مقدمة من أكاديمية حسوب
دورة تطوير التطبيقات باستخدام لغة JavaScript
في هذه الدورة ستتعلم لغة جافا سكريبت, استخدام مكتبة React.js, بناء API الموقع بواسطة Node.js, تطوير تطبيق جوال باستخدام React Native, و في نهاية الدورة ستتعلم تطوير تطبيق محادثة شبيه بتطبيق WhatsApp.
دورة تطوير واجهات المستخدم
في هذه الدورة ستتعلم لغة HTML و لغة CSS و لغة JavaScript. من ناحية التطبيق العملي ستتعلم طريقة بناء واجهة متجر إلكتروني مكون من ست صفحات, تحويل خمسة تصاميم PSD إلى صفحات ويب, بناء واجهة مستخدم تشبه موقع يوتيوب, بناء لوحة تحكم إحترافية.
دورة تطوير تطبيقات الجوال باستخدام تقنيات الويب
في هذه الدورة ستتعلم أساسيات منصة كوردوفا و كيف تستخدمها لتطوير تطبيقات متعددة المنصات, بناء تطبيق لموقع Wordpress, تطوير تطبيق قائمة مهام, تطوير تطبيق حالة الطقس, تطوير تطبيق لمطعم باستخدام إطار العمل Ionic 4.
دورة تطوير تطبيقات الويب باستخدام لغة PHP
في هذه الدورة ستتعلم لغة PHP من الصفر, استخدام إطار العمل Laravel بشرح مفصّل و عملي, كيفية تطوير شبكة اجتماعية تشبه Instagram, بناء API لتطبيق جوال وفق أسلوب RESTful, تطوير موقع إعلانات مبوبة, تطوير نظام إدارة محتوى CMS كامل.
دورة تطوير تطبيقات الويب باستخدام لغة Ruby
في هذه الدورة ستتعلم البرمجة بلغة Ruby إنطلاقاً من أبسط المفاهيم وحتى بناء تطبيق حقيقي, إستخدام إطار العمل Ruby on Rails بشرح مفصّل و عملي, بناء تطبيق حقيقي عبارة عن شبكة اجتماعية تشبه تويتر, تطوير مجتمع الكتروني يشبه حسوب I/O.
دورة علوم الحاسوب
هذه الدورة معدة لتكون مدخل لعلوم الحاسوب و لغات البرمجة حيث ستتعرف فيها على أنظمة التشغيل و ستتعمق في نظام لينكس و في كيفية التعامل معه من خلال موجه الأوامر, بالإضافة إلى قواعد البيانات و أساسيات الشبكات و الخوادم و مبادئ الحماية والأمان في الويب.

إكتشاف ثغرات المواقع

تعريف أداة nikto

هي ماسح متعدد المصادر لخادم الويب (Web Server) تقوم بعمل إختبارات شاملة له للتحقق من ثغرات عديدة قد تكون موجودة فيه مثل الملفات خطيرة و إصدارات محدثة و بشكل رئيسي الثغرات العشرة الأكثر خطورة طبقاً لمشروع أمن تطبيقات الويب المفتوح, من الحكمة أن نقوم بفحص شامل للموقع قبل البدء في تنفيذ أي إختبار إختراق عليه.

 

إستخدام أداة nikto

لاستخدام هذه الأداة قم بفتح موجه الأوامر (Terminal) أولاً.
بعدها أكنب الأمر nikto -h لكي تفتح الأداة و لتظهر لك الأوامر التي يمكنك استخدامها فيها كالتالي.

 

إجراء فحص لموقع

لفحص موقع إلكتروني بهدف معرفة الثغرات التي تتواجد فيه نقوم بفحص عنوان الآيبي (IP) الخاص به.
إذا افترضنا أن عنوان الموقع هو  45.35.85.15 نكتب أمر الفحص كالتالي ثم ننقر على الزر Enter.

nikto -h 45.35.85.157

 

شرح الأوامر:

  • nikto هو إسم الأداة التي نفحص بها.
  • الباراميتر -h نضعه للإشارة إلى أننا سنذكر آيبي السيرفر (Server IP) الذي سوف نفحصه بعده.

بعد إنتظار إكمال الفحص و الذي قد يستغرق بضع دقائق ستظهر نتيجته كالتالي.

نلاحظ  أنه أعطانا بعض المعلومات مثل:

  • Server: Apache و هذا نظام الخادم الذي يعمل عليه الموقع.
  • شريط حماية (The X-XSS-Protection) أخبرنا أنه غير معرّف.
  • شريط خيارات (X-Content-Type-Options) غير مُعَد و يحتوي أيضا على ثغرة OSVDB-3233 التي تسمح للمهاجمين بالكتابة فوق الملفات عن بعد, يمكنك القراءة عنها أكثر من هنا إذا أردت.

 

تصدير نتيجة الفحص كصفحة ويب

في حال أردت الحصول على نتيجة الفحص بشكل مبسط أكثر و سهل القراءة (بالنسبة لعامة الناس) يمكنك إخراج نتيجة الفحص كصفحة ويب (كالصفحة التي تقرأها الآن) نوعها html من خلال كتابة الأمر التالي.

nikto -h 45.35.85.157 -output nikto -Format html

بعد إنتظار إكمال الفحص و الذي قد يستغرق بضع دقائق أيضاً سيتم حفظ نتيجته كملف نوعه html بداخل المجلد HOME. هذا الملف عبارة عن صفحة ويب عادية يمكنك النقر عليها و فتحها بواسطة أي متصفح.

