Logo
خانه

معرفی

سلام امیدوارم که خوب باشید، اگه می‌دونین من کی‌ام و تیمم چه فعالیت‌هایی می‌کنن می‌تونین این قسمت رو نادیده بگیرید و از صفحه بعدی شروع کنین. من یاشار شاهین‌زاده، ۳۴ سالمه و از سال ۱۳۸۴ وارد دنیای امنیت شدم، از سال ۱۳۸۸ بصورت حرفه‌ای وارد کار شدم (اولین کارم توی دانشگاه شریف، مرکز CERT بود) و تا امروز نتونستم از امنیت جدا بشم. فراز و نشیب بسیار داشتم و یادمه روزی که وارد این رشته شدم به طور کامل ناشناخته بود، انقدر ناشناخته که حتی اطرافیان من حامی من نبودن، مسیر بسیار سختی بود ولی طی کردم. از سال ۱۳۹۵ دیگه شغل ثابت نداشتم و مسیر خودمو شروع کردم. این مسیر از سه قسمت عمده تشکیل شده بود، باگ‌بانتی، انجام پروژه‌های امنیتی (Pentest) و دادن مشاوره امنیتی به بانک‌ها و شرکت‌ها. این روند تا سال ۱۳۹۹ ادامه داشت تا یه فعالیت دیگه به فعالیت‌هام اضافه شد، تابستون ۱۳۹۹ اولین کلاس آموزشیم رو برای کافه‌بازار با عنوان OWASP Top 10 برگزار کردم و خیلی فیدبک خوبی دریافت کردم. بعدش تصمیم گرفتم این کلاسو برای عموم هم بذارم که رفته رفته فیدبک‌ها شدیدا خوب شد و تصمیم گرفتم آکادمی خودمو تاسیس کنم و بصورت هدفمندتر کار کنم، توی این دوران از بین دانشجوها یه تیم خیلی جوون و با استعداد تشکیل دادم که در کنار هم کلی کارای خفن کردیم، البته که باگ‌بانتی و مشاوره‌ها به قوت خودش باقیه و قسمت جدا نشدنی از زندگیمو تشکیل میده. در حال حاضر بیشتر وقتم روی توی آکادمی و باگ‌بانتی می‌گذرونم و فعلا از این روند راضیم‌ام تا ببینم در آینده چی در انتظار منه. راه‌های ارتباطی با من:

سوالات متداول

برای ورود به دنیای امنیت وب از کجا شروع کنیم؟ می‌خوام هانتر بشم از کجا شروع کنم؟

بصورت کلی شما باید ۳ تا فاز جداگونه رو طی کنین (توی شیوه آموزشی من)، فاز پیشنیازها، فاز یادگیری OWASP و فاز یادگیری هانت، تصویر بصری رو این پایین می‌تونین ببینید، توضیحات تصویر هم می‌تونید از این لینک یوتیوب ببینید.

باگ‌بانتی چیه؟
Roadmap Image

باگ‌بانتی یعنی کشف آسیب‌پذیری از یه سازمان یا استارتاپ و دریافت جایزه در ازا آن. نوع این جایزه می‌تونه فقط یه تقدیرنامه باشه، می‌تونه پول باشه یا هر دو. به شخصی که این کارو انجام میده هانتر می‌گن. دو نمونه هانتر داریم Full time و Part time که اولی تمام زمان زندگیشو هانت می‌کنه، میشه گفت شغل ثابتش میشه، نوع دوم در کنار کنار کار اصلیش هانت می‌کنه که من هانتر نوع دوم هستم. یه سری پلتفرم هم این وسط وجود داره مثلا هکروان که بین هانترا و شرکتا واسط میشه و اگه به مشکل بخورن حل و فصل می‌کنه، اسکوربرد داره و کلی فیچر دیگه که می‌تونین خودتون ببینین.

