- بواسطة x32x01 ||
لازم تعرف ان الموضوع مش بسيط ومش سهل من وجهة نظري ان اي حد ممكن يكمل فيه دا مش معناه انك متقدرش تكمل فيه ولكن في ناس ممكن تلاقي ان البنتست اسهل وناس العكس وكل حاجة ليها اسبابها ومن اسباب ان قولت كدا انك اول ماهتبدا ممكن تاخد وقت صغير او كبير علي اما تجيب اول بونتي ليك لان مفيش خطة سحرية هتخليك تجيب بونتي بسهولة او ماتتعلم المطلوب
مثلا الي هنقوله هنا لان في ناس يعني تنانين وبردو ملهمش نصيب في البج بونتي فلازم تتعلم الصبر وربنا هيرزقك باذن الله تمام في الحتة دي وضحتها كدا
1 - اول خطوة
وهي انك تهيئ نفسك للمشوار في المجال وتهيئ نفسك لطريق تعلم ممكن يبقا بسيط بالنسبة ليك وكبير بالنسبة لغيرك فمع تهيئتك للموضوع هيبا اسهل وهيئ هنا انك تشوف اوقات فراغك لو انت بتدرس او شغال وترتبها كدا في ملف text علشان تحاول تعمل لنفسك to-do list
بالي هنقوله وترتب تعلمك علي قد ماتقدر ودي مش شئ لازم ولكنها هتفيدك والله جدا
2- الخطوة الثانية
هنا احنا بنكتب الموضوع دا للي عايز يبقا بج هانتر ويبدا بالويب والنتورك فنبدا هنا ونقول انك لازم تكون عارف اساسيات النتورك او النظام عموما ويعني اي بورت وكل الحاجات البسيطة دي في النظام وبعد كدا هتدخل علي الويب هيبقا اشغل اكثر الصراحة لانك تلاقئ كدا هتتعلم حاجات في النظام كتير وانت ماشي في الطريق او لما تتعلم الويب عموما واساسيات الويب هنا بنتكلم مثلا عن انك تاخد حتي لو crash course للـ html ,css,js,php
بس قبل كل دا لازم تكون عارف كونسبت البرمجة ويعني اي برمجة اصلا الي هو الفيديوهات الي بتلاقيها قدامك علي اليوتيوب دي تعتبر كافية انها تديك اول الطريق في فهم البرمجة وحتة الخوارزميات هي اه مفيدة وكل حاجة ولكن مش هتبقا مفيدة في الاول في وجهة نظري وبالذات في الويب الا في حاجات بسيطة عايز تفكير شوية فبتحاول تفهم خوارزمية عاملها ولكن اصلا في ناس بدات بج بونتي من غيرها عادي انا لما بدات مكنتش اعرف الا حاجات بسيطة عن الخوارزميات ومفدتنيش قد كدا الصراحة ودا من وجهة نظري ممكن حد يبقا ضدها عادي جدا
ونكمل ونقول افضل واحد هتتعلم منه الحاجات الي قولناها فوق دي هو الزيرو ولكن في بعض الحاجات بيطول فيها وانت في الاول كدا لسة newbie
مش هتحتاح التعمق دا الصراحة وانك بس تكون فاهم الموقع او النظام او الحاجة الي قدامك دي شغالة ازاي دا شئ كافي جدا انك تطلع في الموقع ثغرات
قناة الزيرو للي مش عارفها - أضغط هنا
ولو عايز تعمل بنصيحتي انك تاخد crash courses هتدخل علي اليوتيوب وتكتب مثلا html crash course والخ
وهتجمع وتشوف الشخص الي طريقته تعجبك وتكمل معاه ولو في حاجة شايف نفسك مفهمتهاش في بردو جوجل هيبقا صديقك طول الطريق تدور عليها وتاخد note عنها…
ومن رايئ المتواضع بردو انك تحاول تشرح الحاجة دي لنفسك دي هتبقا افضل طريقة في انك تفهمها
3- الخطوة الثالثة
وهي انك تعرف ثغرات الويب وطريقة اكتشفها وطريقة اصلحها وتشوف اكواد توضح الثغرة دي سببها اي
وممكن تبدا بكورس البشمهندس ابراهيم حجازي كبداية هيبقا حلو ودا رابط الكورس - أضغط هنا
الكورس هيكلمك لي علي الويب في العموم ولكن هو كمان شارحلك في الاول بعض المفاهيم في اللينكس والاوامر الي هتحتجها وانت شغال في حتة الويب - وانت هتحتاج حاجة علشان تفهم الكود بردو زيادة وهيبقا
افضل مثال للحتة دي هو الفولدر بتاع التحديات الي عامله
Jobert Abma CO-FOUNDER بتاع هاكروان https://gitlab.com/jobertabma/vulnerable-code
وعندك بردو كبداية حلوة كورس سانس SEC542
هتتعب شوية هتلاقيه متسرب في كل مكان يعني ولو انت علي سيرفر الديسكورد هتلاقيه هناك بردو تقريبا يعني !
