https://virgool.io/feed/@kasraone باگ را شکار کنیم , کد را بهتر کنیم تیم کسری وان شرکت کسری ارتباط پارس fa 2026-06-16 08:35:08 https://files.virgool.io/upload/users/2691369/avatar/828G4t.jpg?height=120&width=120 https://virgool.io/@kasraone https://virgool.io/@kasraone/%D8%AD%D9%85%D9%84%D9%87-%D8%A7%D8%B2-%D8%B1%D8%A7%D9%87-%D8%AF%D9%88%D8%B1-%D8%A8%D9%87-%D8%B3%D8%A8%DA%A9-stuxnet-%D8%A8%D8%A7-%D8%A8%D8%AF%D8%A7%D9%81%D8%B2%D8%A7%D8%B1-plc-%D9%85%D8%A8%D8%AA%D9%86%DB%8C-%D8%A8%D8%B1-%D9%88%D8%A8-%D8%A7%D9%85%DA%A9%D8%A7%D9%86-%D9%BE%D8%B0%DB%8C%D8%B1-%D8%A7%D8%B3%D8%AA-gwceso20i5tb تیمی از محققان بدافزاری را طراحی کرده‌اند که برای هدف قرار دادن کنترل‌کننده‌های منطقی قابل برنامه‌ریزی مدرن (PLC) طراحی شده است تا نشان دهد که حملات از راه دور به سبک استاکس‌نت می‌تواند علیه چنین سیستم‌های کنترل صنعتی (ICS) انجام شود.محققان از موسسه فناوری جورجیا هستند و مقاله ای را در مورد جزئیات این پروژه امنیتی ICS منتشر کرده اند.در مورد PLC های سنتی، مهاجم می تواند لایه منطق کنترل یا لایه میان افزار را هدف قرار دهد. حملات سفت‌افزار می‌توانند سطح بالایی از کنترل دستگاه را فراهم کنند و شناسایی آن دشوار است، اما استقرار بدافزار می‌تواند چالش‌برانگیز باشد. استقرار بدافزار منطقی کنترل آسان‌تر است، اما شناسایی آن نیز آسان‌تر است. هر دوی این سناریوها مستلزم دسترسی ممتاز مهاجم به شبکه صنعتی سازمان مورد نظر است.در مورد PLC های مدرن، بسیاری از آنها دارای یک وب سرور هستند و می توان آنها را از راه دور از طریق API های اختصاصی و یک مرورگر وب معمولی که به عنوان رابط انسان و ماشین (HMI) عمل می کند، پیکربندی، کنترل و نظارت کرد.در حالی که این PLC های مدرن می توانند مزایای زیادی برای سازمان ها داشته باشند، محققان فناوری جورجیا هشدار می دهند که می توانند سطح حمله ICS را نیز به میزان قابل توجهی گسترش دهند.برای نشان دادن خطرات، محققان آنچه را که بدافزار PLC مبتنی بر وب می‌نامند، توسعه دادند که در حافظه کنترل‌کننده قرار دارد، اما در سمت کلاینت توسط دستگاه‌های مجهز به مرورگر موجود در محیط ICS اجرا می‌شود. این بدافزار می تواند از APIهای وب قانونی PLC برای ایجاد اختلال در فرآیندهای صنعتی یا آسیب رساندن به ماشین آلات سوء استفاده کند.استقرار این بدافزار جدید PLC می تواند آسان و شناسایی آن دشوار باشد. آلودگی اولیه را می توان از طریق دسترسی فیزیکی یا شبکه به HMI مبتنی بر وب هدفمند انجام داد، اما بدافزار همچنین می تواند مستقیماً از طریق اینترنت با ربودن HMI با استفاده از آسیب پذیری های متقاطع، مستقر شود.PLC-malwareپس از استقرار، قابلیت‌های بدافزار به قدرت APIهای مبتنی بر وب قانونی که استفاده می‌شوند بستگی دارد، و برخی از این APIها بسیار قدرتمند هستند. برای مثال، می‌توان از آن‌ها برای بازنویسی مستقیم مقادیر ورودی/خروجی، سوء استفاده از ورودی‌های HMI، تغییر نقاط تنظیم و تنظیمات ایمنی، جعل نمایشگر HMI، به‌روزرسانی تنظیمات سرپرست و حتی برای استخراج بی‌درنگ داده استفاده کرد.