چطوری بصورت خودخوان یاد بگیرم؟

بچه‌ها من یه نقشه راه توی یوتیوب گذاشتم که می‌تونید ازش استفاده کنین. سعی کردم طوری ویدئو رو تنظیم کنم که برای هر سطحی مناسب باشه، توی این نقشه نیازی به کلاس آموزشی ندارید و می‌تونین خودتون خودخوان پیش برید و نتیجه بگیرید، برای مثال مهدی یکی از نفراتی بوده که این نقشه رو شروع کرده و تونسته یه باگ ۱۶ هزار دلاری از یه برنامه بانتی پیدا کنه، که البته سهم این نقشه توی باگ مهدی شاید ۱۰ درصد بوده ولی باعث حرکت مهدی شده و از سردرگمی اول مسیر خارجش کرده، هدف اصلیم هم همینه.

از پیشنیازها کدوم قسمت‌ها رو بخونم؟
Roadmap Image

قطعا نیاز نیست اول مسیر تمام قسمت‌های کل پیشنیازها رو بخونین، وگرنه یه مسیر سخت و بدون Rewardای خواهید داشت که خیلی از مباحث هم بدردتون نمی‌خوره، پس قسمت‌های مختلفی از پیشنیازها رو لازم دارید، حالا کجاهاش؟ من برای پیشنیاز شبکه و جاوااسکریپت دو تا ویدیو مجزا ضبط کردم و توی یوتیوبم گذاشتم، می‌تونید نگاه کنین و ایده بگیرید، این ویدیو شبکه و اینم ویدیو جاوااسکریپته. برای باقی پیشنیازها فعلا چیزی درست نکردم و خودتون اون قسمت‌هایی که فکر می‌کنین نیاز هست رو بخونین، توی ویدئو نقشه راه توضیح دادم که چکار باید کنین، کافیه که توضیحات رو گوش کنین و دنبال مسیرش برید. یه سوالی که خیلی از من می‌پرسیدن این بود: «چقدر پیش نیاز بخونیم؟» این سوال انقدر تکرار شد که من یه ویدیو جداگانه تحت عنوان «مسیر اصولی یادگیری» چیست ضبط کردم تو یوتیوب قرار دادم.

منابع فارسی وجود داره؟

قطعا وجود داره ولی یادتون باشه منابع «سمی» هم توی اینترنت پره و نه تنها شما رو به هدفتون نزدیک نمی‌کنه،‌ بلکه دور می‌کنه و شاید براتون سوال باشه چطوری؟ مطالب نادرست باعث میشه شما ذهنتون شکل بگیره و نتونین اصل مسیر رو دنبال کنین. خب سوال پیش میاد اصل مسیر چیه؟ جواب من اینه: تقلید از آدم‌های نسبتا موفق در ابتدای مسیر، خلاقیت و ساخت راه شخصی در ادامه. من یه هانترم که بصورت پارت‌تایم هانت می‌کنم و سالی تقریبا ۱۰۰ هزار دلار از هانت در میارم، من هیچ وقت نمی‌تونم مسیر درآمد ۱ میلیون دلاری رو بتون نشون بدم چون خودم هنوز نمی‌دونم چیه. همینو تعمیم بدین به هانتری که سالی ۲ هزار دلار نزده و داره به شما نقشه راه + مطلب آموزشی درس می‌ده. شما اگه کل علم شخص هم یاد بگیرید تازه می‌شید مثل اون و یا کمی فراتر. پس اگه مطلب آموزشی می‌خونین یا نقشه راه فارسی نگاه می‌کنین، حتما رزومه شخص رو مد نظر بگیرید.

آیا بصورت خودخوان میشه موفق شد یا حتما باید کلاس شرکت کرد؟

موفقیتشون نبوده، . اگه فکر می‌کنین بدون این کلاس موفق نمی‌شید کلاس آموزشی به درد شما نمی‌خوره. یه کلاس آورده‌های مختلفی داره، تجربه مدرس، آسون‌سازی مطالب و کار عملی که در نهایت این عوامل شما رو توی زمان جلو می‌ندازن، یعنی بدون کلاس فقط «شاید» کمی دیرتر به هدفتون برسید، پس اگه شرایط شرکت در کلاس‌های آموزشی مختلف رو ندارین ناامید نشین و ادامه بدین، البته یادمون باشه سوخت این مسیر «علاقه» است و نه چیز دیگه.

