חלק עליון 5 הכלים הטובים ביותר לציד באגים! [2020]

7.3ק

אם החלום שלך הוא להיות צייד באגים, זה יכול להפוך למציאות…

ללמוד ציד באגים זה לא כל כך קשה.

אתה רק צריך להתקדם בכיוון הנכון.

נו, מאמר זה יכול לעזור לך קצת.

להיות צייד באגים, אתה לא צריך להיות בעל תואר או הסמכה מצוינת.

אם אתה מסור לזה.

אתה בוודאי יכול ללמוד את זה.

למעשה לאבטחת הסייבר יש הזדמנות רחבה מאוד בעתיד.

אתה יכול לראות את הצורך באבטחת סייבר במשבר הקורונה הזה.

מיהו צייד באגים?

תן לי להסביר כאילו אתה בן חמש.

הבה נניח,

שירות/אתר/אפליקציה חדש מושק.

יש לו כמה תקלות המכונות פגיעויות.

מה שאם יתגלה על ידי האקרים גרועים (כובעים שחורים), בהחלט יכול לגרום נזק לשירות זה.

כָּך, האקר טוב (כובע לבן) מוצא לתקלות (פְּגִיעוּת) ובמקום זאת על השימוש בו לטובת עצמו.

הם כן מדווחים על כך למנהל האתר או השירות.

כך שמנהל המערכת יוכל לתקן את הפגיעות הזו ולהפוך את השירות שלו לאבטח יותר.

האקר של White Hat שמוצא ומדווח על פגיעות לחברה מסוימת נקרא Bug Hunter.

אתה יכול גם לקרוא ל- Vulnerability as Bug.

אבל ציידי באגים לא עושים ציד באגים בחינם.

הם מקווים לתמורה בתמורה.

והם כן מקבלים את זה.

המנהל משלם לבאג האנטר לפי חומרת הבאג שהם גילו.

כמה מהבאגים הקריטיים ביותר הם CSRF, XSS, הזרקת SQL, וכו.

חלק עליון 5 הכלים הטובים ביותר לציד באגים! [2020]:

להלן הרשימה של כמה מהכלים הטובים ביותר לציד באגים שנמצאים בשימוש נרחב.

אם אתה רוצה ללמוד ציד באגים.

אתה בוודאי צריך ללמוד את כולם.

גַם, זה לא מאוד קשה ללמוד את הכלים האלה.

הם יכולים מאוד לעזור לך במסע שלך.

כדי ללמוד את הכלים המפורטים להלן,

אתה יכול לחפש אותו בגוגל, יוטיוב, ולקבל כמה שיותר משאבים.

#1 סוויטת BURP

כלי מפורסם מאוד בקרב האקרים.

BURP SUITE מבוסס על JAVA.

זוהי מסגרת לבדיקת חדירה לאינטרנט.

מקצועי אבטחה משתמש בכלי זה לעתים קרובות מאוד.

הוא פועל כפרוקסי יירוט.

Burp Suite עוזר לך לזהות נקודות תורפה ולאמת וקטורי התקפה המשפיעים על יישומי אינטרנט.

כלי זה לוכד ומנתח כל פוסט ופוסט ומקבל בקשה שנשלחת ומתקבלת על ידי הדפדפן לאתר.

#2 OWASP ZAP

OWASP (פתח את פרוייקט אבטחת יישומי אינטרנט) הוא ארגון עולמי ללא מטרות רווח המתמקד בשיפור אבטחת התוכנה.

זה לגמרי בחינם מכיוון שהוא חלק מקהילת OWASP.

יֶתֶר עַל כֵּן, זה קוד פתוח.

ניתן לבצע סריקות אוטומטיות פסיביות ואקטיביות באמצעות כלי זה.

אנשים אפילו משתמשים בו כחלופה ל-Burp Suite.

BURP SUITE Professional אינו בחינם.

כָּך, OWASP ZAP יכול לעזור לך בכך.

#3 דירב

DIRB הוא סורק תוכן אינטרנט.

זה מחפש קיים (ו/או מוסתרים) אובייקטי אינטרנט.

זה בעצם עובד על ידי השקת התקפה מבוססת מילון נגד שרת אינטרנט וניתוח התגובה.

אבל זה לא זמין ב-GUI.

אתה יכול להשתמש בו במסוף של לינוקס שלך.

המטרה העיקרית של DIRB היא לסייע בביקורת מקצועית של יישומי אינטרנט.

במיוחד בבדיקות הקשורות לאבטחה.

זה מכסה כמה חורים שלא מכוסים על ידי סורקי פגיעות אינטרנט קלאסיים.

#4 GoBuster

Gobuster הוא כלי המשמש לכוח גס:

• URIs (ספריות וקבצים) באתרי אינטרנט.
• תת-דומיינים של DNS (עם תמיכה בתווים כלליים).
• שמות מארח וירטואליים בשרתי אינטרנט יעד.

זה יכול לשמש גם כדי לעזור למסע צייד הבאגים שלך.

#5 NMAP

Nmap הוא סורק רשת חינמי ומקור פתוח.

NMAP היא צורה קצרה של Network Mapper.

מנהלי רשת משתמשים ב-Nmap כדי לזהות אילו מכשירים פועלים במערכות שלהם, גילוי מארחים זמינים והשירותים שהם מציעים, מציאת יציאות פתוחות ואיתור סיכוני אבטחה.

NMAP מסייעת לחוקרי אבטחה במציאת היציאות בשרת.

למרות ש-Nmap התפתח עם השנים והוא גמיש ביותר, בלב זה כלי לסריקת יציאות, איסוף מידע על ידי שליחת מנות גולמיות ליציאות המערכת.

הוא מאזין לתגובות וקובע אם יציאות פתוחות, סגור או מסונן בדרך כלשהי למשל הסיבה לחומת האש.

סיכום:

אנשים בדרך כלל מתקשים להתחיל את מסע צייד הבאגים שלהם.

רק בגלל חוסר הדרכה מתאימה.

יֶתֶר עַל כֵּן, אם אתה מסור אף אחד לא יכול לעצור אותך.

"פשוט תאמין בעצמך."

יש כמה קורסים בחינם באינטרנט.

מה שיכול לעזור לך ללמוד עוד על ציד באגים.

עצה אחת מהמחבר, "ככל שהחוויה תהיה גדולה יותר, כמה שאתה צייד חרקים טוב יותר".

כָּך, להמשיך ללמוד. אנו מקווים שמצאת ערך במאמר שלנו, אם כן, שתף אותו עם כל החברים והקרובים שלך ותודיע להם על כך.