色综合视频-色综合色综合色综合网址-色综合色狠狠天天久久婷婷基地-色综合日本-色综合欧美综合天天综合-色综合欧美色综合七久久

　　來自阿富汗的亞洲技術(shù)與創(chuàng)新大學（APU）的網(wǎng)絡(luò)安全學生易卜拉欣·穆罕默德·伊克巴爾（Ibrahim Mohammad Iqbal）已經(jīng)將他的熱情轉(zhuǎn)化為有影響力的貢獻，贏得了NASA的認可，并向五角大樓等主要組織報告了400多個漏洞。

　　在過去的幾年里，來自阿富汗的亞太科技與創(chuàng)新大學（APU）的二年級網(wǎng)絡(luò)安全學生易卜拉欣·穆罕默德·伊克巴爾，已經(jīng)將他對網(wǎng)絡(luò)安全的深深熱情顯著轉(zhuǎn)化為對全球主要組織影響的重大貢獻。

　　迄今為止，他最顯著的成就之一是獲得了“美國國家航空航天局（NASA）”的官方表彰。

　　在一次例行的Google Dorking演習中（他用來發(fā)現(xiàn)公開暴露的數(shù)據(jù)的技術(shù)），易卜拉欣偶然發(fā)現(xiàn)了一個NASA域，無意中泄露了敏感的內(nèi)部員工信息。

　　這包括大量電子郵件、姓名、電話號碼和地址，所有這些都令人擔憂地無需任何形式的身份驗證即可訪問。

　　易卜拉欣表現(xiàn)出值得稱道的責任感，他迅速通過NASA的漏洞披露計劃（VDP）報告了他的發(fā)現(xiàn)。

　　為了表彰他的發(fā)現(xiàn)的價值，NASA向他頒發(fā)了一封簽名的感謝信。

　　“那一刻意義重大，”易卜拉欣回憶道，“但這并不是唯一的時刻。通過HackerOne和Bugcrowd等負責任的披露平臺，這位勤奮的學生報告了400多個漏洞，令人震驚。

　　正式認可他寶貴工作的組織名單令人印象深刻，其中包括Google、TikTok、Dropbox、IBM、Yahoo和Sony等科技巨頭，以及Red Hat、Square、FIS、Line、InDrive等行業(yè)領(lǐng)導者，甚至美國國防部和荷蘭政府等政府機構(gòu)。

　　他對細節(jié)的敏銳眼光還導致在廣泛使用的WordPress插件“Poll Maker”中發(fā)現(xiàn)并負責任地披露了一個競爭條件漏洞，該漏洞允許未經(jīng)授權(quán)的用戶進行多次投票。

　　在Ibrahim與Patchstack的協(xié)調(diào)努力下，該漏洞得到了及時解決，并在5.7.8版本中發(fā)布了補丁。

　　對他來說，“不需要頭銜或工作就能有所作為，只需要好奇心、責任感和在別人忽視時采取行動的勇氣。

　　NASA發(fā)現(xiàn)：易卜拉欣有條不紊的方法

　　當被問及他為發(fā)現(xiàn)NASA漏洞而采取的確切步驟時，易卜拉欣對他的方法提供了引人入勝的見解。

　　“在開始任何測試之前，”Ibrahim解釋說，“我仔細審查了NASA漏洞披露計劃的范圍和規(guī)則，以確保我保持在允許的范圍內(nèi)。

　　他的第一步涉及詳盡的子域枚舉，他首先使用Subfinder等工具收集盡可能多的子域，該工具生成了一長串子域，如example.nasa.gov、test.nasa.gov等。

　　為了優(yōu)化他的搜索，Ibrahim采用了一種巧妙的交叉引用技術(shù)，使用Google Dorking來縮小范圍，交叉檢查結(jié)果并使用site：*.nasa.gov等查詢來識別索引的子域。

　　然后，他使用site：example.nasa.gov過濾掉了他在Subfinder結(jié)果中已經(jīng)找到的那些。

　　這幫助他發(fā)現(xiàn)了被Google公開索引但未被自動化工具檢測到的子域，這通常意味著它們被忽視并且可能更容易受到攻擊。

　　“經(jīng)過將近一周的篩選和分析，一個子域引起了我的注意。它不在我的Subfinder結(jié)果中，但出現(xiàn)在Google中。當我訪問它時，頁面起初似乎是空的，但我很想更深入地挖掘。

　　他的好奇心促使他探索歷史數(shù)據(jù)，在那里他使用Wayback Machine的CDX API檢查其歷史內(nèi)容并檢索子域的存檔URL列表。

　　其中一個URL包含值為2026的year參數(shù)。他開始測試不同的值并將其從2026更改為2025，并注意到頁面變得無響應，這表明后臺正在加載大量數(shù)據(jù)。

　　他的堅持得到了回報。該頁面加載并暴露了敏感的內(nèi)部員工數(shù)據(jù)，如全名、電子郵件地址、電話號碼和地址，所有這些都是公開可見的，無需任何登錄或訪問控制。