دوره امنیت اپلیکیشن؟
Application Security

من یه دوره امنیت اپلیکیشن توی یوتیوبم گذاشتم که شما رو با برخی مفاهیم شبکه، وب، وب‌سرور، امنیت و غیره آشنا می‌کنه، از این لینک می‌تونید دوره رو نگاه کنین. سعی کردم مبانی امنیت وب اپلیکیشن رو براتون توضیح بدم، قطعا چه بخواین کلاسی برید یا اینکه خودخوان جلو برید، این ۱۱ ساعت کورس می‌تونه کمکتون کنه. فقط یادتون باشه پیشنهاد من اینه که حتما در کنار دیدن ویدئوها، کار عملی هم انجام بدید که مطالب براتون تثبیت بشه، یعنی دقیقا همون کارایی که من انجام میدم رو خودتون انجام بدید و خلاصه‌برداری کنین.

دانش مورد نیاز سر کار رفتن توی امنیت چیه؟

با توجه تجربه خودم توی این حوزه، بنظرم تسلط نسبی به OWASP برای ورود به بازار کار کفایت می‌کنه. تسلط نسبی یعنی شما هم مفاهیم رو بدونی، هم بتونی کار عملی انجام بدی. یعنی به عنوان یه Penetration Tester بتونی آسیب‌پذیری پیدا کنی. این نکته رو توجه داشته باشید که توی مصاحبه لزوما آسیب‌پذیری‌هایی که توی باگ‌بانتی بیشتر استفاده میشن رو از شما سوال نمی‌پرسدن، تازه بنظر من این قضیه برعکسه یعنی بیشتر سمت آسیب‌پذیری‌های مفهومی میرن. یعنی مثلا توی مصاحبه راجع به Insecure Deserialization سوال می‌پرسن در صورتی که توی باگ‌بانتی ریت کشف بسیار پایینی داره. و در آخر اینکه بعنوان کارآموز یا جونیور شروع کنین برمی‌گرده به مصاحبه و دانش پایه خودتون.

مصاحبه کاری چطوریه؟

مصاحبه کاری معمول از دو قسمت تشکیل میشه، قسمت کار عملی و قسمت مصاحبه شفاهی. توی مصاحبه شفاهی معمولا مصاحبه‌کننده سعی داره داشن شما رو تخمین بزنه، اینجاست که سوالات مختلفی از شما می‌پرسه، یه دسته سوالات با «جواب مشخص» و یه دسته سوالات تحلیلی که «جواب مشخص» ندارن و قدرت تحلیل شما رو مشخص می‌کنن. برای اینکه بیشتر با این رویه آشنا بشین دو دو قسمت لایو برگزار کردم و با چندین نفر مصاحبه کردم، می‌تونید نگاه کنین و با سبک سوالات آشنا بشین، قسمت اول و قسمت دوم رو می‌تونید تماشا کنین.

نقشه راه اختصاصی می‌خوام؟
Interview

نقشه راه اختصاصی در واقع خیلی پیچیده نیست، کافیه نقشه راه عمومی رو نگاه کنین و برای خودتون شخصی‌سازیش کنین. توی این لایو توئیچ با سه نفر از بچه‌ها صحبت کردم و سعی کردم براشون نقشه راه اختصاصی درست کنم. کلیات موضوع اینه که شما باید در ابتدا برای خودتون یه هدف مشخص کنین، بعد در یک بازه بلند مدت کارهایی انجام بدید که شما رو به هدفتون نزدیک‌تر می‌کنه، برای مثلا اگه تصمیم گرفتید هانتر بشید نیاز نیست برید مدرک CCNA بگیرید. مشکل خیلی از بچه‌هایی که باشون مشاوره داشتم اینه: اعمالی رو انجام میدن که با هدفشون همخونی نداره و کلی از زمانشون تلف میشه. راستی نیاز نیست که ابتدای مسیر هدف‌گزاری کنین، بعضی وقتا لازمه ۳ تا ۶ ماه توی حوزه‌های مختلف امنیت بچرخید تا تازه متوجه بشید به چی علاقه دارید و چقدر حاضرید براش زحمت بکشید، پس اگه ابتدای مسیرید نگران نباشید و یکم تجربه کنین، ضرر نداره.