ممنونم از اینکه این پست مارا هم وقت گذاشتید و خواندید حمایت یادتون نره ❤ KASRAONE KASRAONE Thu, 07 Mar 2024 10:38:30 +0330 https://virgool.io/@kasraone/%DB%8C%DA%A9-%D8%A2%D8%B3%DB%8C%D8%A8-%D9%BE%D8%B0%DB%8C%D8%B1%DB%8C-%D8%A7%D8%AC%D8%B1%D8%A7%DB%8C-%DA%A9%D8%AF-%D8%A7%D8%B2-%D8%B1%D8%A7%D9%87-%D8%AF%D9%88%D8%B1-wxdfkzmagzpf شرحیک آسیب‌پذیری اجرای کد از راه دور به روشی وجود دارد که پروتکل Microsoft Server Message Block 3.1.1 (SMBv3) درخواست‌های خاصی را مدیریت می‌کند، با نام مستعار Windows SMBv3 Client/Server Remote Code Execution آسیب‌پذیریشدت و معیارهای CVSS V3داده های ارائه شده توسط پایگاه ملی آسیب پذیری (NVD)امتیاز پایه:10.0 بحرانیامتیاز تاثیر:6امتیاز بهره برداری:3.9ماژول های متاسپلویتexploit/windows/local/cve_2020_0796_smbghost (https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/windows/local/cve_2020_0796_smbghost.rb)exploit/windows/smb/cve_2020_0796_smbghost (https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/windows/smb/cve_2020_0796_smbghost.rb)امیدوارم از این پست بهره کافی برده باشید حمایت یادتون نره ممنون ❤ KASRAONE KASRAONE Tue, 10 Oct 2023 18:06:28 +0330 https://virgool.io/@kasraone/%D9%86%D8%B1%D9%85-%D8%A7%D9%81%D8%B2%D8%A7%D8%B1-%D8%AA%D9%82%D9%84%D8%A8%DB%8C-%D9%88-zero-days-apt-%DA%A9%D8%B1%D9%87-%D8%B4%D9%85%D8%A7%D9%84%DB%8C-%D9%85%D8%AD%D9%82%D9%82%D8%A7%D9%86-%D8%A7%D9%85%D9%86%DB%8C%D8%AA%DB%8C-%D8%B1%D8%A7-%D8%AF%D8%B1-%D8%AD%D8%A7%D9%84-%D9%87%DA%A9-%DA%A9%D8%B1%D8%AF%D9%86-%D8%AF%D8%B3%D8%AA%DA%AF%DB%8C%D8%B1-%DA%A9%D8%B1%D8%AF-pcpwjycknha9 گوگل دوباره یک بازیگر APT کره شمالی را دستگیر کرد که محققان امنیتی را با ابزارهای نرم افزاری روز صفر و تقلبی هدف قرار می دهد.North-Korea-Cyberواحد شکار تهدید گوگل دوباره یک بازیگر فعال APT کره شمالی را رهگیری کرده است که به DM محققان امنیتی رفته و از ابزارهای نرم افزاری روز صفر و دستکاری شده برای کنترل رایانه های آنها استفاده می کند.گروه تحلیل تهدیدات گوگل (TAG) روز پنجشنبه حساب‌های شبکه‌های اجتماعی تیم هکری تحت حمایت دولت را حذف کرد و هشدار داد که حداقل یک روز صفر که به طور فعال مورد سوء استفاده قرار گرفته است، استفاده می‌شود و در حال حاضر اصلاح نشده است.عامل تهدید کره شمالی با استفاده از پلتفرم هایی مانند X (جانشین توییتر) به عنوان نقطه تماس اولیه خود، با حیله گری روابطی را با محققان هدف از طریق تعاملات و گفتگوهای طولانی ایجاد کرد.