精品伊人久久_免费日韩成人_国产精品18久久久久久久久_日韩三区视频_在线观看成人高清_岛国一区

　　來自阿富汗的亞洲技術與創新大學（APU）的網絡安全學生易卜拉欣·穆罕默德·伊克巴爾（Ibrahim Mohammad Iqbal）已經將他的熱情轉化為有影響力的貢獻，贏得了NASA的認可，并向五角大樓等主要組織報告了400多個漏洞。

　　在過去的幾年里，來自阿富汗的亞太科技與創新大學（APU）的二年級網絡安全學生易卜拉欣·穆罕默德·伊克巴爾，已經將他對網絡安全的深深熱情顯著轉化為對全球主要組織影響的重大貢獻。

　　迄今為止，他最顯著的成就之一是獲得了“美國國家航空航天局（NASA）”的官方表彰。

　　在一次例行的Google Dorking演習中（他用來發現公開暴露的數據的技術），易卜拉欣偶然發現了一個NASA域，無意中泄露了敏感的內部員工信息。

　　這包括大量電子郵件、姓名、電話號碼和地址，所有這些都令人擔憂地無需任何形式的身份驗證即可訪問。

　　易卜拉欣表現出值得稱道的責任感，他迅速通過NASA的漏洞披露計劃（VDP）報告了他的發現。

　　為了表彰他的發現的價值，NASA向他頒發了一封簽名的感謝信。

　　“那一刻意義重大，”易卜拉欣回憶道，“但這并不是唯一的時刻。通過HackerOne和Bugcrowd等負責任的披露平臺，這位勤奮的學生報告了400多個漏洞，令人震驚。

　　正式認可他寶貴工作的組織名單令人印象深刻，其中包括Google、TikTok、Dropbox、IBM、Yahoo和Sony等科技巨頭，以及Red Hat、Square、FIS、Line、InDrive等行業領導者，甚至美國國防部和荷蘭政府等政府機構。

　　他對細節的敏銳眼光還導致在廣泛使用的WordPress插件“Poll Maker”中發現并負責任地披露了一個競爭條件漏洞，該漏洞允許未經授權的用戶進行多次投票。

　　在Ibrahim與Patchstack的協調努力下，該漏洞得到了及時解決，并在5.7.8版本中發布了補丁。

　　對他來說，“不需要頭銜或工作就能有所作為，只需要好奇心、責任感和在別人忽視時采取行動的勇氣。

　　NASA發現：易卜拉欣有條不紊的方法

　　當被問及他為發現NASA漏洞而采取的確切步驟時，易卜拉欣對他的方法提供了引人入勝的見解。

　　“在開始任何測試之前，”Ibrahim解釋說，“我仔細審查了NASA漏洞披露計劃的范圍和規則，以確保我保持在允許的范圍內。

　　他的第一步涉及詳盡的子域枚舉，他首先使用Subfinder等工具收集盡可能多的子域，該工具生成了一長串子域，如example.nasa.gov、test.nasa.gov等。

　　為了優化他的搜索，Ibrahim采用了一種巧妙的交叉引用技術，使用Google Dorking來縮小范圍，交叉檢查結果并使用site：*.nasa.gov等查詢來識別索引的子域。

　　然后，他使用site：example.nasa.gov過濾掉了他在Subfinder結果中已經找到的那些。

　　這幫助他發現了被Google公開索引但未被自動化工具檢測到的子域，這通常意味著它們被忽視并且可能更容易受到攻擊。

　　“經過將近一周的篩選和分析，一個子域引起了我的注意。它不在我的Subfinder結果中，但出現在Google中。當我訪問它時，頁面起初似乎是空的，但我很想更深入地挖掘。

　　他的好奇心促使他探索歷史數據，在那里他使用Wayback Machine的CDX API檢查其歷史內容并檢索子域的存檔URL列表。

　　其中一個URL包含值為2026的year參數。他開始測試不同的值并將其從2026更改為2025，并注意到頁面變得無響應，這表明后臺正在加載大量數據。

　　他的堅持得到了回報。該頁面加載并暴露了敏感的內部員工數據，如全名、電子郵件地址、電話號碼和地址，所有這些都是公開可見的，無需任何登錄或訪問控制。

　　“一旦我確認了這個問題，我就記錄了所有內容，并通過NASA的官方VDP平臺提交了一份詳細的報告，并遵循適當的負責任的披露步驟。

　　“這一發現并不依賴于先進的工具;主要是手動偵察、智能過濾、使用Google和Wayback Machine等開放工具，以及大量的耐心。

　　Ibrahim的優先級和工作流程

　　Ibrahim擁有400多個報告漏洞的令人印象深刻的記錄，他闡明了他對優先級和管理的戰略方法。

　　“我通常首先根據兩個主要因素選擇目標：漏洞的潛在影響和找到有意義事物的現實機會，”他解釋說。

　　“我專注于對所用技術有深入了解的平臺和程序，這讓我能夠發現自動掃描儀可能遺漏的邏輯缺陷或錯誤配置。”

