در نشسته اخیرا با طه Smily پژوهشگر مستقل امنیت سایبری به صحبت کردن در مورد نقش او و دیگر اعضای نسل جدیدی از اخلاقی است هکرها این بازی که در سایت های امن نگه داشتن.
لطفا به من بگویید کمی درباره خودتان و چگونه شما را در امر پژوهش امنیت سایبری کردم.
اسم من طاها Smily است; من تحلیلگر مستقل امنیت محقق و رمزنگاری از مراکش . من خود آموخته در چند زبان برنامه نویسی (HTML, پی اچ پی، جاوا اسکریپت، CSS، و پایتون)، رمزنگاری و همچنین شبکه های اساسی پنهان نگاری های پزشکی قانونی. من هم جذب بازیکن پرچم.
در کار در پلت فرم باز اشکال فضل که در آن من کشف آسیب پذیری مورد 3.000 در وب سایت های مختلف که در آن گزارش به صاحبان سایت های. نتیجه کار من در تالار مشاهیر بزرگ چند شرکت ها و سازمان ها از جمله مایکروسافت اپل نوکیا Pivotal و Cert اروپا من.
برخی از پروژه های امنیتی اخیر شما چیست؟
من در حال حاضر درگیر در پروژه های امنیتی متعددی از جمله توسعه وب سرور ابزار تست. علاوه بر این، من فقط برای نوشتن کتاب “روش های نرم افزار امنیت وب” که به زودی منتشر خواهد شد به پایان رسید.
شما همچنین “امنیتی آسیب پذیری فضل شکارچی” است-چه می کند که به معنی?
شکارچیان بخشش آسیب پذیری امنیتی نسل جدید هکرها اخلاقی است که کمک به شرکت های کشف و رفع اشکالات امنیتی خود است.
“فضل اشکال” معامله ارائه شده توسط شرکت به هکرها اخلاقی مثل من مقابل اشکالات امنیتی uncovering است. این برنامه ها فضل اشکال این است که برای این اکتشافات در مقیاس متناسب با شدت مشکلات پرداخت.
بستر های نرم افزاری openbugbounty.org چیست و چگونه کار می کند?
بستر های نرم افزاری باز اشکال فضل توسط گروه محققان مستقل امنیت در ژوئن سال 2014 آغاز شد. این پلت فرم غیر انتفاعی طراحی شده برای اتصال امنیت محققان و صاحبان وب سایت در شیوه ای شفاف و با احترام و متقابلا با ارزش است. هدف ما این است که وب را محل امن تر برای همه.
در حال حاضر هیچ منافع مالی یا تجاری در پروژه. علاوه بر این، ما میزبانی وب و هزینه های توسعه هزینه پرداخت از جیب ما و صرف شب ما تایید مطالب ارسالی جدید.
چگونه سایت های که به test برای نقص های امنیتی را تصمیم شما?
در فقط دو test سایت های محبوب و سایتهایی که مه به نظر می رسد به قوی و امن . البته من به ویژه علاقه مند به نگاه کردن به سایت های که نگران امنیت خود و کسانی که نعمت را ارائه می دهیم.
شما آن را برای تفریح و یا سود انجام دهید؟
از آنجا که من لذت بردن از چالش های جدید, اما بله، همچنین برای سود آن برای تفریح کنم!
زمانی که شما گزارش آسیب پذیری شما اکثر شرکت ها سپاسگزار پیدا کنم؟
بله. امنیت و حفاظت از اطلاعات و داده های شخصی تبدیل شده است یک نگرانی بزرگ برای شرکت های این روزها.
آسیب پذیری های رایج ترین برخورد می کنید؟
رایج ترین مسائل مربوط به من است صلیب سایت برنامه نویسی (XSS)، صلیب سایت درخواست جعل. (CSRF) و دامنه فرعی takeovers.
هنگامی که اسکریپت های مخرب را در غیر این صورت خوش خيم و قابل اعتماد وب سایت های تزریق کراس سایت اسکریپت (XSS) است. این حملات معمولا در قالب اسکریپت مرورگر صفحه است و می تواند دسترسی به تمام کوکی های جلسه نشانه یا سایر اطلاعات حساس توسط مرورگر حفظ و با آن سایت استفاده می شود. این اسکریپت ها حتی می تواند محتوای صفحه HTML را بازنویسی.
صلیب سایت درخواست جعل. (CSRF) حمله که کاربر نهایی به اجرای اقدامات ناخواسته در برنامه تحت وب است که آنها در حال حاضر معتبر می است. در حالی که نه واقعی سرقت از داده ها، حمله CSRF موفق می تواند نیروی کاربر برای انجام تغییر حکومت درخواست مثل انتقال وجوه و آدرس ایمیل خود را تغییر و غیره. CSRF قادر به سازش سراسر وب نرم افزار می توانید اگر قربانی حساب اداری.
دامنه فرعی تصاحب نوع آسیب پذیری است که به نظر می رسد که ورود دی ان اس (دامنه فرعی) سازمان را به یک سرویس خارجی اشاره می کند اما این سرویس دیگر در مورد استفاده است. مهاجم می تواند ثبت نام برای خدمات خارجی و ادعای زیر دامنه آسیب دیده. در نتیجه، مهاجم می تواند میزبان کد مخرب (ex. برای سرقت کوکی های HTTP) در سازمان را زیر دامنه و استفاده از آن کاربران مشروع حمله.
چه هستند برخی از جدی ترین آسیب پذیری شما را دیده اند
جدی ترین آسیب پذیری من مواجه می شوند تزریق SQL برای دامپینگ، و از راه دور کد اجرای بانک های اطلاعاتی هستند.
گذاشتن تزریق است روش تزریق کد، موجب آن نابکار اظهارات SQL را در قسمت ورود برای اعدام به منظور تخلیه محتویات پایگاه داده را به حمله درج می شود.
اجرای کد از راه دور مهاجم توانایی اجرای هر دستور حمله را انتخاب بر روی دستگاه مورد نظر و یا در فرایند مورد نظر است. از آنجا که اجازه می دهد تا مهاجم به طور کامل بیش از فرایند “vulnerable.txt” یکی از قوی ترین اشکالات است. از آنجا حمله بالقوه کنترل کاملی بر روی دستگاه روند را می توانید حال اجرا، اجازه می دهد مخرب برای اجرا بر روی کامپیوتر بدون رضایت مالک.
از تجربه خود را به عنوان پژوهشگر امنیت سایبر چه توصیه شما به توسعه دهندگان نرم افزار امروز می افتد؟
مهم ترین توصیه من بدهید همگام با شکاف های امنیتی و آخرین به روز رسانی در زمینه امنیت اطلاعات است. علاوه بر این، بسیار مهم برای کار با محققان در امنیت سایبری برای شناسایی و رفع هر گونه مسائل امنیتی قبل از محصولات نورد به عموم مردم است.
که در آن شما را مشاهده کنید نرم افزار امنیتی در آینده عنوان
مشکل واقعی با نرم افزار امنیتی حتی عمیق تر از توان خطاب با بهترین شیوه و تخصصی است زبان. طراحی مجدد کامل از نرم افزار معماری از سطح سیستم عامل تا احتمال مورد نیاز برای حل مشکلات سیستمیک با اینترنت چیزها و فراتر از .