هذا على فهم الأساسيات. إذا تعلمت شيئًا ما، شاركه مع الآخرين حتى تستمر المعرفة في الانتشار. ولا تتردد أيضًا في التواصل معنا على LinkedIn وTwitter لطرح أسئلتك. 🙂

وبهذا أنهي مقالتي هنا وأتمنى لكم كل التوفيق❤

اختراق سعيد ايها الهاكرز !