دکتر نوید قلی زاده
سالهاست روی امنیت وب، تمرین، تست و مطالعهٔ مداوم کردهام و حالا
تمرکز من روی پنتست وباپ، تبدیل نتیجهها به گزارشهای قابل فهم برای تیم فنی و غیر فنی،
و همراهی در مرحلهٔ بعد از پنتست است؛ جایی که تصمیمهای واقعی گرفته میشوند.
در کنار آن، دانشجوی پزشکی هستم؛ چیزی که برای من بیشتر از هر چیز، یادآور
دقت، مسئولیتپذیری و کار سیستماتیک است.
امنیت وب، بدون اغراق و بدون شعار
بهجای رزومهسازی و پروژههای اغراقشده، روی یک چیز تمرکز کردهام: کار عمیق و واقعی روی امنیت وب. سالها تمرین روی سناریوهای واقعی، تحلیل باگ ها، کار با CTFها و وسواس نسبت به جزئیات. هدفم همکاری با تیمهایی است که امنیت را جدی میگیرند و دنبال خروجی واقعی—نه شعار—هستند.
- • تمرکز روی تحلیل دقیق و گزارش قابلاقدام؛ نه ساختن یک لیست بلند از اصطلاحات OWASP.
- • هر یافته هم با جزئیات کامل برای تیم فنی توضیح میشود، هم برای مدیران غیرفنی به زبان تصمیمگیری سادهسازی میشود.
- • صداقت در ریسک: جایی که تهدید واقعی نیست، بزرگنمایی نمیکنم؛ جایی که خطر جدی است، بدون تعارف هشدار میدهم.
پزشکی برای من فقط یک رشته نیست؛ بلکه یک نوع نگاه است:
- • توانایی کار با دادههای زیاد، تصمیمگیری زیر فشار و پذیرش مسئولیت.
- • تفکر مبتنی بر شواهد؛ رویکردی که به شکل طبیعی وارد کار امنیت شده است.
- • احترام مطلق به دادههای حساس—چه پروندهٔ پزشکی باشد چه اطلاعات کاربران یک وباپ.
تمرکز اصلی: پنتست وب + گزارش و مشاوره
اگر وباپ شما در محیط واقعی استفاده میشود و میخواهید بدانید در برابر حملات واقعی چقدر مقاوم است، یا اگر گزارش قبلی دارید اما نمیدانید از کجا باید شروع کنید، اینجا احتمالاً نقطهٔ همفکری ماست.
ارزیابی وباپ شما با نگاه یک مهاجم واقعی؛ بر پایهٔ استاندارد OWASP، تجربه عملی و تمرین روی سیستمهای واقعی—not checklist. تمرکز روی:
- • احراز هویت و آسیب پذیری های دسترسی به حساب، سشن، نقشها و کنترل دسترسی
- • حملات تزریقی، XSS، OAuth، JWT tokens، Cache Poisoning، CSRF و سوءاستفاده از منطق کسبوکار
- • APIهای داخلی و عمومی و مسیرهایی که معمولاً زیر رادار میمانند
پنتست زمانی ارزش دارد که منجر به اقدام شود. گزارشها را در دو نسخه آماده میکنم:
- • نسخهٔ فنی: جزئیات کامل، PoC، مسیر exploit و پیشنهاد رفع.
- • نسخهٔ مدیریتی: سطح ریسک، اولویتها، پیامدهای کسبوکاری و «سه اقدام اول» که باید فوراً انجام شوند.
بعد از پنتست معمولاً سؤال اصلی این است: «از کجا شروع کنیم؟». در این مرحله کمک میکنم:
- • اولویتبندی ریسکها و ساختن نقشهراه رفع
- • تصمیمگیری درباره ریسکهای قابلپذیرش vs ریسکهایی که باید رفع شوند
- • ترجمه خروجیها به زبان تیم توسعه برای رفع سریعتر و کمهزینهتر
خلاصه ای از آنچه که دریافت میکنید:
- • گزارش PDF حرفهای
- • لیست آسیب پذیری ها به ترتیب ریسک
- • نحوه رفع آسیب پذیری ها
- • PoC
- • جلسه توضیح نتایج و مشاوره
از شناخت محصول تا گزارش و تصمیمگیری
فرآیند همکاری ساده است؛ اما در هر مرحله تلاش میکنم همهچیز شفاف بماند و هیچ نقطهٔ مبهم یا نیمهکارهای باقی نماند.
- ۱ شناخت محصول گفتوگوی کوتاه درباره نوع وباپ، دادههای حساس، کاربران و نگرانیهای اصلی.
- ۲ تعریف محدوده و هدف تعیین بخشهای قابل تست، بخشهای خارج از محدوده و خروجی مورد انتظار.
- ۳ تست و تحلیل اجرای پنتست با تحلیل سناریوهای واقعی؛ جایی که منطق حمله مهمتر از چکلیست است.
- ۴ گزارش و همراهی تحویل گزارش فنی + مدیریتی و در صورت نیاز، جلسه توضیح و طراحی نقشه راه رفع.
طبیعی است اگر دقیق ندانید چه میخواهید. کافی است در چند جمله بگویید:
- • وباپ شما چهکار میکند
- • چه دادهای در آن مهمتر است
- • چه چیزی بیشترین نگرانی را ایجاد کرده
از همانجا به بعد، من کمک میکنم محدوده و هدف تست را مشخص کنیم و مسیر کاملاً روشنی بسازیم.
اگر امنیت وباپ شما برایتان جدی است، از همینجا شروع کنیم
برای شروع همکاری، لازم نیست یک توضیح طولانی آماده کنید. چند خط دربارهٔ محصول، وضعیت فعلی و نگرانیتان کافی است تا بتوانیم تصویر اولیهای بسازیم.
محتوای فرم پس از ارسال به ایمیل من فرستاده میشود.
پاسخ در کمتر از ۲۴ ساعت 🚀
- ایمیل: contact[at]drnavidgh.ir
- ایمیل دوم: i.navidgh[at]gmail.com
- شماره تماس: 09190624123
- لینکدین: [Navid LinkedIn]
ترجیح میدم ابتدا از طریق ایمیل یا لینکدین یک تصویر اولیه از نیاز شما داشته باشم و بعد، اگر لازم بود، جلسهٔ کوتاهی (آنلاین) برای مرور جزئیات تنظیم کنیم.