الفيسبوك يكرم شاب مصرى صعيدى اكتشف خطأ برمجى بالموقع

الفيسبوك يكرم شاب مصرى صعيدى اكتشف خطأ برمجى بالموقع


صفحة 1 من 2 12 الأخيرةالأخيرة
النتائج 1 إلى 10 من 15

الموضوع: الفيسبوك يكرم شاب مصرى صعيدى اكتشف خطأ برمجى بالموقع

  1. #1

    Kabar الفيسبوك يكرم شاب مصرى صعيدى اكتشف خطأ برمجى بالموقع




    قام موقع التواصل الاجتماعى الاشهر "فيسبوك" بمكافأة المبرمج المصرى الصعيدى محمد عبد الباسط بمكافأه نقدية قدرها 500$ وإدراجه بقائمة ذوى القبعات البيضاء Whitehat عما قريب نظير إبلاغه عن خطأ برمجى فى الموقع وعدم قيامه بإستخدامه بطرق غير شرعية.

    قمنا نحن فريق رصد التقنية بعمل مقابلة شخصية مع محمد والذى حكى لنا عن بداي
    اته وكيفية توصله لهذا الخطأ البرمجى.

    اولاً اهلا وسهلا بك محمد، من فضلك عرفنا بنفسك؟
    انا محمد عبدالباسط النوبى 25 سنة مبرمج حر تخرجت من كلية السياحة والفنادق جامعة المنيا عام 2009، تقنى ولى بعض التجارب مع امن المعلومات، مشهور على الانترنت بالاسم الحركى "SymbianSyMoh" هوايتي الأساسية هي البرمجة وشبكات الحواسيب والتي بدأت الانخراط فيها منذ فترة كبيره جدا تقريباً منذ عام 1999 عندما كنت اكتب بعض التطبيقات الخاصة على حاسوبي البدائي عبر لغة QBasic.

    -حدثنا عن كيف إستطعت إكتشاف ذلك الخطأ البرمجى بالموقع ؟
    قمت بالكشف عن هذا الخطأ عندما قام شخص ما بمتابعتى على فيسبوك فقمت بالضغط على ايقونة التنبيهات ومن ثم الضغط على التنبيه الخاص بالمتابعه ليدخلنى فيسبوك الى قائمة المتابعين الخاصه بى، ركزت اكتر فى الرابط URL الخاص بصفحة المتابعين فوجدته على هذه الصوره :
    h**ps://
    www.facebook.com/symbian.symoh?sk=followers&notif_ids[0]=100000304294463&notif_ids[1]=1637358400&notif_ids[2]=685173931&notif_ids
    الثغرة من نوع URL Manipulation عن طريق التلاعب بالرابط والذى يحتوى على معلومات ومتغيرات لم يتم تغليفها بالشكل الصحيح واحد منها هو المتغير notif_ids والذى بيسند له ارقام التعريف الخاصه بالملف الشخصى profile id لكل مستخدم قام بالمتابعه بحيث يعمل كمؤشر فى ترتيب قائمة المتابعين حسب توقيت المتابعه، قمت بتغيير واحد من هذه الارقام الى الرقم 4 وهو الرقم الخاص ببروفايل مؤسس فيسبوك مارك زوكربرج وبالفعل وجدته ضمن القائمة "وكأنه قام بمتابعتى من قبل" فقمت بعمل بوست لأقيس به مدى التفاعل وثقة الناس وبالفعل وجدت الكثير من الردود التى تثنى على لهذا السبب، يكمن هنا كيفية استغلالها فى التلاعب بالطرف الاخر لإقناعة بذلك وكسب الكثير من الثقه والتوصيات على سبيل المثال. ودى كانت تفاصيل الرسالة التى قمت بإرسالها الى إدارة الموقع فى البداية:

    Facebook is not verifying the followers from the server side, this is gonna lead to a url manipulation through editing the "notif_ids[x]" variable to any facebook profile id you want to be followed by and deceive anybody to get some trust and endorsement as this is a clearly known as social engineering, And i think this could lead to another malicious behave.