وانصح بردو في الاول كورس بتاع ناكراه من البشهندس احمد عطيه - أضغط هنا
وبعد لما تشوف كل دول انت كدا تقريبا مستعد انك تدخل علي بروجرام وتدور فيه
وقبل اما ننسي في الحتة دي لازم اول ماتبدا في تعلم من فوق اصلا تبدا انك تقرا عن المجال اكثر وتشوف الhactivity
بتاع هاكروان وتشوف الريبورتات وتشوف مقالات عن البج بونتي وهكذا وبعد مثلا كورس البشمهندس حجازي انصحك انك تبدا علي طول تحل تحديات علي مثلا root-me
في الحتة بتاعةclient-side attacks and server side
وعندك منصات مدفوعة كتيرة ومنصات مجانية بردو زي
portswigger web academy من افضل المنصات الي هتعجبك في الحتة بتاعة انك تطور نفسك في الويب
4- الخطوة الرابعة والاخيرة تقريبا
وهي ازاي تكتب ريبورت للبج بونتي والموضوع ممكن يبقا صعب في الاول بس هتاخد عليه بعد كدا وهتكتب كل دا بسهولة جدا
يعني مثلا هتكلم ازاي تكتب ريبورت عن ثغرة زيSql Injection في ريبورتك في الثغرة دي انا بعمل كالاتي
اسم الريبورت دا شئ اكيد بديهي وبعد كدا بكتب description بسيط عن الثغرة ويعني اي sql injection
وبعد كدا بكتب proof-of-concept بتاعها بكل بساطة ممكن تعملها في شكل ترقيم للخطوات او تتكلم عنها بموضوعية اكثر وتوضيح اكثر وازاي لقيتها من الاول مش استغلالها بس وومكن تتكلم في description عن المكان الي انت لقيتها فيه
وتكتب في ال POC - proof-of-concept الاكسبلويت بتاعها النهائي لحد اما عملت مثلا Dump للداتا او وصل منها لRCE علي حسب.
وبعد كدا مثلا لو الثغرة معقدة شوية ممكن تعمل فيديو وتحط screenshots
ولكن زي ماكنت بعمل كدا في الاول في كل حاجة بس تيم هاكروان قالي مش دايما بنهتم بالscreenshots
طلما الثغرة واضحة في الكتابة بتاعتك
وفي الاخر تكتب الـ impact وازاي ممكن الاتاكر يستخدمها في شئ غير اخلاقي من الاخر وبعد كدا تضغط submit
انا هنا اتكلمت ببساطة وهديك كام مصدر تتشبع منه في النقطة دي
Reporting a Bug - Bugcrowd
https://docs.bugcrowd.com/researchers/reporting-managing-submissions/reporting-a-bug
Bug bounty reports that stand out, how to write one
https://thehackerish.com/bug-bounty-reports-that-stand-out-how-to-write-one
Submitting Reports
https://docs.hackerone.com/en/articles/8473994-submitting-reports
وهنا هتلاقي بعض الtemplates عن بعض الثغرات ودي طريقة ممكن تساعدك في الاول انك تشوف الريبورتات او الاشكال دي وتعمل زيها
https://github.com/gwen001/BB-datas/tree/master/templates-reports
وفي النهاية النقاش مفتوح لو انا غلطت في شئ او انت عايز تزود شئ اتفضل.
