Mohamed A. Baset

Guru Programmer, IT Security Researcher & #Bug Bounty Hunter

http://www.seekurity.com

265 نقاط السمعة
453 ألف مشاهدات المحتوى
عضو منذ
ما مدى احتياجك للغات low-level في مجالك؟ لا احتاجها بشكل ملًح ولكن ستقوم بفتح افق معرفيه كبيره لو عُرض عليك (بشكل سحري) أن تختار أداة واحدة (لغة، برنامج، نظام، بيئة، تقنية، الخ..) وستتقنها إتقان تام 100%. ماذا ستختار؟ PHP
نعم، نفس الطرق الموضحه فى الاجابه
-كيف يتم اكتشاف الثغرات في تطبيقات الموبايل ؟وماهي الادوات المستعملة لذلك؟ بنفس طرق اكتشاف الثغرات فى تطبيقات الويب والتى قمت بشرحها مسبقاً Android/iOS/Windows Phone Simulators Burpsuite/Fiddler Fuzzers Wireshark -وماهي اشهر الثغرات التي تصاب بها ؟ اشهر الثغرات التى تصاب بها تطبيقات الموبايل هى معظمها التى تصاب بها تطبيقات الويب ولكن الاكثر شهره هو SQL Injection و Information Leakage من خلال وجود خلل فى عمليات ال API Authentication -وهل اصابة تطبيقات بثغرة معينة قد يسبب في اختراق الهاتف والوصول لمعلومات حساسة؟
1 مثلا أنا أرغب في قراءة كل ما كتبته من الألف الى الياء هل لديك أرشيف محفوظ في مكان معين.. نظرا لصعوبة تصفح المواضيع القديمة في مواقع التواصل. https://goo.gl/zVLBxV -2 هل قمت بكتابة كتاب بهذا الخصوص أم ليس بعد.. ان كان ليس بعد هل تفكّر في كتابة واحد؟ لا لم أكتب كتاب للأسف، الفكره تجول فى خاطرى من فتره لأخرى لإصدار كتاب بالعربية فى المجال -3 هل لك قناة على اليوتوب تشرح فيها الدروس سمعي بصري؟ وهل هناك دورات متخصصة
اهلا وسهلا بك، حابب اوضحلك ان فى شركات كتير كبرى لا تنظر لتخصصك او حتى مجال دراستك، على سبيل المثال لا الحصر الشركة التى اعمل بها حاليا بالرغم من حصولى على توصية من الداخل بمهاراتى الا انه تم طلب ان اقدم تقرير عن الثغرات الموجوده عندهم فى البداية "عبارة عن تحدى اكتشاف الثغرات" وبالفعل قدمت هذا التقرير الذى بدوره عمل بمثابة ثقل لإتمام عملية توظيفى.
التسعير يكون فى البداية بدراسة الموقع\حجمه وعدة عوامل اخرى بعدها يتم الاقرار بالسعر، نعم يوجد اكثر من Packages بنقدمها اعتقد تقدر تعرف دا من رابط الشركة عذرا لا اريد وضع روابط تجارية لأن هذا يخالف قوانين Hsoub.io
الاجراءات كثيره ياصديقى والاحتمالات اكثر، لهذا نقدم خدمات الحماية والاختراق الاخلاقى
يجب على الهاكر ان يكون على دراية تامة بلغة البرمجة التى تم كتابة الموقع الهدف بها حتى يستطيع مهاجمته!
