هک SourceCode | کد منبع یا سورس کد
- کورش سنایی
- ۱۶ خرداد ۱۴۰۳
- 5 دقیقه
تصور کن یه قصر پر از جواهرات و پول داری، ولی هیچ راهی برای ورود بهش نداری. سورس کد حکم کلید و قفل این قصره. با سورس کد، میتونی بفهمی چطوری یه برنامه یا یه سیستم عامل کار میکنه، کجای کدش ضعیف تره و میشه ازش سوء استفاده کرد، و چطوری میشه حفره هاشو پیدا کرد و ازشون به نفع خودت استفاده کنی.
استفاده ی SourceCode یا کد منبع برای هکر
یه هکر واقعی اول سعی میکنه سورس کد برنامه یا سیستمی که میخواد هکش کنه رو پیدا کنه. این کار میتونه از طریق مهندسی اجتماعی، نفوذ به سرورها، یا خرید غیرقانونی سورس کد انجام بشه. بعد از اینکه سورس کد رو پیدا کرد، با دقت اونو میخونه و تحلیلش میکنه تا نقاط ضعف و حفره های امنیتی رو پیدا کنه. وقتی که یه حفره امنیتی پیدا کرد، ازش برای نفوذ به سیستم و رسیدن به اهدافش استفاده میکنه; البته چند نکته این وسط اهمیت داره:
یادگیری خوندن و تحلیل سورس کد کار سختیه و نیاز به تمرین و مطالعه زیاد داره.
هک کردن بدون اجازه; غیرقانونی و غیراخلاقیه و میتونه عواقب جدی برای شما داشته باشه.
فقط از سورس کد برای اهداف خوب و در چارچوب قانون استفاده کنید.
کسب درآمد از بررسی SourceCode
سازمان های بسیاری هستند; که در پلتفرم های باگ بانتی کد منبع یا سورس کد برنامه هاشون رو قرار میدن تا هکرهای سراسر دنیا به بررسی اونها بپردازن و در صورت پیدا کردن ایراد از قطعه کد ارائه شده به آنها بابت کشف آسیب پذیری ای که صورت گرفته جایزه نقدی و یا غیر نقدی داده میشه . معمولا سازمان ها سورس کد هایی که هکرها اجازه تست و بررسی آنها را دارند رو درون GitHub قرار میدن تا هکرها به راحتی به اونها دسترسی پیدا کنند و شروع به انجام کشف آسیب پذیری کنند .
کسب درآمد از SourceCode افزونه های وردپرس
در بالا میبینید که وبسایت وردفنس یک برنامه بانتی راه اندازی کرده که به آسیب پذیری هایی که هکر در سورس کد افزونه های وردپرسی بتونه پیدا کنه جایزه میده و لیست مجاز آسیب پذیری هارو در ستون سمت چپ میتونید مشاهده کنید و البته خیلی شرکت های دیگه ای هم هستند که شمارو تشویق به کشف آسیب پذیری های موجود در افزونه های وردپرسی میکنند .
هک تارگت با بررسی SourceCode
در بالا شما یک قطعه کد آسیب پذیر در یک صفحه HTML رو مشاهده میکنید که اگر هکر به این صفحه Admin دسترسی پیدا کنه و به بخشی View Page Source مرورگر که بعد از کلیک راست کردن روی صفحه میتونید ببینیدش; وارد بشه میتونه این کد هارو ببینه و معمولا برنامه نویس ها چیزای مهمی رو توی کد کامنت میکننن و ممکنه که حتی فراموش کنن اونهارو پاک کنن مثل قطعه کد بالا که هکر میتونه USername و پسورد و پورد مورد نیاز برای لاگین به ادمین پنل رو ببینه و وارد سیستم بشه !
چطوری SourceCode بخونم !؟
گوش کن رفیق، یادگیری خوندن سورس کد مثل یادگیری یه زبان جدیده.درسته که سخته، ولی با تمرین و پشتکار میتونی به یه هکر واقعی تبدیل بشی. اولین قدم:
- انتخاب یه زبان برنامه نویسی: باید با یه زبان برنامه نویسی شروع کنی. زبانی که انتخاب میکنی به نوع برنامه هایی که میخوای هکشون کنی بستگی داره. مثلا اگه میخوای وبسایت ها رو هک کنی، باید HTML، CSS و JavaScript رو یاد بگیری.
- منابع آموزشی: منابع زیادی برای یادگیری زبان های برنامه نویسی وجود داره. میتونی از کتاب ها، وبسایت های آموزشی، ویدیوهای آموزشی و دوره های آنلاین استفاده کنی.
- تمرین: مهم ترین چیز تمرین کردنه. هر چقدر بیشتر کد بخونی و بنویسی، خوندن سورس کد واستون راحت تر میشه.
دومین قدم:
- آشنایی با ابزارها: ابزارهای زیادی برای خوندن و تحلیل سورس کد وجود داره. یه سری از این ابزارها رایگان و یه سری دیگه پولی هستن.
- یادگیری مبانی امنیت: برای اینکه بتونی سورس کد رو به درستی تحلیل کنی، باید با مبانی امنیت اطلاعات آشنا باشی. این شامل مفاهیمی مثل رمزنگاری، آسیب پذیری ها و حملات سایبری میشه.
سومین قدم:
- شروع هک کردن: وقتی که به اندازه کافی دانش و مهارت پیدا کردی، میتونی شروع به هک کردن کنی. البته یادت باشه که باید از یه محیط امن و قانونی برای تمرین هک کردن استفاده کنی.
تمرین خواندن SourceCode
فرض کن میخوای بفهمی برنامه بالا چیکار میکنه!؟ کافیه که زبان برنامه نویسی پایتون که باهاش برنامه BruteForce کردن پسورد های یک اکانت در وبسایت example.com که در تصویر بالا نوشتن رو یادبگیری و بعد شروع به خواندن قطعه کد کنی از بالا میای پایین و میفهمی که یک تابع ایجاد شده که 2 آرگومان میگیره و به بخش login وبسایت Example.com دو پارامتر ارسال میکنه و اگر نام کاربری همون username و پسورد درست بود برنامه چاپ میکنه Password Found در غیر اینصورت مینویسه Password Is Wrong . بقیش هم با خودت .
نکته
شما وقتی SourceCode یک وبسایت رو دارید مشاهده میکنید منظورم چیزی شبیه به تصویر زیر هست این تمام سورس کد وبسایت نیست این فقط بخش FrontEnd وبسایت هست در واقع یک وبسایت از 2 بخش فرانت و بک اند تشکیل میشه که خوب ! این بخش فرانت هست چیزی که شما میبینید; اصل ماجرا پشت صحنه اتفاق میفته که تا شما سرور رو هک نکنید به هر طریقی ; نمیتونید به Source اصلی یا همون بک اند وبسایت دسترسی پیدا کنید . البته همین بخش فرانت اند هم برای ما به شدت مهمه .