البوست هيتعدل دايما يعني لو في جديد ممكن اضيفه
مثلا الي هنقوله هنا لان في ناس يعني تنانين وبردو ملهمش نصيب في البج بونتي فلازم تتعلم الصبر وربنا هيرزقك باذن الله تمام في الحتة دي وضحتها كدا
1 - اول خطوة
وهي انك تهيئ نفسك للمشوار في المجال وتهيئ نفسك لطريق تعلم ممكن يبقا بسيط بالنسبة ليك وكبير بالنسبة لغيرك فمع تهيئتك للموضوع هيبا اسهل وهيئ هنا انك تشوف اوقات فراغك لو انت بتدرس او شغال وترتبها كدا في ملف text علشان تحاول تعمل لنفسك to-do list
بالي هنقوله وترتب تعلمك علي قد ماتقدر ودي مش شئ لازم ولكنها هتفيدك والله جدا
2- الخطوة الثانية
هنا احنا بنكتب الموضوع دا للي عايز يبقا بج هانتر ويبدا بالويب والنتورك فنبدا هنا ونقول انك لازم تكون عارف اساسيات النتورك او النظام عموما ويعني اي بورت وكل الحاجات البسيطة دي في النظام وبعد كدا هتدخل علي الويب هيبقا اشغل اكثر الصراحة لانك تلاقئ كدا هتتعلم حاجات في النظام كتير وانت ماشي في الطريق او لما تتعلم الويب عموما واساسيات الويب هنا بنتكلم مثلا عن انك تاخد حتي لو crash course للـ html ,css,js,php
بس قبل كل دا لازم تكون عارف كونسبت البرمجة ويعني اي برمجة اصلا الي هو الفيديوهات الي بتلاقيها قدامك علي اليوتيوب دي تعتبر كافية انها تديك اول الطريق في فهم البرمجة وحتة الخوارزميات هي اه مفيدة وكل حاجة ولكن مش هتبقا مفيدة في الاول في وجهة نظري وبالذات في الويب الا في حاجات بسيطة عايز تفكير شوية فبتحاول تفهم خوارزمية عاملها ولكن اصلا في ناس بدات بج بونتي من غيرها عادي انا لما بدات مكنتش اعرف الا حاجات بسيطة عن الخوارزميات ومفدتنيش قد كدا الصراحة ودا من وجهة نظري ممكن حد يبقا ضدها عادي جدا
ونكمل ونقول افضل واحد هتتعلم منه الحاجات الي قولناها فوق دي هو الزيرو ولكن في بعض الحاجات بيطول فيها وانت في الاول كدا لسة newbie
مش هتحتاح التعمق دا الصراحة وانك بس تكون فاهم الموقع او النظام او الحاجة الي قدامك دي شغالة ازاي دا شئ كافي جدا انك تطلع في الموقع ثغرات
قناة الزيرو للي مش عارفها - أضغط هنا
ولو عايز تعمل بنصيحتي انك تاخد crash courses هتدخل علي اليوتيوب وتكتب مثلا html crash course والخ
وهتجمع وتشوف الشخص الي طريقته تعجبك وتكمل معاه ولو في حاجة شايف نفسك مفهمتهاش في بردو جوجل هيبقا صديقك طول الطريق تدور عليها وتاخد note عنها…
ومن رايئ المتواضع بردو انك تحاول تشرح الحاجة دي لنفسك دي هتبقا افضل طريقة في انك تفهمها
3- الخطوة الثالثة
وهي انك تعرف ثغرات الويب وطريقة اكتشفها وطريقة اصلحها وتشوف اكواد توضح الثغرة دي سببها اي
وممكن تبدا بكورس البشمهندس ابراهيم حجازي كبداية هيبقا حلو ودا رابط الكورس - أضغط هنا
الكورس هيكلمك لي علي الويب في العموم ولكن هو كمان شارحلك في الاول بعض المفاهيم في اللينكس والاوامر الي هتحتجها وانت شغال في حتة الويب - وانت هتحتاج حاجة علشان تفهم الكود بردو زيادة وهيبقا
افضل مثال للحتة دي هو الفولدر بتاع التحديات الي عامله
Jobert Abma CO-FOUNDER بتاع هاكروان https://gitlab.com/jobertabma/vulnerable-code
وعندك بردو كبداية حلوة كورس سانس SEC542
هتتعب شوية هتلاقيه متسرب في كل مكان يعني ولو انت علي سيرفر الديسكورد هتلاقيه هناك بردو تقريبا يعني !