    -كيف كان شعورك بتقبل فيس بوك للثغرة الأمنية التي إكتشفتها ؟
    بداية من تجاربى السابقة فى التبليغ عن الثغرات الى مسؤولي الحماية بفيسبوك وكما كنت متوقع فهم عنيدى الفهم واكاد اجزم انهم يقصدون ذلك للوصول لتفاصيل جميع المعلومات الفنيه الخاصه بالخطأ فلم يقتنع الخبير الامنى فى البداية وطلب منى توضيح اكتر لبعض الجوانب الفنية فقمت بتوضيح ذلك فى صورة فيديو للعمليه كإثبات للدليل POC (Proof of concept) وقمت بإرسالة فقام بالرد علىِ بعدها وقال لى بأنه سوف يسلم التحقيق فى هذه النقطه الى خبير مختص اخر وسيستكمل معى الاخر باقى التحقيق الى ان قام الفيسبوك بإرسال رسالة لى يشكرنى فيها ويطلب منى إعادة اختبار الثغره اذا كانت تعمل من جديد بعد ترقيعها ام لا، فقمت بالتجربه والتأكيد فى رد على الرساله بأنها لا تعمل وبالفعل تم سدها فقام بعد ذلك بإرسالة الرسالة الموضحه بأنه تمت مكافأتى بـ 500$ طبقا للبرنامج الامنى للمكافأت فى فيسبوك وانه سيتم إدراجى بقائمة ذوى القبعات البيضاء عما قريب.

    -هل سبق لك أن إكتشفت ثغرات أمنية بمواقع أخرى أم في فيس بوك فقط ؟
    نعم بعض المواقع والتطبيقات على مستوى الويب والدسكتوب ولكن للأسف ليس لدى الحق فى التحدث عنها.

    ماهى انشطتك السابقة والحاليه ؟
    قمت بالمشاركة فى مسابقة Startup Weekend Assiut وقد حصلت على المركز الاول من خلال اشتراكى فى المسابقة بتطبيق يسمى "Spotivty" وهى شبكة اجتماعيه خاصة بالاماكن وتجمعات الاصدقاء حسب الاهتمامات ولى بعض الأعمال التطوعية السابقة منها المشاركة في تعريب موقع التواصل الاجتماعي Twitter والمساهمه فى إثراء المحتوى العربى من خلال إضافة المقالات فى ويكيبيديا، اما فأنا اعمل فى العديد من المؤسسات التطوعية منها صعيدي جيكس ورصد التقنية وايضاً أشغل منصب المدير التقني ومدير الموارد البشرية في مجتمع جوجل للأعمال بصعيد مصر و المشرف العام على ترجمة اللغة العربية في تطبيق Foursquare.

    -هل من نصيحة لمتعلمي البرمجة ولمكتشفي الثغرات ؟
    -الايمان بمبدأ الـ Ethical Hacking وإعلاء القيم الانسانية الحسنة عن تلك الشريرة الدفينة إفتراضياً فى النفس البشرية.
    -يجب إجادة اللغة الانجليزية.
    -إجادة لغات برمجة الويب والقيام بتنمية المهارات البرمجية دا هيساعد فى البداية لمعرفه ما هى اللغة التى تمت كتابة موقع ما بها حتى يقوم بالبحث والاستكشاف عن نقاط الضعف والابلاغ عنها.
    -دراسة الشبكات ومخدمات الانترنت وانظمتها جيداً.
    -استخدام بعض الادوات الاحترافية مثل Wireshark - Ettercap - Metasploit.
    -اجادة استخدام بعض انظمة التشغيل المخصصة للإختبارات الامنية كتوزيعات Backtrack بإصداراتها من نسخة Linux .
    -محاولة حضور بعض المؤتمرات والمسابقات المهمة جدا على مستوى العالم سواء اونلاين او الحضور الفعلى والاستفاده مثل Defcon - Pown2own.
    -الاهتمام بتنمية المهارت الامنيه من خلال البحث وايجاد المعلومة فى محركات البحث بطريقة اكثر تخصصية بالاعتماد على الذات.
    -بناء معمل اختبار امنى وهمى للقيام ببعض التجارب على سبيل المثال بواسطة تطبيقات مخصصه لذلك منها Virtual PC - VMWare - VirtualBox
    -ضرورى جداً عند قيامك بالتبليغ عن الثغرات فى اى خدمة او موقع ما قم جيداً فى البداية بقرائة التعليمات الخاصه بذلك حتى لا تخرق اى شرط من الشروط.
    -اثناء تبليغك عن ثغره معينة حاول قدر الامكان الدخول مباشرة الى صلب الموضوع بصورة واضحة وتذكر قاعدة "خير الكلام ما قل ودل".
    -الاجتهاد والتعلم الذاتى هم مفتاح الوصول لكل مبتغى.