منابع غیرفنی

توی چند سالی که تدریس می‌کنم، کم کم حس کردم دانشجوها مشکلاتی مشترکی دارن که دقیقا مثل یادگیری مسائل فنی براشون چالش ایجاد می‌کنه. با گذشت زمان متوجه شدم اهمیت این مشکلات از مطالب فنی خیلی بیشتره، در واقع حل این مشکلات باعث میشه مسیر یادگیری هموار تری داشته باشیم. مشکلاتی مانند: «انگیزه ندارم»، «ناامید میشم»، «ممد خیلی بلده من سرخورده میشم» و مسائل اینچنینی. برای همین سعی کردم یه سری ویدئو پر کنم و تجربه خودمو توی این قسمت براتون توضیح بدم، البته توی این بخش تازه اول مسیرم و ویدئوهای زیادی رو پر نکردم، ولی خب شروع کردم.

هر چی می‌خونم یادم میره
I forget everything

خب یکی از مشکلاتی که شاگردای متعدد کلاسم باش مواجه شدن، اینکه مطالب یادشون میره. یعنی میومدن پیش من و میگفتن ما هر چی می‌خونیم، آخرش یامون میره و انگار بلد نیستیم. یه موضوع خیلی مهم اینجا وجود داشت، بشون می‌گفتم مطمئنین «با کیفیت» می‌خونین؟ چرا که خوندن خالی دلیلی قاطعی برای یادگیری نیست. اکثرا از خودشون اندازه‌گیری درستی نداشتن، خیلیاشونم میگفتن شاید مشکل از ما باشه و به درد این رشته نخوریم که درست نبود. برای همین تصمیم گرفتم دو ت ویدیو پر کنم، یکی راجع به درست زمان گذاشتن، یکی راجع به چطوری مطلب خوندن، امیدوارم که این ویدیوها کمک کنه خودتون رو بهتر اندازه بگیرید.

انگیزه کافی ندارید؟
No Motivation

میشه گفت این پیغام رو از بیش از ۵۰٪ بچه‌های «هر دوره» دریافت می‌کنم، اوایل دوره شدیدا خوب پیش میرن و بعد یه مدت افت می‌کنن و یه سریاشون هم که کلا ول می‌کنن. چی میشه که اول دوره انگیزه داریم و بعدش از بین میره؟ اصلا انگیزه از کجا میاد و آیا باید داشته باشیم؟ چیز خوبیه؟ میشه بدون انگیزه ادامه داد؟ جواب همه این سوالات رو توی این ویدئو پاسخ دادم. بعدها کلی روی این ویدیو فیدبک خوب گرفتم، خیلی درخواست داشتم از طرف بچه‌ها که راجع به نحوه خوندن مطلب هم برایمون یه ویدیو پر کن، برای همین تصمیم گرفتم این کارم بکنم، ممنون از نظراتتون.

چطوری پولمو از هکروان بگیرم؟
Roadmap Image

به جرعت می‌تونم بگم یکی از پر تکرارترین سوالاتی که از من پرسیده میشه اینه: «یاشار چطوری پولمو از هکروان بگیرم؟». شاید سوال درست‌تر این باشه که «چطوری بتونم پولمو بگیرم و حسابم هم بمونه؟» چون با یه سری ترفند شاید بشه چند بار از هکروان و سایت‌های مشابه پول گرفت، ولی در دراز مدت قطعا برای حساب مشکل پیش میاد، این بلا سر خود منم اومد. یکی از حساب‌هام که از سال ۲۰۱۷ روش کار می‌کردم بن شد و حدود چندین هزار دلار پولم توش بلوکه شد. جدا از پولش سابقه حساب خیلی خوب بود و اذیت شدم، برای همین تصمیم گرفتم یه ویدیو پر کنم که اولا چطوری پولتون رو بگیرین، ثانیه اشتباه منو نکنین که حسابتون به مشکل نخوره، ویدیو رو از این لینک می‌تونین ببینین، امیدوارم خوشتون بیاد.