در یک مورد، آنها یک گفتگوی چند ماهه انجام دادند و سعی کردند با یک محقق امنیتی در مورد موضوعات مورد علاقه مشترک همکاری کنند. پس از تماس اولیه از طریق X، آنها به یک برنامه پیام رسانی رمزگذاری شده مانند سیگنال، واتس اپ یا وایر رفتند. گوگل توضیح داد: هنگامی که رابطه ای با یک محقق هدف ایجاد شد، عوامل تهدید یک فایل مخرب را ارسال کردند که حاوی حداقل یک روز صفر در یک بسته نرم افزاری محبوب بود .گوگل بسته نرم افزاری آسیب پذیر را شناسایی نکرد.گوگل گفت که بهره‌برداری روز صفر برای نصب کد پوسته‌ای استفاده شده است که یک سری از بررسی‌های ماشین ضد مجازی را انجام می‌دهد و سپس اطلاعات جمع‌آوری‌شده را به همراه یک عکس صفحه به یک دامنه فرمان و کنترل کنترل شده توسط مهاجم ارسال می‌کند.گوگل با اشاره به اینکه نقص امنیتی به فروشنده آسیب دیده گزارش شده و در مرحله اصلاح است، گفت: «شل کد مورد استفاده در این اکسپلویت به روشی مشابه کد پوسته مشاهده شده در اکسپلویت های قبلی کره شمالی ساخته شده است.گوگل اعلام کرده است که جزئیات فنی و تجزیه و تحلیل این اکسپلویت ها را تا زمانی که یک پچ در دسترس قرار نگیرد، خودداری می کند.شکارچیان بدافزار گوگل علاوه بر هدف قرار دادن محققان با سوء استفاده های روز صفر، گروه APT را در حال توزیع یک ابزار ویندوز مستقل که هدف اعلام شده "دانلود نمادهای اشکال زدایی از سرورهای نماد مایکروسافت، گوگل، موزیلا و سیتریکس برای مهندسان معکوس" است، دستگیر کردند.کد منبع این ابزار که برای اولین بار یک سال پیش در GitHub منتشر شد، چندین بار با ویژگی هایی برای کمک به دانلود سریع و آسان اطلاعات نماد از تعدادی از منابع مختلف به روز شده است.با این حال، گوگل هشدار می دهد که این ابزار برای ربودن داده ها از ماشین های کاربر تقلب شده است.این ابزار همچنین توانایی دانلود و اجرای کد دلخواه را از یک دامنه تحت کنترل مهاجم دارد. اگر این ابزار را دانلود یا اجرا کرده اید، TAG توصیه می کند اقدامات احتیاطی را انجام دهید تا مطمئن شوید که سیستم شما در وضعیت تمیز شناخته شده ای قرار دارد و احتمالاً نیاز به نصب مجدد سیستم عامل دارد.این اولین مورد مستندی نیست که هکرهای دولت کره شمالی محققان امنیتی را هدف قرار می دهند، به ویژه آنهایی که در فضای تهاجمی فعالیت می کنند.در ژانویه 2021، گوگل یک «نهاد تحت حمایت دولت مستقر در کره شمالی» را دستگیر کرد که سیستم‌های رایانه‌ای متعلق به محققان امنیتی را که در زمینه تحقیق و توسعه آسیب‌پذیری در شرکت‌ها و سازمان‌های مختلف کار می‌کنند، هدف قرار داده و هک می‌کند.ممنون و قدر دانیما بسیار سپاسگزاریم که این خبر را مطالعه کرده‌اید و برای خواندن این خبر، متشکریم. همچنین، از شما دعوت می‌کنیم تا ما را دنبال کنید تا به روز با جدیدترین اخبار تکنولوژی باشید. KASRAONE KASRAONE Tue, 12 Sep 2023 13:31:31 +0330 https://virgool.io/@kasraone/%D8%A2%D8%B3%DB%8C%D8%A8-%D9%BE%D8%B0%DB%8C%D8%B1%DB%8C-cross-site-scripting-xss-fmgk2plmsp7i Cross Site Scripting (XSS)این باگ گزارش شده است و در