    منقول



    حمل الافاست برنامج الفيرص الشهير
    http://www.avast.com/en-us/get/Ndzgy0vZ




  2. #2

    افتراضي رد: الفيسبوك يكرم شاب مصرى صعيدى اكتشف خطأ برمجى بالموقع

    بارك الله فيك على نقل المعلومة . وبارك الله في محمد عبد الباسط ... بالتوفيق

    لا اله الا الله محمد رسول الله




  3. #3

    افتراضي رد: الفيسبوك يكرم شاب مصرى صعيدى اكتشف خطأ برمجى بالموقع

    اقتباس المشاركة الأصلية كتبت بواسطة shhaby مشاهدة المشاركة
    بارك الله فيك على نقل المعلومة . وبارك الله في محمد عبد الباسط ... بالتوفيق
    شكرا اخي الكريم
    حمل الافاست برنامج الفيرص الشهير
    http://www.avast.com/en-us/get/Ndzgy0vZ




  4. #4
    هكر مجتهد الصورة الرمزية farissi mohssin
    تاريخ التسجيل
    Apr 2013
    الدولة
    مــــــغـــــــرب
    المشاركات
    648

    افتراضي رد: الفيسبوك يكرم شاب مصرى صعيدى اكتشف خطأ برمجى بالموقع

    بـــــــــــــارك اللـه فيك أخي

  5. #5

    افتراضي رد: الفيسبوك يكرم شاب مصرى صعيدى اكتشف خطأ برمجى بالموقع

    عاشت الايادي موضوع جميل

  6. #6

    افتراضي رد: الفيسبوك يكرم شاب مصرى صعيدى اكتشف خطأ برمجى بالموقع

    دمت بخير جميعا
    حمل الافاست برنامج الفيرص الشهير
    http://www.avast.com/en-us/get/Ndzgy0vZ




  7. #7

    افتراضي رد: الفيسبوك يكرم شاب مصرى صعيدى اكتشف خطأ برمجى بالموقع

    مشاء الله ْ

    - - - تم التحديث - - -

    دمتو بخير ْ

  8. #8

    افتراضي رد: الفيسبوك يكرم شاب مصرى صعيدى اكتشف خطأ برمجى بالموقع

    المصر طول عمرو معروف بجبروتو :d

  9. #9

    افتراضي رد: الفيسبوك يكرم شاب مصرى صعيدى اكتشف خطأ برمجى بالموقع

    ماشاء الله عليه يستحق هذا التكريم

  10. #10
    هكر مبتديء الصورة الرمزية dz roocker
    تاريخ التسجيل
    Dec 2013
    الدولة
    بلد المليون و نصف مليون شهيد
    المشاركات
    24

    افتراضي رد: الفيسبوك يكرم شاب مصرى صعيدى اكتشف خطأ برمجى بالموقع

    نعم العرب اكتشفوا اكثر من ثغرة في اهم المواقع . وهذا مايزيد سمعتنا و هيبتنا
    # jalil++
    ____________
    < metasploit >
    ------------
    \ ,__,
    \ (oo)____
    (__) )\
    ||--|| *

صفحة 1 من 2 12 الأخيرةالأخيرة

المواضيع المتشابهه

  1. مشكلة التحكم بالموقع بعد رفع على إستضافة: xpg.com.br
    بواسطة noureno-rca في المنتدى قسم المشاكل والإستفسارات
    مشاركات: 2
    آخر مشاركة: 03-31-2013, 04:53 AM
  2. مشكلة بالموقع مع الهوت سبوت
    بواسطة hack:muthm في المنتدى قسم المشاكل والإستفسارات
    مشاركات: 8
    آخر مشاركة: 11-14-2012, 09:34 PM
  3. اندكس متواضع رساله الى كل اسرائيلى على قميصه دم شهيد مصرى
    بواسطة мşħαқεŁ في المنتدى قسم إندكسات الإختراق
    مشاركات: 13
    آخر مشاركة: 10-21-2012, 10:58 PM
  4. ربط شل بالموقع أستفسآر
    بواسطة Mays في المنتدى قسم المشاكل والإستفسارات
    مشاركات: 1
    آخر مشاركة: 08-18-2010, 08:56 PM

الكلمات الدلالية لهذا الموضوع

المفضلات

أذونات المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •