Vandaag willen we je graag voorstellen aan Mahmoud Osama. Mahmoud navigeert moeiteloos tussen de rollen van een applicatiebeveiligingsingenieur en een penetratietester.

Vertel ons een beetje over jezelf. Wie ben je? 

Hoi, ik ben Mahmoud Osama. Ik ben 21 jaar oud en kom uit Egypte. Ik ben overdag een applicatiebeveiligingsingenieur en 's nachts een penetratietester, bekend als Mahmoud0x00. 

Hoeveel tijd besteed je aan hacken? 

Het hangt af van mijn beschikbaarheid, maar 5-7 uur per dag is het minimum. 

Wanneer ben je begonnen met hacken? 

Ik begon met hacken toen ik 15 jaar oud was. 

Kun je enkele uitdagingen delen waarmee je te maken heeft gehad tijdens het hacken of in deze industrie?

Ja, natuurlijk. Een belangrijke uitdaging bij pen testing is het begrijpen van de verschillende technologieën die doelwitten gebruiken om een mindset te ontwikkelen over hoe alles werkt aan de achterkant en om na te denken over toepasbare aanvallen die mogelijk kunnen worden gevonden. 

Wat was jouw meest interessante/gekke hack? 

Toen ik in staat was om inloggegevens voor medewerkers te lekken, kreeg ik toegang tot een beheerderspaneel. Dit beheerderspaneel behoorde tot een van de grote ondernemingen in de zonnebrillenindustrie.

Kun je enkele verrassende verhalen of leuke feiten delen die je zijn overkomen tijdens je carrière?

Toen ik een IDOR-kwetsbaarheid vond die me in staat stelde om de persoonlijk identificeerbare informatie (PII) van 1 miljard gebruikers voor een grote eCommerce-website te lekken, was de kwetsbare functie gemakkelijk te vinden. Het vereiste echter een extra stap om de specifieke eigenschap te identificeren die verantwoordelijk was voor het lekken van de gebruikersgegevens. 

Wat zijn jouw favoriete tools/bronnen/inhoud/mensen om van te leren en die je aan anderen zou kunnen aanbevelen? 

Voor tools houd ik van de tools die zijn gemaakt door de mensen van ProjectDiscovery. Ze doen geweldig werk door verschillende technieken te gebruiken om de recon-stap eenvoudiger te maken voor onderzoekers. 

Voor blogs wil ik de blogs van het Assetnote-team noemen. Ik houd van de manier waarop ze schrijven over hoe ze kritieke kwetsbaarheden vinden in verschillende veelgebruikte bedrijfsystemen. Het meest interessante aan hun blogs is de broncode beoordeling. 

Waarom hack je met Zerocopter? 

De mensen achter Zerocopter doen hun best om een goede omgeving te creëren voor zowel klanten als hackers, te beginnen met het selecteren van goede doelen tot het implementeren van een soepel triageproces. Eerlijkheid is de sleutel. Bovendien is het team vriendelijk en ze weten precies hoe ze het hele proces kunnen afhandelen om het de beste ervaring te maken. 

Wat is je favoriete swag die je ooit hebt gekregen? 

Zerocopter Hoodie en een T-shirt. 

Wat is volgens jou de beste conferentie om naartoe te gaan? 

Eerlijk gezegd ben ik nog nooit naar een conferentie buiten mijn land geweest, maar een van mijn dromen is om naar Defcon en Blackhat te gaan. 

Wat zou je in de toekomst graag willen leren? 

Ik zou graag meer willen leren over het DevSecOps-veld. Ik hou van automatisering en beveiliging, dus dat zou de beste keuze voor mij zijn om na te streven.