إذاً نفس الفحص السابق يظهر كالتالي عند تصديره كصفحة ويب و فتحها بواسطة متصفح.

تصدير التقرير بهذا الشكل مهم جداً خاصةً للمتخصصين في إجراء إختبار إختراق فهو يقوم بتوثيق كل العمل الذي تقوم به إذ يخبرنا بالتقرير بدايةً ما هو عنوان الأيبي المستهدف (Target IP) و إسم المستضيف المستهدف (Target hostname) و كذلك المنفذ المستهدف (Target port) و في حالتنا هو 80 و الخادم النشط (HTTP Server)  و في حالتنا هو Apache و يمكن في أسفل الصورة رؤية جميع الثغرات الأمنية مع الوصف و كذلك الرابط الى إدخالات OSVDB فهو تقرير مفيد جداً و سهل التناول.

 

إجراء فحص مخصص

بالعودة لنافذة الأداة, ستجد أنه يمكنك إجراء الفحص على أنواع ثغرات محددة حيث أن هذه النافذة تريك كل خيارات البحث التي يمكنك إجراءها.

فعلى سبيل المثال إذا أردت إجراء فحص لمعرفة ما إن كان يوجد ثغرة من نوع SQL Injection فقط, يمكنك إضافة الباراميتر Tunning- يليه الرقم 9 لأن هذا الرقم يشير لهذه الثغرة كما في الصورة السابقة.

الآن, هكذا تستطيع إجراء فحص على الموقع بهدف معرفة ما إن كان مصاب بثغرة من نوع SQL Injection متجاهلاً أي ثغرة من نوع آخر:

nikto -h 45.35.85.157 -Tuning 9

كما ترون إنها أداة سهلة الإستخدام و مفيدة جداً كما أنها تستخدم بشكل أو بآخر معايير لفحص الثغرات الأمنية على خادم الويب.

 

أداة owasp-zap

هي أداة تستخدم لفحص الثغرات الأمنية على تطبيقات الويب و يمكن الوصول إليها بسهولة عبر الذهاب إلى Applications ثم Web Applications Analysis ثم إختيار owasp-zap.

إتبع التعليمات على الشاشة للبدء بالتطبيق و ستظهر بالشكل الآتي:

 

إنها في الحقيقة أداة سهلة الإستخدام فكل ما عليك فعله هو إدخال عنوان الأيبي الخاص بخادم الويب أو تطبيق الويب في مربع النص الموضوع بجانب جملة URL to attack و من بعدها قم بالنقر على الزر Attack حتى يبدأ بإجراء الفجص.

بعدها ستبدأ نتائج الفحص بالظهور في أسفل الأداة, و عند الإنتهاء النهاية سيعرض قائمة بالثغرات الأمنية ضمن القسم Alerts ثم سيصنفهم طبقاً لنوع الثغرات.

أيضاً لاحظ في الشريط الموضوع في أسفل الصفحة أنه يقوم بتصنيف الثغرات ضمن ألوان مختلفة, فاللون الأصفر هو أقل أولوية و البرتقالي متوسط إلخ.. كذلك سوف يعطيك الثغرة مع الوصف و الحل لها بالإضافة لبعض مواقع الويب كمراجع.

كما ترا إنها أداة سهلة جداً و قوية حقاً.

 

مقالات مقترحة:

مقالات مقترحة من موقع الكاتب:

نبّهني عن
guest
17 تعليقات
الآراء المضمنة
شاهد جميع التعليقات
نسرين عمر
نسرين عمر
8 شهور سابقاً

شرح كافي ووافي الله يعطيك العافية استمر بهيك شروحات

محمود اسامه
محمود اسامه
8 شهور سابقاً

أستعمل NetBeans ؟؟
ولا هذا برنامج مختلف؟

محمود اسامه
محمود اسامه
8 شهور سابقاً
رداً على  محمد العلوش

من وين افتح موجه الأوامر Terminal وش الأشياء اللي احتاجه للثغرات ولا في شي لازم اتعلمه قبل دروس الثغرات

ahmed
ahmed
8 شهور سابقاً

من فضلك اود ان تشرح لنا نظام لينكس وكيفية التعامل مع واساسياته وساكون شاكرا لك
ahmed’s_19@ تلجرام

حسام
حسام
8 شهور سابقاً

ازاي اجيب ال ip بتاع الموقع

دماني صلاح الدين
Mr.salah
8 شهور سابقاً

كيف نعرف المواقع التي يجب الهجوم عليها والتي لا يجب الهجوم عليها

سناسلي أحمد
سناسلي أحمد
6 شهور سابقاً

هل هذا البرنامج كافي لاكتساف الثغرات يعني ممكن كسب المال بواسطة هذا التطبيق فقط و شكرا

محمد
محمد
6 شهور سابقاً

كيف احملها

عرين القوس
3 شهور سابقاً

شكرا

جميع الحقوق محفوظة للموقع   ٢٠٢٠ - ٢٠١٤ ©
DMCA.com Protection Status

محتوى الموقع يخضع لرخصة (CC BY-NC-ND 4.0) التي لا تسمح باستخدام الشروحات لأغراض تجارية, إجراء تعديل عليها و نشرها في موقع آخر, وضع الشروحات في تطبيق أو في كتاب إلا في حال أخذ موافقة صريحة من إدارة الموقع.

© 2020 Harmash. All Content is licensed under CC BY-NC-ND 4.0 unless mentioned otherwise.