مصاحبه غیرفنی با مِیدی
No Motivation

مهدی بعد از اینکه تونست ۱۶ هزار دلار بانتی بزنه به تلاشش ادامه داد. از اون موقع سخت کار کرد، پیشرفت کرد، تلاش کرد، یادتون باشه حتی انگلیسی هم بلد نبود. ذره ذره دانشش اضافه شد، چاله‌هاشو پر کرد، مسیر سختی رو طی کرد، ولی کرد! خیلی مهمه، مهدی هم مثل بقیه ناامید میشده، قطعا روزایی عدم تمرکز داشته، قطعا کلی دوپلیکیت داشته، قطعا ۲ هفته (یا بیشتر) رو یه برنامه کار کرده و نتیحه نگرفته، خیلی اذیت شده، ولی تصمیم می‌گیره تو مسیر بمونه، این تو مسیر بودن جملش سادس، عملش خیلی سخته! اینارو گفتم چون معمولا ما فقط نتیجه رو میبینیم و انتظار داریم زود به اون نتیجه برسیم، بعد ۴ ماه کار روزی ۱۲ ساعت اگه به اون نتیجه نرسیم سست میشیم، مغزمون شروع می‌کنه بهونه اوردن و از زیر کار در میریم، آخرشم به خودمون می‌گیم: «نمی‌دونم چمه نمی‌تونم کار کنم»، این تازه خروجی باهوشاس، کم‌هوش‌تراش معمولا هیتر هانترای موفق یا کلا باگ‌بانتی میشن. خلاصه که، موفقیت هیچ راه جادویی نداره، هیچ مینبری نداره، هیچ «این راز منه و اگه بدونیش پول در میاری» نداره، فقط و فقط یه عامل داره: هدف و حرکت مداوم! حتما و حتما رشتو مهدی رو بخونین و مصاحبه‌اش رو هم می‌تونین از این لینک ببینین، براش آرزوی موفقیت می‌کنیم ❤️ (راستی مهدی تقریبا یک‌ماهه وارد تیم هانت voorivex شده، خوشحالیم که هم‌تیمی خوب دیگه داریم)

لایو با بچه‌های کلاس
Omid Live

ناهام‌سک یا بهروز یکی از بهترین هانترای دنیاس که من معرفیش نکنم بهتره، لایو یهویی با Nahamsec رو از اینجا ببینین. مصاحبه با برخی از بچه‌های کلاس برای انتقال تجربه، لایو با امیر، سامان و صدرا رو تو اینستا گذاشتم، این ۳ نفر از بچه‌های خیلی خوب کلاسم بودن که بعدا عوض تیم آکادمی شدن، توی کلاس Jujutsu Hunters هم به عنوان TA حضور داشتن و خیلی موفق بودن، البته قبل از اون توی کلاس OWASP به عنوان TA مشغول بودن و عملکردشون عالی بود، لایو رو از اینجا می‌تونین ببینین. ممد یکی از بچه‌های کلاس هانت اول بود که OWASP رو شرکت نکرده بود و یهویی اومد سر کلاس هانت، اوایل کلاس خب فقط خوند و دستاورد خاصی نداشت ولی آخر کلاس کلی آسیب‌پذیری کشف کرد طوری که حدود ۱۵ هزار دلاری از Dell بانتی گرفت و به ممد دل معروف شد، ممد بعدا وارد تیمم شد و به عنوان یکی از TAها توی کلاس Jujutsu Hunters حضور داشت، لایو با محمد نیکویی رو از اینجا می‌تونین ببینین. امید یکی از شاگردای خیلی خوب کلاسم بود، توی یک سال ذره ذره پیشرفتش رو دیدم و الان جز تیم Beta Huntعه، فیدبک شدیدا مثبتی روی این لایو داشتم طوری که چندین نفر بعد از این لایو تونستن آسیب‌پذیری‌های خوبی کشف کنن، امید توی این لایو از عدم تمرکز و راه‌حل خودش برای تمرکز رو می‌گ، بنظرم یکی از لایوهای خوبی بود که داشتیم و بدردتون می‌خوره. پارسا یکی از بچه‌های کلاس هانت بود که وقتی باش مصاحبه کردم تونسته بود ۵ هزار دلار بانتی بزنه، چند وقت بعد مصاحبه هم یه ۵ هزار دلار دیگه بانتی زد و کلا مسیر خوبی رو داره طی می‌کنه. پارسا زیاد علاقه‌ای به درس نداره و فاز عملگرا داره،‌ با پارسا تو اینستاگرام یه لایو رفتم که می‌تونین از این لینک نگاش کنین، بنظرم لایو جالبی بود، بچه‌ها بعدش گفتن پارسا گنگش بالاست، امیدوارم همینطوری پر انرژی پیش بره و شاهد موفقیت‌هاش باشیم. پارسا توی کلاس OWASP Zero به تیم ملحق شد و برای بچه‌ها لایوهای خوبی رفت، همچنین چند بار توی سرور پابلیک دیسکورد هم لایو رفته. مبین نفر اول سامانه‌اس، می‌تونم بگم جز شاگردای خیلی خفنم بوده، قبلا برنامه‌نویس بوده و بعدش به هانت علاقه‌مند میشه و توی کلاس خودشون پیدا می‌کنه، با امیررضا همگروه میشه و دوتایی خیلی خیلی بانتی می‌زنن. با مبین تو اینستا یه لایو رفتم که شدیدا فیدبک خوبی ازش داشتم، امیدوارم خوشتون بیاد. یه سری لایو هم با بچه‌های دیگه رفتم که بنظرم آموزندن و پیشنهاد می‌کنم نگاه کنین، لایو با ایمان صیرفی، لایو با با امین، لایو با سپهر، مصاحبه با آرمان، شاید بازم چیزی باشه که از دستم در رفته باشه پیشنهاد می‌کنم خودتون هم داخل پیج بگردین.