-ما رأيك بالرقابة الالكترونية والحماية منها باستعمال تور وvpn ووسائل التشفير ؟؟؟؟ رأيى فى الرقابه نفسها طبعا انا ارفض الرقابه فقط إن استخدمت فى التجسس على اهداف ليس لها علاقة بأمن الدول، لامكن حماية نفسك بشكل كامل من الرقابة لأننا بشر ودوما ما نسرب ولو معلومه طفيفه تؤدى لمعرفة العديد من الاسرار، ولكن مع تقدم ادوات ووسائل التشفير يمكننى القول نعم يمكن التخفى من الرقابة ولكن لفتره معينه من الوقت حتى تتوصل الجهات الرقابية لطرق وادوات ووسائل افضل من الحالية
بالنسبة لسؤال العملات الاليكترونية معنديش خبره بصراحه فى الموضوع دا تحديداً
بالعكس هذا السؤال عميق جدا وليس غبيا، من الممكن طبعا اختراق حاسوب شخص اذا تم اختراق هذا الشخص والسيناريوهات لا حصر لها ولا عد، منها على سبيل المثال: ١. تلغيم الموقع بثغرات 0day وعند تصفح الموقع من قبل مالكه يتم استغلال هذه الثغرات فى المتصفح وتنزيل وتشغيل اى ملف تنفيذى على جهازه الشخصى ٢. تلغيم بعض ملفات النسخ الاحتياطى بثغرات وعند استخدامها على الجهاز الخاص بصاحب الموقع يتم استغلال تلك الثغرات فى الخدمات المستخدمة بشكل محلى Locally
انا لا اؤمن بمقولة "ان اللغة تكتسب مع الوقت"
كيف أستطعت أتقان الأسبانيه ؟ وهل كنت تتعلهما قبل سفرك ؟ لم اتقن الاسبانية بعد ولكنى فى تقدم كيف لشخص أن يتقن كل لغات البرمجه التي ذكرتها وهي متنوعه بين تخصصات كثيره ( موبايل - ويب ) وصعب الألمام والأتقان لكل جوانبها ؟ لم اذكر اتقانها جميعاً، كل ما ذكرته هو التخصص بالنسبة للمنصه المراد اختبار الاختراق لها أنت كاتب على الفيس بوك أنك باحث في أمن المعلومات بخبره 14 عام وعمرك الحالي حوالي 28 أو 29 عام أي أنك
-كمبرمج أستخدم لينكس وغير مهتم بأمن المعلومات وليس لدي أعداء : هل أحتاج اي برمجيات مضادة للفيروسات لحمايتي من مواقع الإنترنت العادية ؟ نعم -بالنسبة للشخص الذي يحب المشاكل ويتصفح المواقع الغير آمنة هي يكفي اللينكس للحماية أم يحتاج إلا مضادات فيروسات ؟ لا يوجد نظام\متصفح خال من الثغرات، سوف تحتاج ماهو ابعد من مضادات الفيروسات الا وهى الخبرة، فلابد من مواكبة اخبار امن المعلومات ونعم تحتاج لمضاد فيروسات على اى نظام بغض النظر عن نوعه! -بالنسبة للمستخدم العادي الذي
لا يوجد نظام خالى من الفيروسات والثغرات، ولا يوجد نظام يمكن اختراقه بسهوله
الجزء الاول من السؤال اجابتة لا توجد مشاكل حتى الان الحمد لله، الاجابة على الجزء الثانى ستجدها فى إجابتى للأسئلة السابقه
-ماهي أهم الطرق و الوسائل للتعلم الذاتي ؟ اتباع شغفك، تعلم الانجليزية، حاول بشتى الطرق ايجاد بيئة هادئة تساعدك على التعلم، حاول ايضا ايجاد الوقت الكافى، ابعت عن المشتتات العامة، واخيراً حدد هدفك وقم بتقسيم هذا الهدف لأجزاء -ما هي نصائحكم لمن يود الدخول في البرمجة ؟ تعلم اللغة الانجليزية، تعلم مهارات البحث المختلفة على محركات البحث، هذه اهم نقطتان، إن اتقنتهما ستجد كل شئ سهل ان شاء الله. -هل تملك قاعدة بيانات لاهم المواقع الخاصة برصد اخر الأمور في
لا يوجد ما يسمى "لا خوف من تحميل" لأنه يجب ان تخاف من كل شئ، كل يوم تخرج ثغرات جديدة للعلن واخرى لم يتم الاعلان عنها بعد، اتذكر تقريبا فى عام 2006 كانت توجد ثغرة فى صيغة الصور emf كانت تصيب ويندوز، اقرأ اكثر عنها هنا: https://en.wikipedia.org/wiki/Windows_Metafile_vulnerability
-هل من الممكن اختراق جهاز PC عن طريق الــ IP فقط دون الحاجة لــ باتش .. ولو ممكن كيف ؟! نعم، من خلال الثغرات الموجوده فى الخدمات العامله على هذا الجهاز او الثغرات المتواجده فى نظام التشغيل نفسه، كيف؟ حاول تقرأ عن Metasploit -وكذلك هل يمكن مع الهواتف دون إرسال باك دور ؟ نعم ممكن ولنفس السبب المذكور اعلاه!
-هل تلقيت عروض/طلبات من حكومات عربية/أجنبية للعمل لصالحها؟ وماذا كان/سيكون موقفك؟ لا لم اتلقى عروض من حكومات، حتى وان حدث سأرفض -قلت أنك لا تعد نفسك متمكنًا بعد، مع إنك Senior وماشاء الله عليك لم تترك موقع أو شركة عالمية إلا ووضعت بصمتك الأمنية عليها. فسؤالي الآن: هل حددت لنفسك مستوى معين أو هدف معين لو وصلت إليه تعتبر نفسك تمكنت من المجال؟ لا لا يوجد مستوى معين او هدف معين، العالم والعلم يوميا فى تطور وانا احاول قدر الامكان
اهلا وسهلا بك ورمضان كريم عليك يارب، الاجابة سهلة جداً، اولا لا تقم بفتح اللينك، قم بنسخة وفحصه على هذا الموقع http://scanurl.net/
-اود ان اعرف هل يمكن اعتبار هذه ثغرة خطيرة ؟ نعم، خطيرة جداً، ولكن مؤخرا شركة ياهو كانت مصابة بنفس الشئ وقامت بالتنسيق مع فيسبوك للقيام بتجاوز هذة الاخطاء مستقبلاً -ما هو المعيار الذي يتم تحديد به الثغرات الخطيرة من الثغرات المتجاوزة ؟ قم بقراءة هذا المصدر: https://www.veracode.com/directory/owasp-top-10 اريد ان اعرف ايضا كيف لشركة مايكروسوفت ان تقع في مثل هذه االاخطاء ؟ الاخطاء والثغرات ليس بعيده عن اى شئ قام "بشر" بكتابتة
-يمكنني التخلص من آثار البيانات المحذوفة في الأجهزة العاملة بنظام أندرويد لتجنب التحليل الجنائي الرقمي .(لأسباب أمنية)؟ نعم، قم بإستعمال تطبيقات مثل: https://play.google.com/store/apps/details?id=com.pinellascodeworks.securewipe&hl=en https://play.google.com/store/apps/details?id=com.projectstar.ishredder.android.standard&hl=en https://play.google.com/store/apps/details?id=net.namstudio.android.tool.fillmemory.free&hl=en -هل حقاً أنه يتم استخراج معلومات من القرص الصلب حتى بعد إعادة التهيئة والتقسيم. نعم، قم بالتعرف اكتر على مجال Digital Forensics او "التحليل الجنائى الرقمى"
هل يوجد خارطة طريق لاحتراف مجال الحماية و خصوصا في مواقع التجارة الالكترونية ؟ أقصد هل يوجد أمور محددة يجب تعلمها بترتيب معين ؟ قمت بإجابة هذا السؤال سابقا، رجاء راجع جميع الاجوبة الاخرى، شكراً لك -هل الامر يختلف من شخص لآخر ؟ نعم -سؤال خارجي : مالذي يميز العيش في المكسيك على العيش في أميركا أو أوربا ؟ حقيقة لم املك اجابة على هذا السؤال، ولكن امريكا اللاتينية هى واحده من اهم احلامى قبيل المجئ الى المكسيك نظرا لحبى
اهلا وسهلا صديقى Amr، بداية تعليقك يحتوى على ٣ اسألة وليس سؤال واحد وفى الحقيقة جميعها صعب جدا الاجابة عليه لأنى لا اعتبر نفسى ناجح بعد ولكن سأجاوب عليها بناء على ما اؤمن به: ١.برأيك ما سّر النجاح والحفاظ عليه؟ لا يوجد سر النجاح، النجاح هو عبارة عن تجارب حياتية ناجحة وتجارب اخرى فاشلة، ما يقوم بدفعك للابتكار دوما هى التجارب الفاشله، بدون التجارب الفاشلة لا يوجد نجاح، جرب افشل، افشل مره اخرى، تعمد الفشل، قم بإصلاح ما قمت بإفشاله،