وانصح بردو في الاول كورس بتاع ناكراه من البشهندس احمد عطيه - أضغط هنا
وبعد لما تشوف كل دول انت كدا تقريبا مستعد انك تدخل علي بروجرام وتدور فيه
وقبل اما ننسي في الحتة دي لازم اول ماتبدا في تعلم من فوق اصلا تبدا انك تقرا عن المجال اكثر وتشوف الhactivity
بتاع هاكروان وتشوف الريبورتات وتشوف مقالات عن البج بونتي وهكذا وبعد مثلا كورس البشمهندس حجازي انصحك انك تبدا علي طول تحل تحديات علي مثلا root-me
في الحتة بتاعةclient-side attacks and server side
وعندك منصات مدفوعة كتيرة ومنصات مجانية بردو زي
portswigger web academy من افضل المنصات الي هتعجبك في الحتة بتاعة انك تطور نفسك في الويب
4- الخطوة الرابعة والاخيرة تقريبا
وهي ازاي تكتب ريبورت للبج بونتي والموضوع ممكن يبقا صعب في الاول بس هتاخد عليه بعد كدا وهتكتب كل دا بسهولة جدا
يعني مثلا هتكلم ازاي تكتب ريبورت عن ثغرة زيSql Injection في ريبورتك في الثغرة دي انا بعمل كالاتي
اسم الريبورت دا شئ اكيد بديهي وبعد كدا بكتب description بسيط عن الثغرة ويعني اي sql injection
وبعد كدا بكتب proof-of-concept بتاعها بكل بساطة ممكن تعملها في شكل ترقيم للخطوات او تتكلم عنها بموضوعية اكثر وتوضيح اكثر وازاي لقيتها من الاول مش استغلالها بس وومكن تتكلم في description عن المكان الي انت لقيتها فيه
وتكتب في ال POC - proof-of-concept الاكسبلويت بتاعها النهائي لحد اما عملت مثلا Dump للداتا او وصل منها لRCE علي حسب.
وبعد كدا مثلا لو الثغرة معقدة شوية ممكن تعمل فيديو وتحط screenshots
ولكن زي ماكنت بعمل كدا في الاول في كل حاجة بس تيم هاكروان قالي مش دايما بنهتم بالscreenshots
طلما الثغرة واضحة في الكتابة بتاعتك
وفي الاخر تكتب الـ impact وازاي ممكن الاتاكر يستخدمها في شئ غير اخلاقي من الاخر وبعد كدا تضغط submit
انا هنا اتكلمت ببساطة وهديك كام مصدر تتشبع منه في النقطة دي
Reporting a Bug - Bugcrowd
https://docs.bugcrowd.com/researchers/reporting-managing-submissions/reporting-a-bug
Bug bounty reports that stand out, how to write one
https://thehackerish.com/bug-bounty-reports-that-stand-out-how-to-write-one
Submitting Reports
https://docs.hackerone.com/en/articles/8473994-submitting-reports
وهنا هتلاقي بعض الtemplates عن بعض الثغرات ودي طريقة ممكن تساعدك في الاول انك تشوف الريبورتات او الاشكال دي وتعمل زيها
https://github.com/gwen001/BB-datas/tree/master/templates-reports
وفي النهاية النقاش مفتوح لو انا غلطت في شئ او انت عايز تزود شئ اتفضل.
البوست هيتعدل دايما يعني لو في جديد ممكن اضيفه