منابع فنی

من بخشی از زمانم رو صرف تولید محتوای عمومی می‌کنم، این محتواها در شبکه‌های اجتماعی که من دارم قابل دیدن‌اند، یه سری از این منابع رو براتون پایین می‌ذارم که ممکنه بکارتون بیاد. در حال حاضر بهترین سورسی که از خودم می‌تونم بتون معرفی کنم یوتوبم هست، به زودی ویدیوهای گلچین رو همینجا میذارم.

بخش کلاس

این فازها رو شما تدریس می‌کنین؟

له من دو تا کلاس دارم، یکی کلاس OWASP و یکی کلاس Hunt، توی کلاس OWASP به قسمت پیشنیازها و OWASP می‌پردازیم، توی کلاس هانت هم که کلا میریم هانت می‌کنیم. کلاس اوسپ رو تا الان ۹ بار برگزار کردم، کلاس هانت رو ۳ باز، در مجموع حدود ۱۵۰۰ تا شاگرد داشتم که توی این کلاس‌ها شرکت کردند. توی OWASP ما یاد می‌گیریم آسیب‌پذیری امنیتی اصلا چی هست؟ چطوری میشه اکسپلویتش کرد؟ خطر هر کدوم چیه؟ ولی توی هانت یاد می‌گیریم «کجا رو بگردیم تا آسیب‌پذیری پیدا کنیم؟» که این نکته خیلی مهمیه، برای جواب به این سوال باید یه متدولوژی هانت داشته باشیم که توی دوره هانت من سعی می‌کنم اینو به بچه‌ها یاد بدم.

فقط همین؟ چیز دیگه نیاز نیست؟

چه‌ها این تجربه من بعد چندین سال هانته، هر آنچه که نیازه شما برای هانتر شدن رو یاد بگیرید توی Roadmapام توی یوتیوب گفتم (لینکش توی همین داکیومنت هست)، یعنی من مباحث دیگه‌ای مثل PWK رو اصلا بلد نیستم و اصلا ایده‌ای ندارم که بدردتون می‌خوره یا نه. اون قسمتی که مطمئنم و جواب پس داده رو دارم بتون می‌گم، پس اگه توی نقشه‌راه دیگه‌ای منبع دیگه‌ای میبینین با توجه به توضیحاتی که دادم خودتون باید تصمیم بگیرید که واردش بشید یا نه. در کل شما نباید نگرش «دوره محور» به مباحث داشته باشید، هر دوره یه سری سرفصل داره که باید به اونا مسلط بشید. توی Roadmapام مباحث مختلفی رو گفتم که ممکنه توی دوره‌های مختلفی وجود داشته باشه که به معنی این نیست که «باید دوره رو بگذرونید». امیدوارم تونسته باشم مطلب رو جا بندازم (کلا این سوال رو خیلی ازم می‌پرسین که «چیز دیگه نیاز نیست؟»، و جوابش «خیر» است).

