
- بواسطة x32x01 ||
ازاي الواحد يبدأ في ال Career بتاع ال Bug Bounty و ازاي الواحد يبقي Bug Hunter....احنا عندنا أكتر من Step و اكتر من Phase الواحد لازم يمشي عليها بالتفصيل الممل عشان يوصل لأنه يبقي Bug Hunter او كمان يبقي Web Penetration Tester محترم...
#أول_Step انا بسميها : Under Construction Phase
ال Phase دي هو أول و أهم Phase و ليه اسمها Under Construction لانك ساعتها بتكون لسة بتبني الأساسات بتاعتك في ال Web Development و ال Bug Hunting....طب ايه الي هتحتاجه في ال Phase دي ؟!
أول حاجة تنفع كبداية هو كتاب جميل جداً بس مشكلته انه كبير شوية بس هو كبير عشان بادئ من تحت الصفر خالص الكتاب اسمه : The Web Application Hacker Handbook
عندك واحد من أهم الكتب الي اتعملت لل Cyber Security الي هو كتاب :
The Hacker Playbook 2: Practical Guide to Penetration Testing
دة بيتكلم عملي اكتر من نظري يعني مش كتاب ممل هتقعد تقرأه و تنام قدامه لا دة هيطبق معاك علي طول
وطبعاً عشان مش كل ال Bug Bounty بيبقي Web Application ساعات كتير Bug Bounty Programs بيبقي من ضمن ال Scope بتاعها Mobile Application ف انت لازم تتعلم Mobile Applications Penetration Testing سواء كانت Android او iOS فيه كتاب جميل جداً اسمه : The Mobile Applications Hacker's Handbook نفس مواصفات الكتاب بتاع ال Web برضو بادئ معاك من الصفر خالص و دة اللينك بتاعه : http://turbobit.net/09upcbb3ekqp.html
كدة أول Step خلصت....
----------------------------------------------------------------------------------------
نيجي لاهم و أكبر Step في ال Path كله
#تاني_Step الي هي اسمها Get Your Full Resolution
انت طالما وصلت لل Step دي يبقي انت المفروض كدة اتعلمت كفاية و وصلت لمرحلة انك تقدر تجرب كل حاجة ب ايدك بقي..طب انت هتحتاج حاجة تجرب عليها ركز بقي ف كل ال Resources الي جاية دي...
أول حاجة عندك موقع اسمه HACKSPLAINING لموقع دة جميل للمبتدئين بيديلك Challenges عن ال Web Applications Vulnerabilities و بيمشيها معاك خطوة خطوة لحد ما تعمل Exploitation للثغرة ب ايدك....هو جايب Challenges علي Vulnerabilities كتير زي RCE و SQLi و XSS و CSRF و LFI و غيرها...ف موقع كويس جداً ان الناس المبتدئة تبدأ فيه هتستفاد كتير : https://www.hacksplaining.com/lessons
تاني حاجة عندك شركات كتير بتقدم Vulnerable Web Applications للناس عشان يعملوا عليها Penetration Testing و Hacking براحتهم و ميبقاش فيه اي حاجة illegal في الموضوع لأن انت مينفعش من لنفسك كدة تعمل Penetration Testing علي اي Web Application و تبعتلهم Report كدة و تقولهم عندكوا كذا و كذا يحبسوك فيها علي طول...ال Penetration Testing نوعين....اول نوع يا اما ال Web Application Owner ماضي معاك Contract و مكلفك انت تعمل Penetration Testing عليه يا اما ال Web Application Owner عامل Bug Bounty Program و فاتحه للناس غير كدة مينفعش منك لنفسك تعمل ال Pentest
ال Web Applications دي فيه منها الي Online و فيه منها الي On-Prem لازم تنزله عندك..ال Applications دي هتلاقيها علي Platforms مختلفة سواء .Net ولا java ولا PHP ولا Python Django ولا Javascript بس...عشان تجرب كل أنواع ال Attacks متكونش حابس نفسك علي Platform واحد بس...
تعالي بقي اقرأ المقالة دي الي كاتبها Avram Marius واحد من اكبر ال Security Researchers عن حياة ال Bug Hunter عمتاً و ازاي تبقي ناجح في مجال ال Bug Bounty :
كدة خلصنا تاني Step الي هي ال Full Resolution و كدة لو خلصتها يبقي المفروض انك اشتغلت علي كل أنواع ال Platforms ب كل ال Programming Languages.