صورت لزوم از کارفرما خواسته میشود تا اطلاعات بیشتر و کشف شده انتشار عمومی بدهیم (عکس)در ادامه این توضیح شما با دو نوع اصلی از حملات XSS آشنا میشوید موفق باشید :)Cross-Site Scripting (XSS) یکی از مهمترین و رایج‌ترین باگ‌های امنیتی در وب است. این باگ به تهدید امنیتی جدی در برنامه‌ها و وب‌سایت‌ها منجر می‌شود. در XSS، حمله‌کننده توانایی تزریق کدهای مخرب (معمولاً JavaScript) را در صفحات وب‌سایت یا برنامه‌های وب دیگر به صورت مخفی دارد. سپس این کدها در مرورگر کاربران دیگر اجرا می‌شوند.برای توضیح بهتر، دو نوع اصلی از حملات XSS را برای شما توضیح می‌دهم:1. Reflected XSS (حمله XSS بازتابی):در این نوع حمله، حمله‌کننده یک لینک یا فرم تقلبی (phishing) را به کاربران ارسال می‌کند. این لینک یا فرم تقلبی حاوی کد JavaScript مخرب است که در زمان اجرا توسط مرورگر کاربر اجرا می‌شود. به عبارت دیگر، کاربران به خود ناخودآگاه کدهای مخرب را اجرا می‌کنند.مثال:فرض کنید یک وب‌سایت جستجوی محصولات دارید و در صفحه جستجو، اطلاعات ورودی کاربر (مانند نام محصول) بدون اعتبارسنجی به عنوان یک پارامتر در URL درخواست قرار می‌دهد. حمله‌کننده یک URL تقلبی می‌سازد که حاوی کد JavaScript مخرب است و این URL را به یک کاربر ناشناخته ارسال می‌کند. اگر کاربر این URL را باز کند، کد JavaScript مخرب اجرا می‌شود و می‌تواند اطلاعات حساس کاربر را دزدیده یا کارهای مخربی انجام دهد.2. Stored XSS (حمله XSS ذخیره‌شده):در این نوع حمله، کد مخرب توسط حمله‌کننده به یک داده ذخیره شده در وب‌سایت یا برنامه‌ی وب دیگر تزریق می‌شود. این داده معمولاً به عنوان نظرات کاربران، پست‌های انجمن، یا ایمیل‌ها در وب‌سایت‌ها استفاده می‌شود. همچنین، این نوع حمله به عنوان "مستقر شده" نیز شناخته می‌شود.مثال:در یک وبلاگ، کاربران می‌توانند نظرات خود را بنویسند. حمله‌کننده یک نظر می‌نویسد که حاوی کد JavaScript مخرب است. این نظر مخرب ذخیره می‌شود و در صفحه نظرات به نمایش درآمده و توسط همه کاربران دیده می‌شود. هر کاربری که صفحه نظرات را باز کند، کد JavaScript مخرب اجرا می‌شود و ممکن است به اطلاعات حساس یا کوکی‌های کاربر دسترسی پیدا کند.حفاظت در برابر حملات XSS بسیار مهم است و از توسعه‌دهندگان و مدیران وب خواسته می‌شود که از روش‌های اعتبارسنجی و جلوگیری از تزریق کدهای مخرب به صفحات وب استفاده کنند.تشکرما بسیار سپاسگزاریم که این متن را مطالعه کرده‌اید و برای خواندن این متن، متشکریم. همچنین، از شما دعوت می‌کنیم تا ما را دنبال کنید تا به روز با جدیدترین اخبار تکنولوژی باشید. KASRAONE KASRAONE Thu, 07 Sep 2023 12:33:13 +0330 https://virgool.io/@kasraone/%D9%86%D9%82%D8%B5-%D8%A7%D9%81%D8%B2%D9%88%D9%86%D9%87-%D9%88%D8%B1%D8%AF%D9%BE%D8%B1%D8%B3-ninja-forms-%D8%A8%D9%87-%D9%87%DA%A9%D8%B1%D9%87%D8%A7-%D8%A7%D8%AC%D8%A7%D8%B2%D9%87-%D9%85%DB%8C-%D8%AF%D9%87%D8%AF-%D8%AA%D8%A7-%D8%AF%D8%A7%D8%AF%D9%87-%D9%87%D8%A7%DB%8C-%D8%A7%D8%B1%D8%B3%D8%A7%D9%84-%D8%B4%D8%AF%D9%87-%D8%B1%D8%A7-%D8%A8%D8%AF%D8%B2%D8%AF%D9%86%D8%AF-nmxdtjz6sa7i Ninja Formsافزونه محبوب فرم‌سازی وردپرس Ninja Forms شامل سه آسیب‌پذیری است که می‌تواند به مهاجمان اجازه دهد تا به افزایش امتیاز دست یابند و داده‌های کاربر را بدزدند.محققان  Patchstack  این سه آسیب‌پذیری را در ۲۲ ژوئن ۲۰۲۳ به توسعه‌دهنده افزونه، Saturday Drive، کشف و افشا کردند و هشدار دادند که این سه آسیب‌پذیری بر نسخه‌های ۳.۶.۲۵ و بالاتر NinjaForms تأثیر می‌گذارد.توسعه دهندگان نسخه 3.6.26 را در 4 جولای 2023 برای رفع آسیب پذیری ها منتشر کردند. با این حال،  آمار WordPress.org  نشان می‌دهد که تنها نیمی از کاربران NinjaForms آخرین نسخه را دانلود کرده‌اند و حدود 400000 سایت را در برابر حملات آسیب‌پذیر کرده‌اند.?آسیب پذیری هااولین آسیب‌پذیری کشف‌شده توسط Patchstack،  CVE-2023-37979 است، یک نقص XSS منعکس‌شده مبتنی بر POST (اسکریپت‌نویسی متقابل) که به کاربران احراز هویت نشده اجازه می‌دهد تا امتیازات خود را افزایش داده و با فریب دادن کاربران ممتاز برای بازدید از یک صفحه وب ساخته‌شده خاص، اطلاعات را بدزدند.دومین و سومین مشکل که به ترتیب با نام‌های  CVE-2023-38393  و  CVE-2023-38386 ردیابی می‌شوند، مشکلات کنترل دسترسی شکسته در ویژگی صادرات فرم ارسالی افزونه است که به مشترکین و مشارکت‌کنندگان اجازه می‌دهد همه داده‌هایی را که کاربران در آن ارسال کرده‌اند صادر کنند. سایت تحت تاثیر وردپرساگرچه این مشکلات به‌عنوان با شدت بالا رتبه‌بندی می‌شوند، CVE-2023-38393 به‌ویژه خطرناک است زیرا ملاقات با کاربر نقش مشترک مورد نیاز آسان است.هر سایتی که از عضویت و ثبت نام کاربر پشتیبانی می‌کند، در صورت استفاده از نسخه آسیب‌پذیر پلاگین Ninja Forms، به دلیل آن نقص، در معرض حوادث نقض گسترده داده‌ها قرار می‌گیرد.تابع پردازشی که حاوی CVE-2023-38393 وصله‌های اعمال‌شده توسط فروشنده در نسخه 3.6.26 شامل افزودن بررسی‌های مجوز برای مشکلات کنترل دسترسی شکسته و محدودیت‌های دسترسی عملکرد است که از راه‌اندازی XSS شناسایی‌شده جلوگیری می‌کند.گزارش عمومی ایرادات فوق بیش از سه هفته به تعویق افتاد تا از جلب توجه هکرها به نقص‌ها جلوگیری شود و در عین حال به کاربران Ninja Form اجازه داده شود وصله کنند. با این حال، هنوز تعداد قابل توجهی وجود دارد که در حال حاضر این کار را نکرده اند.پوشش Patchstack حاوی اطلاعات فنی دقیق در مورد سه نقص است، بنابراین بهره برداری از آنها برای عوامل تهدید آگاه باید بی اهمیت باشد.با این اوصاف، به تمامی مدیران وبسایتی که از افزونه Ninja Forms استفاده می کنند، توصیه می شود در اسرع وقت به نسخه 3.6.26 یا بالاتر به روز رسانی کنند. اگر این امکان پذیر نیست، مدیران باید افزونه را از سایت های خود غیرفعال کنند تا زمانی که بتوانند پچ را اعمال کنند.تشکرما بسیار سپاسگزاریم که این متن را مطالعه کرده‌اید و برای خواندن این خبر، متشکریم. همچنین، از شما دعوت می‌کنیم تا ما را دنبال کنید تا به روز با جدیدترین اخبار تکنولوژی باشید. KASRAONE KASRAONE Wed, 06 Sep 2023 10:23:35 +0330 https://virgool.io/@kasraone/%DB%8C%D9%88%D8%B3%D9%81-%D8%B3%D8%A7%D9%85%D9%88%D8%AF%D8%A7-%D8%B4%DA%A9%D8%A7%D8%B1%DA%86%DB%8C-%D8%A8%D8%A7%DA%AF-%D8%A8%D8%A7%D9%88%D9%86%D8%AA%DB%8C-xn9kscoucxee bug bounty hunterیوسف سامودا یک محقق امنیتی تونسی است که بر برنامه‌های پاداش باگ تمرکز می‌کند. او خود را به عنوان "محقق آسیب پذیری با جذابیت به برنامه های کاربردی وب و آسیب پذیری های امنیتی که آنها را تحت تاثیر قرار می دهد" توصیف می کند. او در سال های 2021، 2020 و 2019 مقام اول را در برنامه Whitehat فیس بوک به دست آورد.استارت کاره خود به عنوان شکارچی باگ او گفت: «در پنج سال گذشته (یعنی از اواسط تا اواخر نوجوانی‌اش) روی انجام ارزیابی‌های آسیب‌پذیری در برخی از بزرگترین شرکت‌های جهان، عمدتاً متا و گوگل، و شرکت در مسابقات هک تمرکز کرده‌ام. . همچنین در حال حاضر به عنوان مشاور امنیتی در شرکت های نوپا کار می کنم.این سفر در اوایل زندگی او آغاز شد. او از دوازده سالگی برنامه نویسی را آغاز کرد – اما بدون هیچ شغلی برای فردی که هنوز در سنین نوجوانی اش نبوده است، «من مسیر هک عمومی و تست نفوذ را دنبال کردم. انجام این کار از نظر قانونی آسان نبود. نگرش امروزی نسبت به تحقیقات Whitehat وجود نداشت. و هیچ برنامه پاداش باگ برای رسمی کردن قانونی بودن وجود نداشت. یوسف سامودااما به جای جایزه، همانطور که در یک برنامه جایزه باگ اتفاق می‌افتد، فرماندار ایالت دستور داد تا سربازان ایالتی با هدف بررسی اتهامات جنایی (به دلیل هک) علیه روزنامه‌نگار تحقیق کنند. در پایان، هیچ اتهامی مطرح نشد زیرا هیچ هک رخ نداده است. یک عنصر کلیدی برای هک، اجتناب یا دور زدن فرآیندهای احراز هویت است – اما هیچ فرآیند احراز هویت وجود نداشت: داده ها به وضوح در HTML قابل مشاهده بودند که توسط هرکسی با مرورگر قابل مشاهده بود.برای جلوگیری از هرگونه مشکل قانونی، سامودا به مسابقات Capture the Flag (CTF) روی آورد تا مهارت‌های خود را تقویت کند و دانشی در زمینه امنیت برنامه‌های وب و موبایل به دست آورد. با گذشت سالها، او به نقطه ای رسید که می توانست بین کار آزاد یا پیوستن به یک شرکت به عنوان مهندس امنیت اپلیکیشن یکی را انتخاب کند. در همین دوره، برنامه‌های پاداش باگ به عنوان یک منبع درآمد بالقوه برای یک محقق ظاهر شد.یوسف در جواب به سیکیوریتی ویک چه گفت و چرا گفت کارمند یک شرکت نمیشوماو به سکیوریتی ویک گفت: «میل به کار برای خودم قوی‌تر از تمایل به کار در یک شرکت بود . «احساس می‌کردم که اگر برای شرکتی مانند فیس‌بوک کار کنم، به زیرساخت‌های آن‌ها گره می‌خورم و با رویکردهای آن‌ها محدود می‌شوم. من این را نمی خواستم. من چیزی می خواستم که بتوانم همیشه چیزهای جدیدی را با فناوری های جدید یاد بگیرم. به‌عنوان یک محقق، من به‌جای یک شرکت، به‌طور مؤثر برای و با هر شرکتی کار می‌کنم.»و به این ترتیب، یک شکارچی پاداش حشرات مستقل متولد شد.رویکرد و درآمدSammouda یک شکارچی موفق جایزه است. او به SecurityWeek گفت: «با متا و گوگل، من سالانه حدود 400000 دلار درآمد دارم . در دوازده ماه گذشته، نزدیک به 900000 دلار بود. به طور کلی، او تاکنون حدود 140 باگ پیدا کرده است - حدود 120 باگ در فیس بوک و 20 باقی مانده در گوگل و چند شرکت بزرگ دیگر. بنابراین، او چگونه این کار را انجام می دهد؟این تا حد زیادی در مورد آماده سازی و برنامه ریزی است. برنامه ریزی در یک رویکرد حرفه ای به کار خود را نشان می دهد. میزان درآمد شما به کمیت و کیفیت اشکالاتی که در هر سال پیدا می کنید بستگی دارد. اما می توانید در صفحه سیاست برنامه متوجه شوید که برای یک اشکال خاص چقدر پرداخت شده است. و می توانید سال خود را با ارزش تخمینی میزان درآمدتان در طول سال برنامه ریزی کنید. او به برنامه ریزی جریان نقدی توجه می کند.این آمادگی از سال‌هایی حاصل می‌شود که او از زمانی که برنامه‌نویسی را در دوازده سالگی شروع کرد و در مسابقات Capture the Flag شرکت کرد، برای یادگیری حرفه‌اش گذراند. اکنون او مطمئن است که هر زمان که شروع به جستجو کند، یک اشکال را پیدا خواهد کرد.وسوسه سمت تاریکاکثر محققان حداقل از پتانسیل فروش آسیب پذیری های کشف شده به مجرمان در وب تاریک آگاه هستند. سامودا یک کد اخلاقی قوی دارد و هرگز شخصاً وسوسه نشده است. او توضیح داد: «در گذشته، هکرها باید کلاه سیاه می‌بودند، زیرا این تنها راه کسب درآمد از مهارت‌های آنها بود. اما امروزه فکر نمی کنم لازم باشد. با چیزهایی مانند شکار جایزه حشرات و برنامه‌های مشابه، می‌توانید میلیون‌ها دلار به‌طور قانونی کسب کنید – بنابراین کلاه سیاه بودن منطقی نیست.جدای از منطق، این به قوانین اخلاقی شخصی او برمی گردد. او ادامه داد: «برای من، جدای از موهبت‌ها، احساس می‌کنم باید از کاربران محافظت کنم. با مهارت‌هایم احساس وظیفه می‌کنم که از کاربران آنلاین محافظت کنم.»پیشنهاداتی وجود دارد مبنی بر اینکه ژئوپلیتیک می تواند در تفاوت بین کلاه سیاه و کلاه سفید بودن نقش داشته باشد. یعنی در برخی از مناطق جغرافیایی ممکن است کسب سود صادقانه از تحقیقات دشوارتر باشد. او پاسخ داد: «من در تونس زندگی می‌کنم، و هرگز احساس نکرده‌ام که انجام جایزه‌های حشرات از هر نقطه‌ای در جهان غیرممکن است. اولاً، این کار آنلاین است. ثانیاً پاداش‌ها معقول هستند و می‌توانید با ارز دیجیتال پول دریافت کنید. بنابراین، می‌توانید از هر کجای دنیا جایزه‌های باگ را انجام دهید. درست است که برخی از محققان ممکن است ترجیح دهند در برخی زمینه ها برای دولت خود کار کنند، اما همیشه انتخاب درستی وجود دارد KASRAONE KASRAONE Sun, 06 Aug 2023 16:16:33 +0330