برای کلاس شما چه پیشنیازهایی رو بخونیم؟

بستگی داره کدوم دوره مدنظر هست، برای OWASP که باید پیشنیازهاش که مباحث غیر امنیتی هستن رو بخونین، البته الان توی دوره OWASP Zero خودم این پیشنیازها رو درس میدم و تقریبا میشه گفت نیاز نیست شما قبلش چیزی بخونین. البته اگه شروع کنین به خوندن مسلما توی کلاس راحت‌تر با مطالب ارتباط برقرار می‌کنین و پیشرفتتون بیشتر میشه. برای کلاس هانت هم شما باید به مطالب OWASP مسلط باشید. یه سری از بچه‌ها از من سوال می‌پرسن که «پیشنیازها رو بلدیم»، یا «اوسپ رو بلدیم»، مشکلی نداره بیایم کلاس اوسپ یا هانت؟ ببینین تجربه من تا امروز نشون میده بچه‌ها «مسلط» نیستن، یعنی توی تعریف این کلمه با هم بعضا اختلاف داریم، پس اگه بدون گذروندن OWASP می‌خواین بیاین کلاس هانت مطمئن باشید که OWASP رو کامل بلدید، برای خود کلاس OWASP هم که نیازی به پیشنیاز نیست چون درس میدم.

توضیحات دوره‌های شما رو از کجا می‌تونم ببینم؟

توضیحات دوره OWASP Zero رو از این لینک ببینین، همچنین سیلابس کلاس OWASP Zero رو از این لینک دریافت کنین، توضیحات دوره (قبلی، جوجیتسو) هانت رو از این لینک می‌تونین مشاهده کنین.

کلاس بعدی شما کی هست؟

آمار کل کلاس‌هام رو می‌تونین توی اینک لینک ببینین (کلاسایی که تشکیل شده و اون‌هایی که قراره تشکیل بشه)

قسطی هم میشه ثبت‌نام کرد؟

خیر، دوره‌های قبلی تجربه خوبی از ثبت‌نام قسطی نداشتم اکثر نفرات نه تنها پول رو ندادن، دیگه جواب هم بم ندادن و متضرر شدم، از من خیلی انرژی می‌گیره مدیریت این کار و علی‌رغم میلم، متاسفانه امکان ثبت‌نام قسطی وجود ندارد. بصورت کلی هر مسئله یا مشکل یا سوال ثبت‌نام/مالی دارید از FayFex بپرسید، چون من توی ثبت‌نام دخالتی نمی‌کنم و بعضیا روالش رو هم خیلی دقیق پیگیری نمی‌کنیم، اینکه بتونین زودتر از موعد ثبت‌نام کنین با توجه به شرایطتون ممکنه امکان‌پذیر باشه.

