دائماً عند القيام بالـ pentests نحتاج إلى أدوات مساعدة لتساعدنا على أنجاز عملنا بشكل سهل وعملي أكثر, وطبعاً من الصعب أن تقوم بعمل كل شيء يدوي فهذا أهدار للوقت بدون فائدة, وأيضاً شيء مُمل أن تقوم ببرمجة كل أداة تحتاجها من جديد وهناك أدوات جاهزة, مجانية ومفتوحة المصدر, ويمكنك التعديل عليها حسب الحاجة و الرغبة, سوف نتحدث اليوم عن أداة ProxyStrike v2.1 فكرة وفائدة الأداة, أسلوب العمل, تشغيلها, متطلبتها و تحميلها.
فكرة الأداة: لنفرض أنك قمت بعمل تطبيق ويب أو تملك تطبيق ويب وتريد أن تفوم بفحص (عملية pentest) هذا التطبيق أمنياً من ناحية XSS و SQL Injection, اذاً هذه الأداة هية متطلبك, بالطبع هناك الكثير من الأدوات تقوم بهذا العمل وعلى سبيل المثال لا الحصر أداة RatProxy من Google ولكن لكل أداة مميزات و عيوب! .. للعلم أن الأداة في الوقت الحالي تحتوي على موديلين للـ XSS و SQL Injection والموديلين تم تصميمهم على كشف معضم أو أغلب أخطاء/ثغرات XSS و SQL Injection.
موديل SQL Injection تم عملة بالـ Python, أما موديل XSS تم عملة بمكتبة Gazpacho
أسلوب عمل الأداة: بكل بساطة هية لا تختلف عن بقية الأدوات التي تعمل هذه المهمة فهية في النهاية Proxy أي سوف نعمل على المتصفح, نقوم بتشغيل الأداة على شكل Passive Proxy ونضبطها للتنصت على المنفذ 8008 (بشكل أفتراضي هو كذالك), وأيضاً لا تنسى أن تضبط المتصفح على أن يستخدم ProxyStrike على أنها الـ Proxy, وبعد هذا عليك أن تتصفح التطبيق (الموقع) والعمل علية, وفي هذه الأثناء سوف تقوم الأداة بعمل analyze أو تحليل للتطبيق (الموقع) وتتم هذه العملية على شكل background mode
” العمل على شكل background mode هوة أفضل بكثير, أنت لن ترى أي أختلاف ملحوظ ولكن في الكواليس هو يعمل بشكل نشط”
مميزات الأداة:
- Plugin engine – Create your own plugins
- Request interceptor
- Request diffing
- Request repeater
- Automatic crawl process
- Save/restore session
- Http request/response history
- Request parameter stats
- Request parameter values stats
- Request url parameter signing and header field signing
- Use of an alternate proxy
- Sql attacks
- Server Side Includes
- Xss attacks
- Attack logs
- Export results to HTML or XML
تدعم أنظمة التشغيل:
- نظام لينكس Linux
- نظام ويندوز Windows
متطلبات التشغيل:
مصدر التطبيق:
- اضغط هنا لرؤية مصدر التطبيق
وأخيراً لتحميل الأداة من (google code) نسخة تنفيذية Executable
جميل
ان شاء الله اجربهة
اني بصراحا جربت rat proxy
مشكور اخي على الشرح
السلام عليكم و رحمة الله و بركاته
,,,لكن وش الأفضل proxySrike أو ratProxy ,,,؟
تحيأآإتيـ
ماتعمقت في الاثنين, بس أشوف أن ratProxy دعمها, مميزاتها أقوى
بس ممكن تستغل الاثنين .. يعني بدل من أن تعتمد على ratProxy فقط أو ProxyStrike فقط ..
تقوم باستخدام الاثنين أولاً تجرب ratProxy وتشوف ايش يطلع معك .. وبعدين تجرب ProxyStrike وتشوف النتائج الي طلعت لك .. وفي هذه الحالة أنت المستفيد! .. لئن جربت الفحص بأكثر من أداة يعني راح يكون عندك نتائج أفضل.
شكرا لك على شرح هذه الأداة.. سأحاول تجربتها قريبا..
وائل
أبدعت ياخوك ولاكن البعض يعنقد من الموضوع
هذه بما ذكر فيه انه وقفت كل اداوت الـ Pr0xy الاخرهـ
لا هي افضل وهنالك افضل ولاكن للكل عيوب
موفقين !!
شكرا اخي الغالي علي الموضوع الرائع وباذن الله تستمرون علي هذا الاداءالطيب
كنت حابب تشوف المشكلة دي
http://forum.joomla.org/viewtopic.php?f=428&t=384910
يمكن تجد لها حل لانها موقفه كل شغلي انا عارف ان مكانها مش هنا بس اسف لم استطع مراسلتك عبر الموقع
وشكرا
أخي الموقع لا يقدم خدمات لسكريبت جملة! أو مشاكلها وليس له أي علاقة بتطوير المواقع!
يوجد مواقع متخصصة بهذه الأمور ننصحك أن تطرح أسئلتك فيها, بالتوفيق…
أول شي مبروك افتتاح الموقع
ثاني شي شكراً على المقالة الرائعة
واخيراً الرابط لم يعمل معي
الله يبارك فيك أخي عبدالحميد..
بالنسبة للروابط فهي شغالة لكن Google Code محجوب في سوريا 🙁
أول شي مبروك افتتاح الموقع
ثاني شي شكراً على المقالة الرائعة
وارجوا منكم طلب صغير و هو عمل شرح لاحسن طرق التخفي عند الاختراق و شكرا
تـــحـــياتي اخوكم // ياسين
ارجو مراسلتي على هذا الايميل
[email protected]