　　“一旦我確認了這個問題，我就記錄了所有內(nèi)容，并通過NASA的官方VDP平臺提交了一份詳細的報告，并遵循適當?shù)呢撠熑蔚呐恫襟E。

　　“這一發(fā)現(xiàn)并不依賴于先進的工具;主要是手動偵察、智能過濾、使用Google和Wayback Machine等開放工具，以及大量的耐心。

　　Ibrahim的優(yōu)先級和工作流程

　　Ibrahim擁有400多個報告漏洞的令人印象深刻的記錄，他闡明了他對優(yōu)先級和管理的戰(zhàn)略方法。

　　“我通常首先根據(jù)兩個主要因素選擇目標：漏洞的潛在影響和找到有意義事物的現(xiàn)實機會，”他解釋說。

　　“我專注于對所用技術(shù)有深入了解的平臺和程序，這讓我能夠發(fā)現(xiàn)自動掃描儀可能遺漏的邏輯缺陷或錯誤配置。”

　　在深入研究任何測試之前，他會花時間仔細研究項目范圍和文檔，為了管理如此大量的結(jié)果，他依賴于自動化和手動測試的混合。

　　例如，他使用工具來處理基本偵察，例如收集子域或爬取端點，但他總是手動分析應用程序的行為，以查找更深層次的、不明顯的問題，例如業(yè)務邏輯缺陷、競爭條件或配置錯誤的訪問控制。

　　“對我來說，有一種漏洞很突出，起初我?guī)缀鹾雎粤耍蔷褪菢I(yè)務邏輯缺陷，它不依賴于任何技術(shù)漏洞，而是依賴于應用程序如何處理特定的用戶作。

　　“掃描儀永遠無法捕捉到它。歸根結(jié)底，要跳出框框思考，了解真正的黑客如何以意想不到的方式濫用正常功能。

　　對他來說，這有趣的地方在于，它不是關(guān)于利用深層的技術(shù)復雜性;這是關(guān)于知道去哪里尋找，像真正的攻擊者一樣思考，并在許多人認為安全的功能中測試基于時間的行為。

　　Ibrahim講述了一個令人信服的例子，說明他在大學模塊中激發(fā)的天生好奇心如何導致一項意想不到但重要的網(wǎng)絡(luò)安全發(fā)現(xiàn)。

　　“在我最喜歡的講師之一Shahab Alizadeh先生的系統(tǒng)和網(wǎng)絡(luò)管理課上，真正捕捉到好奇心如何導致意想不到的發(fā)現(xiàn)，”Ibrahim分享道。

　　“在整個課程中，我們親身體驗了Red Hat系統(tǒng)，設(shè)置服務、管理權(quán)限和配置安全設(shè)置。那次曝光激發(fā)了我的好奇心;我開始想知道這些系統(tǒng)到底有多安全，尤其是在實際部署中。

　　“在課程結(jié)束時，我的朋友Nor和Osama剛剛進入網(wǎng)絡(luò)安全領(lǐng)域，他們開玩笑地向我提出挑戰(zhàn)，看看誰能先找到Red Hat中的漏洞。一開始是一個有趣、友好的賭注，但我認真對待它。

　　回顧這次經(jīng)歷，Ibrahim總結(jié)道：“最初只是一個隨意的課堂挑戰(zhàn)和一點好奇心，最終變成了公認的漏洞披露。

　　“那次經(jīng)歷提醒了我，如果以正確的心態(tài)處理，即使是一次講座或一次友好的賭注，最小的火花也能帶來有影響力的事情。”

　　平衡學術(shù)界和漏洞賞金

　　作為一名積極參與廣泛的漏洞賞金工作的網(wǎng)絡(luò)安全專業(yè)學生，Ibrahim分享了他管理時間和繼續(xù)獲得新技能的策略。

　　“平衡大學學習和漏洞賞金工作可能具有挑戰(zhàn)性，但隨著時間的推移，我已經(jīng)開發(fā)了一個系統(tǒng)，讓我可以在這兩方面保持高效，”Ibrahim解釋說。

　　對他幫助最大的事情之一是自動化。他構(gòu)建了自己的自定義工具和腳本，這些工具和腳本在后臺持續(xù)運行，掃描特定類型的漏洞，并監(jiān)控公共資產(chǎn)。

　　即使他專注于作業(yè)或課堂，這些工具也能繼續(xù)工作，這有助于他保持高效而不會筋疲力盡。

　　“我還將bug賞金視為我在課堂上學到的知識的延伸。例如，如果我們正在研究系統(tǒng)安全或Web架構(gòu)，我會立即嘗試將這些知識應用于實際測試。這不僅有助于強化理論，而且讓我保持參與和積極性。

　　易卜拉欣通常以將學術(shù)責任與研究和尋找錯誤分開的方式安排他的一周，他不會每天強迫自己尋找漏洞;相反，他專注于隨著時間的推移建立一致性和勢頭。

　　“我相信人工智能（AI）將塑造網(wǎng)絡(luò)安全進攻和防守的未來。我的長期目標是將我在道德黑客方面的經(jīng)驗與AI技術(shù)相結(jié)合，創(chuàng)造更智能、更快速、更具可擴展性的方法來檢測和預防漏洞。

　　他還對對抗性機器學習、模型中毒以及使用AI自動進行漏洞分類和漏洞利用檢測等領(lǐng)域特別感興趣，他已經(jīng)開始嘗試將AI集成到漏洞賞金工作流程中的小型項目，并希望在未來幾年進一步發(fā)展。

　　“AI不僅僅是一種工具;這是安全領(lǐng)域的一個新領(lǐng)域。我想?yún)⑴c塑造我們?nèi)绾呜撠熑巍⒂行У厥褂盟鼇肀Ｗo系統(tǒng)。

　　“事實上，我計劃將我的最后一年項目重點放在網(wǎng)絡(luò)安全和AI之間的這個確切交叉點上，以更深入地探索其實際應用和挑戰(zhàn)。”