Я пытался стать охотником за ошибками за семь дней  — вот что получилось

Это выглядело намного проще, чем было на самом деле

Несколько недель назад я наткнулся на видео Bloomberg Хакер на миллион долларов на YouTube. После просмотра этого видео меня очень заинтересовала тема видео: поиск ошибок. Поэтому я придумал для себя вызов: я попытаюсь стать охотником за ошибками за семь дней. Теперь, спустя неделю после того, как я закончил испытание, я могу с уверенностью сказать, что охота за ошибками оказалась намного сложнее, чем я ожидал.

Что такое охота за ошибками?

Как охотник за ошибками, вы ищете уязвимости корпораций и их веб-сайтов. Вы пытаетесь взломать их систему и ищете способы получить доступ к конфиденциальным данным, таким как имена пользователей, электронные письма, пароли или даже банковские счета, которые не предназначены для других. Если вы добились успеха и нашли способ получить доступ к конфиденциальным данным, вы сообщаете об этой уязвимости корпорации, которую вы взломали, чтобы они могли ее исправить. Итак, ваша цель как охотника за ошибками — узнать об уязвимостях корпораций раньше любого другого человека, который может иметь злой умысел, и сообщить о ваших находках, чтобы корпорация могла убедиться, что никто не сможет украсть данные через найденную вами уязвимость. Охотников за ошибками можно рассматривать как детективов, которые защищают Интернет и все данные, выявляя уязвимости и сводя к минимуму вероятность успешной хакерской атаки.

Начиная

Я начал свою задачу с просмотра нескольких видеороликов на YouTube о поиске ошибок. Несмотря на то, что их было не так много, я смог получить общее представление о теме. Вскоре я понял, что эта тема очень глубока: существует множество способов взлома веб-сайта, вам нужны основы множества различных языков программирования, таких как Java, Python, HTML, PHP и так далее. Вы можете использовать множество различных инструментов, которые облегчат вам взлом, и найти списки имен, паролей и команд, которые вы можете использовать. Хотя все это казалось излишним потоком информации, повторялось одно: все рекомендуют использовать Burp Suite. Burp Suite – это программа, которая может помочь вам взломать веб-сайт разными способами и упростить весь процесс. Итак, я скачал программу, и… что ж, люди были правы: Burp значительно упрощает взлом. С Burp в качестве моего инструмента и Firefox в качестве моего браузера, я начал сначала делать несколько руководств на веб-сайте Burp. Немного ошеломленный интерфейсом, я смог пройти несколько руководств, но часто меня останавливал язык. Мне кажется, что хакерство требует определенного словарного запаса, с которым вы должны быть знакомы, и для такого человека, как я, у которого почти нет опыта в программировании или хакерстве, понимание текста было довольно сложной задачей. Тем не менее, я смог понять, что мне нужно делать, и поэтому я прошел несколько, по крайней мере, простых руководств.

Весь этот процесс обучения растянулся на пару дней, когда я, наконец, захотел попробовать взломать веб-сайт без инструкций вместо учебных лабораторий Burp. Я зашел на веб-сайт HackerOne и на их обучающий сайт Hacker101 и попробовал простой Capture the Flag (CTF). Вы можете задаться вопросом, какое отношение Capture the Flag имеет к взлому, что ж, позвольте мне объяснить:

Вы заходите на сайт CTF и начинаете искать уязвимости. Попробуйте все известные вам методы, чтобы выявить уязвимости сайта. Если вы добились успеха и нашли уязвимость, вы найдете флаг, указывающий на то, что вы успешно обнаружили уязвимость. Это снова похоже на учебный веб-сайт, но на этот раз у вас нет пошаговых инструкций о том, как взломать веб-сайт и выявить его уязвимости.

Как я уже сказал, я попробовал CTF с легким рейтингом на Hacker101. Довольно быстро я смог найти один из четырех флагов, используя простой межсайтовый скриптинг (XSS). Вскоре после этого я увидел, что борюсь с собой: я понятия не имел, как действовать, что я могу сделать и как подступиться к веб-сайту и его уязвимостям. Разочарованный, я прекратил поиски после того, как не смог найти какой-либо другой флаг, и положил этому конец.

Конец

Несмотря на то, что я потерпел неудачу в CTF, я хотел попробовать взломать реальный веб-сайт. Я выбрал сайты Facebook и TikTok для своего эксперимента и хотел попытаться найти что-нибудь, что угодно. Но, к удивлению, к удивлению, я ничего не смог найти. Коды обоих веб-сайтов были зашифрованы, и их было не так легко читать, как созданные мной лаборатории, где можно было четко видеть, что вы вводите и что происходит прямо сейчас. Через пару минут я понял, что реальный сайт — это совсем другая задача, которая слишком сложна для меня с теми простыми навыками взлома, которые я изучил за семь дней. И с этим я провалил свою задачу стать охотником за ошибками за семь дней.

Вывод

Взлом — непростая задача: он требует огромного количества знаний и навыков, которые вы не можете просто получить за семь дней, мы говорим здесь о паре лет или, по крайней мере, многих месяцев, чтобы иметь возможность успешно взломать веб-сайт. и собери свою первую награду. Очень сложно поддерживать мотивацию, чтобы научиться взламывать, потому что все звучит очень сложно и запутанно, по крайней мере, для меня. Несмотря на то, что мне было довольно трудно освоить эти навыки, я уверен, что смогу это сделать, если буду продолжать учиться и просто не буду уделять мне глупое количество времени на такую ​​сложную задачу. Кроме того, я должен добавить, что этот вызов показал, что получить доступ к конфиденциальным данным не так просто, и не каждый обычный человек может легко взломать веб-сайт в течение недели и украсть данные или проникнуть в корпорацию. В общем, это испытание было для меня забавным, я постараюсь продолжать учиться и, возможно, в конце концов смогу найти свою первую уязвимость… когда-нибудь.