من کلاس قبلی رو بودم، بازم اسم بنویسم؟

این یکی از سوالاتیه که خیلی از من میشه. اغلب شاگردام بعد از تموم شدن دوره دوست دارن دوره بعدی هم شرکت کنن و بم رجوع میکن می‌گن توصیه می‌کنی؟ موضوع مهم اینه که نمیشه برای همه یه نسخه پیچید. ببینین قسمت اصلی کلاس خود کلاسه و فیلم‌های ضبط شده خروجی لازم رو به شما نمیده. چرا؟ چون برای یادگیری باید قسمت‌های مختلف مغز شما درگیر بشه (بش میگن Emotional Weight اگه خواستین بیشتر راجع بش سرچ کنین). وقتی شما در طول ۴ ماه با کلاس همراه میشی این اتفاق می‌افته. تعامل شما توی این مدت خیلی مهمه و اون جمعی که توش هستین و ارتباطی که با کلاس دارین با ارزش‌ترین قسمت کلاسه. پس برای جواب دادن به این سوال اول باید از خودتوت بپرسید چقدر از این فضا استفاده کردین؟ و همچنین بعد از این سوال باید از خودتوت بپرسین شخصیت شما چطوریه؟ می‌تونین تنها یه کاریو منظم ببرین جلو؟ بذارین مثال واقعی بزنم، من خودم هیچ وقت تنهایی باشگاه نرفتم و همیشه با جمع دوستام این کار رو انجام دادم. یعنی برام خیلی انرژی‌بره که تنها برم باشگاه. ولی وقتی در جمع قرار می‌گیرم این کارو می‌کنم چون فرایندش جذاب‌‌تر میشه. از طرفی هم یه سری اشخاص هستن که حتما باید تنها برن باشگاه تا بتونن تمرکز کنن و اینطوری راحت‌ترن (دقیقا خانوم خود من). سوال اینه شما کدومشی؟ حتما باید به این دو سوال جواب دقیق بدین، بر اساسی جوابی که میدین تصمیم بگیرین که آیا ثبت‌نام مجدد کنین یا نه. یاشار تا حالا کسی چنین کاری کردی؟ بله خیلی نفرات زیادی بودن. امیدوارم تونسته باشم راهنمایی کنیم.

انتقال امتیاز کلاس به زمان دیگر

یاشار من برام مشکل پیش اومده و نتونستم از کلاس استفاده کنم، می‌تونم توی کلاس بعدی باشم؟ من حتی یه فیلم هم دانلود نکردم. جواب این سوال «خیر» هست. چرا؟ چون من نمی‌تونم این امتیاز رو برای یک نفر قائل بشم، یا باید روالی باشه که شامل حال همه بشه، یا نباید چنین چیزی باشه. اگه من بخوام چنین امکانی رو بذارم (شاگردای دوره‌های قبل بتونن دوره بعدی رو همینطوری بیان) انقدر تعداد نفرات بالا میره که قابل کنترل نیست. بعد مجبور میشیم شروع کنیم قضات کردن اینکه چه شخصی از کلاس استفاده کرده و نکرده، حقیقت قابل تشخیص نیست و در عمل کار در نمیاد. خلاصه به دلایلی که خدمتتون گفتم، متاسفانه شاگردا فقط با ثبت‌نام مجدد می‌تونن توی دوره بعدی باشن. شاگردهای قبلی برای ثبت‌نام در هر زمانی می‌تونن اقدام کنن.

نفرات قبلی که توی کلاس شرکت کردند راضی بودن؟

نظرات بچه‌ها رو بصورت عمومی گذاشتم که بتونین بخونین، سعی می‌کنم نظرات بچه‌های فعلی OWASP Zero هم تا قبل از ثبت‌نام بذارم (کلاس اونا در حال برگزاریه، هنوز نظرسنجی نذاشتم)

بخش‌هایی از کلاس؟
OWASP Class Sample

بخش‌‌هایی از کلاس‌هام رو توی اینستاگرام و یوتیوبم گذاشتم که می‌تونین نگاه کنین، ویدئویی از اوسپ قسمت اول، ویدیویی از اوسپ قسمت دوم، قسمتی از لایو هانت کلاس هانت، حل برخی از سوالات امتحان اوسپ، نوشتن اکسپلویت WordPress به منظور اضافه کردن حساب مدیر به سایت، قسمت Reverse Proxy از کلاس هانت رو هم بچه‌ها خیلی دوست داشتن که عمومیش کردم. از کلاس اوسپ زیرو (جدیدترین کلاسم) سه تا ویدیو رو عمومی کردم، خیلی هم فیدبک خوب روشون داشتم. اولیش فیلم ارسال درخواست با جاوااسکریپت، بعدیش قسمتیه که با بچه‌ها رفتیم HacktheBox حل کردیم، در دو قسمت می‌تونین از این لینک و این لینک ببنین. بازم اگه فیلمی رو از کلاسام عمومی کنم همینجا قرار می‌دم.