----------------------------------------------------------------------------------------
#تالت_Step دي اسمها الي ملوش كبير بيشتريله كبير
يعني عشان تكون Bug Hunter شاطر و محترم لازم تتعلم من الي سبقوك و الي اكبر منك و تشوف عملوا شغلهم ازاي و كتبوا ال Write-Ups بتاعتهم ازاي....
دي شوية Write-Ups زي الفل بتتكلم عن ناس لقوا Vulnerabilities مختلفة ف شركات كبيرة زي Uber , Facebook , Microsoft , Oculus , Seagate و غيرهم..
دي بقي Repository علي Github فيها شوية Resources و كورسات كتير حلوة :
https://github.com/onlurking/awesome-infosec
بعد ما قرات ال Write –UPs عموماً اقرأ بقي خصوصاً.....هنا انا مقسم ال Tutorials و ال Write-Ups علي حسب كل Vulnerability عشان تتعلم ب نظام متبقاش الدنيا فوضي
كدة تالت Step خلصت و انت كدة قرأت كفاية عن شغل الناس الي قبلك....
----------------------------------------------------------------------------------------
#رابع_Step اسمها Time to be a Hitman
خلاص كدة انت اتعلمت و قرأت و جربت ب ايدك ناقصلك حاجة واحدة بس الي هي ان يبقي معاك ال Arsenal بتاعتك يبقي معاك ال Tools الي تشتغل بيها
----------------------------------------------------------------------------------------
#خامس_Step اسمها How To Write Your Report
من اهم الحاجات الي لو مظبطهاش يبقي البوست دة كله ضاع في الهوا هي ال Writing Skills بتاعتك لازم تعرف تكتب Report كويس لازم ال Report بتاعك يخوف ال Owner يحسسه انك طلعت مصيبة و انقذت حياته من الموت حتي لو كنت مطلع حاجات بسيطة...
----------------------------------------------------------------------------------------
#سادس_Step اسها Get Your Hands Ready
يعني خلاص بقي اتعلمت و قرأت و جربت و اشتغلت ب ايدك و قريت شغل الي قبلك و بقي معاك Tools و كتبت تقارير...انزل اشتغل بقي...دي اكبر اربع Platforms بتقدم Bug Bounty اعمل Account علي كل واحدة و ادخل و جرب و اشتغل و طبق كل الي اتعلمته في ال Steps الي فاتت :
1- HackerOne [ www.hackerone.com]
2- BugCrowd [www.bugcrowd.com]
3- ZDI (Zero Day Initiative) [www.zerodayinitiative.com]
4- Synack [www.synack.com]
#أول_Step انا بسميها : Under Construction Phase
ال Phase دي هو أول و أهم Phase و ليه اسمها Under Construction لانك ساعتها بتكون لسة بتبني الأساسات بتاعتك في ال Web Development و ال Bug Hunting....طب ايه الي هتحتاجه في ال Phase دي ؟!
أول حاجة تنفع كبداية هو كتاب جميل جداً بس مشكلته انه كبير شوية بس هو كبير عشان بادئ من تحت الصفر خالص الكتاب اسمه : The Web Application Hacker Handbook
عندك واحد من أهم الكتب الي اتعملت لل Cyber Security الي هو كتاب :
The Hacker Playbook 2: Practical Guide to Penetration Testing
دة بيتكلم عملي اكتر من نظري يعني مش كتاب ممل هتقعد تقرأه و تنام قدامه لا دة هيطبق معاك علي طول
وطبعاً عشان مش كل ال Bug Bounty بيبقي Web Application ساعات كتير Bug Bounty Programs بيبقي من ضمن ال Scope بتاعها Mobile Application ف انت لازم تتعلم Mobile Applications Penetration Testing سواء كانت Android او iOS فيه كتاب جميل جداً اسمه : The Mobile Applications Hacker's Handbook نفس مواصفات الكتاب بتاع ال Web برضو بادئ معاك من الصفر خالص و دة اللينك بتاعه : http://turbobit.net/09upcbb3ekqp.html
كدة أول Step خلصت....
----------------------------------------------------------------------------------------
نيجي لاهم و أكبر Step في ال Path كله
#تاني_Step الي هي اسمها Get Your Full Resolution
انت طالما وصلت لل Step دي يبقي انت المفروض كدة اتعلمت كفاية و وصلت لمرحلة انك تقدر تجرب كل حاجة ب ايدك بقي..طب انت هتحتاج حاجة تجرب عليها ركز بقي ف كل ال Resources الي جاية دي...
أول حاجة عندك موقع اسمه HACKSPLAINING لموقع دة جميل للمبتدئين بيديلك Challenges عن ال Web Applications Vulnerabilities و بيمشيها معاك خطوة خطوة لحد ما تعمل Exploitation للثغرة ب ايدك....هو جايب Challenges علي Vulnerabilities كتير زي RCE و SQLi و XSS و CSRF و LFI و غيرها...ف موقع كويس جداً ان الناس المبتدئة تبدأ فيه هتستفاد كتير : https://www.hacksplaining.com/lessons
تاني حاجة عندك شركات كتير بتقدم Vulnerable Web Applications للناس عشان يعملوا عليها Penetration Testing و Hacking براحتهم و ميبقاش فيه اي حاجة illegal في الموضوع لأن انت مينفعش من لنفسك كدة تعمل Penetration Testing علي اي Web Application و تبعتلهم Report كدة و تقولهم عندكوا كذا و كذا يحبسوك فيها علي طول...ال Penetration Testing نوعين....اول نوع يا اما ال Web Application Owner ماضي معاك Contract و مكلفك انت تعمل Penetration Testing عليه يا اما ال Web Application Owner عامل Bug Bounty Program و فاتحه للناس غير كدة مينفعش منك لنفسك تعمل ال Pentest
ال Web Applications دي فيه منها الي Online و فيه منها الي On-Prem لازم تنزله عندك..ال Applications دي هتلاقيها علي Platforms مختلفة سواء .Net ولا java ولا PHP ولا Python Django ولا Javascript بس...عشان تجرب كل أنواع ال Attacks متكونش حابس نفسك علي Platform واحد بس...
تعالي بقي اقرأ المقالة دي الي كاتبها Avram Marius واحد من اكبر ال Security Researchers عن حياة ال Bug Hunter عمتاً و ازاي تبقي ناجح في مجال ال Bug Bounty :
كدة خلصنا تاني Step الي هي ال Full Resolution و كدة لو خلصتها يبقي المفروض انك اشتغلت علي كل أنواع ال Platforms ب كل ال Programming Languages.
----------------------------------------------------------------------------------------
#تالت_Step دي اسمها الي ملوش كبير بيشتريله كبير
يعني عشان تكون Bug Hunter شاطر و محترم لازم تتعلم من الي سبقوك و الي اكبر منك و تشوف عملوا شغلهم ازاي و كتبوا ال Write-Ups بتاعتهم ازاي....
دي شوية Write-Ups زي الفل بتتكلم عن ناس لقوا Vulnerabilities مختلفة ف شركات كبيرة زي Uber , Facebook , Microsoft , Oculus , Seagate و غيرهم..
دي بقي Repository علي Github فيها شوية Resources و كورسات كتير حلوة :
https://github.com/onlurking/awesome-infosec
بعد ما قرات ال Write –UPs عموماً اقرأ بقي خصوصاً.....هنا انا مقسم ال Tutorials و ال Write-Ups علي حسب كل Vulnerability عشان تتعلم ب نظام متبقاش الدنيا فوضي
كدة تالت Step خلصت و انت كدة قرأت كفاية عن شغل الناس الي قبلك....
----------------------------------------------------------------------------------------
#رابع_Step اسمها Time to be a Hitman
خلاص كدة انت اتعلمت و قرأت و جربت ب ايدك ناقصلك حاجة واحدة بس الي هي ان يبقي معاك ال Arsenal بتاعتك يبقي معاك ال Tools الي تشتغل بيها
----------------------------------------------------------------------------------------
#خامس_Step اسمها How To Write Your Report
من اهم الحاجات الي لو مظبطهاش يبقي البوست دة كله ضاع في الهوا هي ال Writing Skills بتاعتك لازم تعرف تكتب Report كويس لازم ال Report بتاعك يخوف ال Owner يحسسه انك طلعت مصيبة و انقذت حياته من الموت حتي لو كنت مطلع حاجات بسيطة...
----------------------------------------------------------------------------------------
#سادس_Step اسها Get Your Hands Ready
يعني خلاص بقي اتعلمت و قرأت و جربت و اشتغلت ب ايدك و قريت شغل الي قبلك و بقي معاك Tools و كتبت تقارير...انزل اشتغل بقي...دي اكبر اربع Platforms بتقدم Bug Bounty اعمل Account علي كل واحدة و ادخل و جرب و اشتغل و طبق كل الي اتعلمته في ال Steps الي فاتت :
1- HackerOne [ www.hackerone.com]
2- BugCrowd [www.bugcrowd.com]
3- ZDI (Zero Day Initiative) [www.zerodayinitiative.com]
4- Synack [www.synack.com]
التعديل الأخير: