طه Smily و جدید نسل های اخلاقی هکرها با استفاده از مهارت های خود را اینترنت امن

در نشسته اخیرا با طه Smily پژوهشگر مستقل امنیت سایبری به صحبت کردن در مورد نقش او و دیگر اعضای نسل جدیدی از اخلاقی است هکرها این بازی که در سایت های امن نگه داشتن.

لطفا به من بگویید کمی درباره خودتان و چگونه شما را در امر پژوهش امنیت سایبری کردم.

اسم من طاها Smily است; من تحلیلگر مستقل امنیت محقق و رمزنگاری از مراکش . من خود آموخته در چند زبان برنامه نویسی (HTML, پی اچ پی، جاوا اسکریپت، CSS، و پایتون)، رمزنگاری و همچنین شبکه های اساسی پنهان نگاری های پزشکی قانونی. من هم جذب بازیکن پرچم.

در کار در پلت فرم باز اشکال فضل که در آن من کشف آسیب پذیری مورد 3.000 در وب سایت های مختلف که در آن گزارش به صاحبان سایت های. نتیجه کار من در تالار مشاهیر بزرگ چند شرکت ها و سازمان ها از جمله مایکروسافت اپل نوکیا Pivotal و Cert اروپا من.

برخی از پروژه های امنیتی اخیر شما چیست؟

من در حال حاضر درگیر در پروژه های امنیتی متعددی از جمله توسعه وب سرور ابزار تست. علاوه بر این، من فقط برای نوشتن کتاب “روش های نرم افزار امنیت وب” که به زودی منتشر خواهد شد به پایان رسید.

شما همچنین “امنیتی آسیب پذیری فضل شکارچی” است-چه می کند که به معنی?

شکارچیان بخشش آسیب پذیری امنیتی نسل جدید هکرها اخلاقی است که کمک به شرکت های کشف و رفع اشکالات امنیتی خود است.

“فضل اشکال” معامله ارائه شده توسط شرکت به هکرها اخلاقی مثل من مقابل اشکالات امنیتی uncovering است. این برنامه ها فضل اشکال این است که برای این اکتشافات در مقیاس متناسب با شدت مشکلات پرداخت.

بستر های نرم افزاری openbugbounty.org چیست و چگونه کار می کند?

بستر های نرم افزاری باز اشکال فضل توسط گروه محققان مستقل امنیت در ژوئن سال 2014 آغاز شد. این پلت فرم غیر انتفاعی طراحی شده برای اتصال امنیت محققان و صاحبان وب سایت در شیوه ای شفاف و با احترام و متقابلا با ارزش است. هدف ما این است که وب را محل امن تر برای همه.

در حال حاضر هیچ منافع مالی یا تجاری در پروژه. علاوه بر این، ما میزبانی وب و هزینه های توسعه هزینه پرداخت از جیب ما و صرف شب ما تایید مطالب ارسالی جدید.

چگونه سایت های که به test برای نقص های امنیتی را تصمیم شما?

در فقط دو test سایت های محبوب و سایتهایی که مه به نظر می رسد به قوی و امن . البته من به ویژه علاقه مند به نگاه کردن به سایت های که نگران امنیت خود و کسانی که نعمت را ارائه می دهیم.

شما آن را برای تفریح و یا سود انجام دهید؟

از آنجا که من لذت بردن از چالش های جدید, اما بله، همچنین برای سود آن برای تفریح کنم!

زمانی که شما گزارش آسیب پذیری شما اکثر شرکت ها سپاسگزار پیدا کنم؟

بله. امنیت و حفاظت از اطلاعات و داده های شخصی تبدیل شده است یک نگرانی بزرگ برای شرکت های این روزها.

آسیب پذیری های رایج ترین برخورد می کنید؟

رایج ترین مسائل مربوط به من است صلیب سایت برنامه نویسی (XSS)، صلیب سایت درخواست جعل. (CSRF) و دامنه فرعی takeovers.

هنگامی که اسکریپت های مخرب را در غیر این صورت خوش خيم و قابل اعتماد وب سایت های تزریق کراس سایت اسکریپت (XSS) است. این حملات معمولا در قالب اسکریپت مرورگر صفحه است و می تواند دسترسی به تمام کوکی های جلسه نشانه یا سایر اطلاعات حساس توسط مرورگر حفظ و با آن سایت استفاده می شود. این اسکریپت ها حتی می تواند محتوای صفحه HTML را بازنویسی.

صلیب سایت درخواست جعل. (CSRF) حمله که کاربر نهایی به اجرای اقدامات ناخواسته در برنامه تحت وب است که آنها در حال حاضر معتبر می است. در حالی که نه واقعی سرقت از داده ها، حمله CSRF موفق می تواند نیروی کاربر برای انجام تغییر حکومت درخواست مثل انتقال وجوه و آدرس ایمیل خود را تغییر و غیره. CSRF قادر به سازش سراسر وب نرم افزار می توانید اگر قربانی حساب اداری.

دامنه فرعی تصاحب نوع آسیب پذیری است که به نظر می رسد که ورود دی ان اس (دامنه فرعی) سازمان را به یک سرویس خارجی اشاره می کند اما این سرویس دیگر در مورد استفاده است. مهاجم می تواند ثبت نام برای خدمات خارجی و ادعای زیر دامنه آسیب دیده. در نتیجه، مهاجم می تواند میزبان کد مخرب (ex. برای سرقت کوکی های HTTP) در سازمان را زیر دامنه و استفاده از آن کاربران مشروع حمله.

چه هستند برخی از جدی ترین آسیب پذیری شما را دیده اند

جدی ترین آسیب پذیری من مواجه می شوند تزریق SQL برای دامپینگ، و از راه دور کد اجرای بانک های اطلاعاتی هستند.

گذاشتن تزریق است روش تزریق کد، موجب آن نابکار اظهارات SQL را در قسمت ورود برای اعدام به منظور تخلیه محتویات پایگاه داده را به حمله درج می شود.

اجرای کد از راه دور مهاجم توانایی اجرای هر دستور حمله را انتخاب بر روی دستگاه مورد نظر و یا در فرایند مورد نظر است. از آنجا که اجازه می دهد تا مهاجم به طور کامل بیش از فرایند “vulnerable.txt” یکی از قوی ترین اشکالات است. از آنجا حمله بالقوه کنترل کاملی بر روی دستگاه روند را می توانید حال اجرا، اجازه می دهد مخرب برای اجرا بر روی کامپیوتر بدون رضایت مالک.

از تجربه خود را به عنوان پژوهشگر امنیت سایبر چه توصیه شما به توسعه دهندگان نرم افزار امروز می افتد؟

مهم ترین توصیه من بدهید همگام با شکاف های امنیتی و آخرین به روز رسانی در زمینه امنیت اطلاعات است. علاوه بر این، بسیار مهم برای کار با محققان در امنیت سایبری برای شناسایی و رفع هر گونه مسائل امنیتی قبل از محصولات نورد به عموم مردم است.

که در آن شما را مشاهده کنید نرم افزار امنیتی در آینده عنوان

مشکل واقعی با نرم افزار امنیتی حتی عمیق تر از توان خطاب با بهترین شیوه و تخصصی است زبان. طراحی مجدد کامل از نرم افزار معماری از سطح سیستم عامل تا احتمال مورد نیاز برای حل مشکلات سیستمیک با اینترنت چیزها و فراتر از .

بهترین بی سیم سیستم ابزار قدرت برای هر سطح مهارت و بررسی بودجه گیک

بازار ابزار بی سیم تا حد زیادی در طول سال بهبود یافته است اما شاید بزرگترین پیشرفت انواع خالص بوده است. و بهتر است ابزار بی سیم از شرکت داده شده معمولا باتری. اینجا اکوسیستم ابزار بی سیم قدرت که ارائه بهترین صدای بلند برای پریدن و قوز.

هنگامی که آن را به “بهترین” سری ابزار بی سیم برق می آید، البته مردم مختلف طول می کشد در چه دقیقا که معنی داشته باشد. انتخاب است؟ قیمت? دوام کلی ابزار? شاید کمی از همه چیز? بنابراین آیا شما در حال خرید در بودجه DIY یا برای سایت کار خرید چیزی برای همه وجود دارد با توجه به آن، ما کردن تعداد انگشت شماری کوچک از مارک های مناسب این دسته بندی های مختلف, برداشت. بیایید شروع کنید!

برای DIYer های گاه به گاه: Ryobi

برند فوق العاده middle-of-the-road هنگامی که می آید به کیفیت و قیمت Ryobi. آن یکی + بیش از 100 ابزار بی سیم که شما می توانید همان باتری مبادله بسته با باتری سیستم ارائه می دهد. و باطری های مختلف را در ظرفیت های مختلف بسته به نیاز و بودجه خود را دریافت می کنید.

Ryobi ارائه اضافی باتری که قیمت های مناسب، و ابزار هنوز هنوز ارائه کیفیت به اندازه کافی خوب برای DIYer روزمره که تعمیرات در خانه خود و یا قرار دادن با هم پروژه نجاری در گاراژ — می توانید تمرین قدرت با دو باتری برای 130 دلار. خودم Ryobi یکی هستم و می توانم تایید برای دوام.

انتخاب ابزار بسیار گسترده است و شما به راحتی ابزار اساسی قدرت شما می خواهید پیدا کنید، همچنین برخی از باطری دستگاه های دیگری که شما فکر می کنید شما هرگز نیاز، مانند این تفنگ چسب داغ freaking.

اگر شما می دانید دقیقا چه ابزار لازم، شما همیشه می توانید خرید فقط مورد اما برای کسی که با ساختمان کتابخانه ابزار خود را آغاز این کیت شروع (و آنهایی که به دنبال) راه فوق العاده برای پرش حق به داشتن بزرگ و سازگار با مجموعه ای از ابزار های بی سیم سيدعلي

برای هاردکور پیمانکار: میلواکی

در حال حاضر، اگر شما کسی است که در ساخت و ساز برای زندگی کار می کند و بهترین دوام و قابلیت اطمینان از ابزار های بی سیم خود را نیاز میلواکی ابزار گزینه خوبی هستند.

باتری و ابزار معمولا کمی pricier از مارک های دیگر با کیت تمرین قدرت با دو باتری زنگ در که 200 دلار است. با این حال، کیفیت ابزار خود هیچ نوار است و من مقدار زیادی از کارگران ساختمانی است که سوگند میلواکی را ندیده اید.

شما همچنین می توانید ابزار 12V کوچکتر و باتری از میلواکی, که بیشتر به سمت نور وظیفه کار بشود، اما شما همچنین می توانید نجات چند دلار با رفتن مسیر که اگر شما بیش از حد دیوانه چیزی لازم نیست اما هنوز هم می خواهید دوام و کیفیت–شما می توانید صدای انفجار 12V تمرین با دو باتری برای 130 دلار است.

اگر می خواهید به شیرجه رفتن عمیق به اکوسیستم میلواکی است، هر چند، شما این کیت است که به شما آغاز شده با برخی از پروژه های اساسی می توانید با شتاب.

برای تنوع بیشتر: دوالت

برای اکثر همه مارک های ابزار قدرت های بزرگ ارائه انواع بسیار متنوعی از ابزارهای بی سیم، اما زمانی که می آید برای ولتاژهای مختلف دوالت همه ضرب و شتم.

ولتاژ برقی بی سیم خود را مهم بدانید چون ولت بیشتر شما، گشتاور بیشتر شما از ابزار خود را, که بزرگ برای کار سنگین است فشار می تواند باشد. معمولا اکثر برندهای فقط 12V 18V و 20V، شاید، اما دوالت 8V 12V, 14.4 V، 18V 20V 40V 60V، 120V ابزار است که شما می توانید از است.

همچنین بسیاری از ابزار دوالت خیلی ارزان می توانید. تمرین قدرت 20V با دو باتری می تواند فقط 100 دلار بود. با هدف مانند تمایل به در میلواکی، دوالت حال، طرف گران تر طیف با ابزار DIYers که جدی و پیمانکاران. اما اگر شما علاقه مند به مسائل دوالت است، شما می توانید کیت استارتر برای کمی بیش از 500 دلار گرفتن.

برای ادم ارزان خر: استاد مته

وقتی می گویم “ادم ارزان خر” در اینجا، در واقعا معنی. شما می توانید گرفتن استاد مته مته قدرت با باتری شامل برای تنها $20.

مته برند خانه بندر حمل و نقل ابزار که زنجیره های سراسر کشور است که مبادرت به فروش انواع ابزار کم هزینه و منابع است. آنها چند سنگهای پنهان است، اما در اکثر موارد آنها در شناخته ابزار بیشتر کم کیفیت خود را–اگر شما فقط نیاز به یک ابزار است که شما فقط قصد استفاده از دو بار در سال، آن معامله بزرگ است. با این حال، بندر حمل و نقل تجاری رفتن به پیمانکاران و مشتاق DIYers قطعا نیست.

با که گفت، هر چند، استاد مته ارزان ترین ابزار بی سیم برق اطراف ارائه می دهد. و در حالی که آنها هنوز هم متاسفانه استفاده از فن آوری قدیمی NiCd باتری باتری حداقل قابل تعویض با چند استاد مته بی سیم برق ابزار دیگر در دسترس هستند.

متاسفانه، بندر حمل و نقل فروش کیت استارتر برای خود ابزار استاد مته و آنها فقط چند گزینه بی سیم را ارائه می دهیم اما شما می توانید نگاهی به همه آنها برای ارائه در وب سایت بندر حمل و نقل را.

سعی کنید رتبهٔ قبل از خرید آنها

وجود دارد بسیاری از مارک های بیشتر از قدرت بی سیم ابزار وجود دارد که ما اشاره نمی کند، فقط به عنوان سیاه دکر & بوش، هنرمند، هیتاچی Kobalt Makita، پورتر کابل Ridgid و بیشتر–بسیاری از که نسبتا شبیه به یکدیگر هستند ، در حالی که دیگران کمی امکانات به منظور آنها را جدا از بقیه بسته اضافه شده. مهم ترین چیز شما باید انجام دهید، هر چند، آنها را سعی کنید در فروشگاه احساس می کند که یکی از بهترین راه حل برای شما است.

این است زیرا خود را keyed از مال ما ممکن است متفاوت باشد. در حالی که ما Ryobi توصیه می شود برای DIYer های گاه به گاه، به عنوان مثال، شما احساس تمرین قدرت ماشه نسبت به نام تجاری دیگر دوست ممکن است. و یا بی سیم اره از Makita به شما از اره مدور از دوالت سبکتر و راحت تر ممکن است احساس.

وقتی که می آید برای ابزار قدرت خرید در پایان ترجیح شخصی نقش بزرگی. پس سعی کنید آنها را در فرد به منظور بهتر برای کدام مدل بیشتر حس می کند برای شما احساس می کنید و با مارک های مختلف نترس — چسبیده با یک نام تجاری یک اکوسیستم مناسب است، اما اگر شما خودتان را به یک قدرت خاص بی سیم استفاده از آن هیچ سرگرم کننده است دیدم تمرین شما را فقط به خاطر قادر به استفاده از همان باتری برای متقابل خود آنها بدم میاید.