　　在深入研究任何測試之前，他會花時間仔細研究項目范圍和文檔，為了管理如此大量的結果，他依賴于自動化和手動測試的混合。

　　例如，他使用工具來處理基本偵察，例如收集子域或爬取端點，但他總是手動分析應用程序的行為，以查找更深層次的、不明顯的問題，例如業務邏輯缺陷、競爭條件或配置錯誤的訪問控制。

　　“對我來說，有一種漏洞很突出，起初我幾乎忽略了，那就是業務邏輯缺陷，它不依賴于任何技術漏洞，而是依賴于應用程序如何處理特定的用戶作。

　　“掃描儀永遠無法捕捉到它。歸根結底，要跳出框框思考，了解真正的黑客如何以意想不到的方式濫用正常功能。

　　對他來說，這有趣的地方在于，它不是關于利用深層的技術復雜性;這是關于知道去哪里尋找，像真正的攻擊者一樣思考，并在許多人認為安全的功能中測試基于時間的行為。

　　Ibrahim講述了一個令人信服的例子，說明他在大學模塊中激發的天生好奇心如何導致一項意想不到但重要的網絡安全發現。

　　“在我最喜歡的講師之一Shahab Alizadeh先生的系統和網絡管理課上，真正捕捉到好奇心如何導致意想不到的發現，”Ibrahim分享道。

　　“在整個課程中，我們親身體驗了Red Hat系統，設置服務、管理權限和配置安全設置。那次曝光激發了我的好奇心;我開始想知道這些系統到底有多安全，尤其是在實際部署中。

　　“在課程結束時，我的朋友Nor和Osama剛剛進入網絡安全領域，他們開玩笑地向我提出挑戰，看看誰能先找到Red Hat中的漏洞。一開始是一個有趣、友好的賭注，但我認真對待它。

　　回顧這次經歷，Ibrahim總結道：“最初只是一個隨意的課堂挑戰和一點好奇心，最終變成了公認的漏洞披露。

　　“那次經歷提醒了我，如果以正確的心態處理，即使是一次講座或一次友好的賭注，最小的火花也能帶來有影響力的事情。”

　　平衡學術界和漏洞賞金

　　作為一名積極參與廣泛的漏洞賞金工作的網絡安全專業學生，Ibrahim分享了他管理時間和繼續獲得新技能的策略。

　　“平衡大學學習和漏洞賞金工作可能具有挑戰性，但隨著時間的推移，我已經開發了一個系統，讓我可以在這兩方面保持高效，”Ibrahim解釋說。

　　對他幫助最大的事情之一是自動化。他構建了自己的自定義工具和腳本，這些工具和腳本在后臺持續運行，掃描特定類型的漏洞，并監控公共資產。

　　即使他專注于作業或課堂，這些工具也能繼續工作，這有助于他保持高效而不會筋疲力盡。

　　“我還將bug賞金視為我在課堂上學到的知識的延伸。例如，如果我們正在研究系統安全或Web架構，我會立即嘗試將這些知識應用于實際測試。這不僅有助于強化理論，而且讓我保持參與和積極性。

　　易卜拉欣通常以將學術責任與研究和尋找錯誤分開的方式安排他的一周，他不會每天強迫自己尋找漏洞;相反，他專注于隨著時間的推移建立一致性和勢頭。

　　“我相信人工智能（AI）將塑造網絡安全進攻和防守的未來。我的長期目標是將我在道德黑客方面的經驗與AI技術相結合，創造更智能、更快速、更具可擴展性的方法來檢測和預防漏洞。

　　他還對對抗性機器學習、模型中毒以及使用AI自動進行漏洞分類和漏洞利用檢測等領域特別感興趣，他已經開始嘗試將AI集成到漏洞賞金工作流程中的小型項目，并希望在未來幾年進一步發展。

　　“AI不僅僅是一種工具;這是安全領域的一個新領域。我想參與塑造我們如何負責任、有效地使用它來保護系統。

　　“事實上，我計劃將我的最后一年項目重點放在網絡安全和AI之間的這個確切交叉點上，以更深入地探索其實際應用和挑戰。”