امن وحماية تطبيقات الويبمواضيع ومقالات

مقال : 5 إضافات Firefox لإختبار الحماية والتقييم الأمني

تم أرشفة هذا المحتوى


5 اضافات لمتصفّح Firefox لاختبار حماية المواقع واجراء تقييم أمني لتطبيقات الويب. حيث تقوم بعض هذه الأدوات بأتمتة العمليات التي يقوم بها الـ Penetration Tester واكتشاف نقاط الضعف في المواقع عن طريق السماح لمختبر الاختراق من تعديل الطلبات المرسلة ونظام التأكد من جانب العميل Client-side المستخدم بالموقع.

 

1. Tamper Data: من خلال هذه الأداة يمكنك استعراض والتعديل  على http/https في header للصفحة وأيضاً على POST Parameters، لتتبع وقت الاستجابه للـ http response/requests.

Tamper Data

2. HackBar: هذه الأداة عبارة عن Toolbar سوف يساعدك على إختبار ثغرات SQL Injections , XSS… وهذه الأداة ليست لتنفيذ الاستغلالات او لتعلمك كيف تقوم باختراق المواقع وإنماء الهدف الرئيسي لهذه الاداه هو مساعدة المطوّرين لعمل حماية على الأكواد البرمجية لهم.

HackBar

3. XSS Me: تستخدم هذه الأداة لإختبار ثغرات XSS. وهذه الأداة تعمل من خلال إرسال نماذج html واستبدال متغيرات نموذج html بمتغيرات أخرى لتنفيذ هجوم XSS. مع العلم أن الأداة لاتقوم بقرصنة كلمات السر أو هجمات على الجدر النارية.

XSS Me

4. SQL Inject Me: يتم استخدام هذه الأداة لإختبار الموقع من ثغرات SQL Injection. وهذه الأداة تعمل من خلال إرسال نماذج html واستبدال متغيرات النموذج باستغلالات لثغرات SQL Injection يتم تطبيقها بشكل أوتوماتيكي.

SQL Inject Me

 

5. Groundspeed: يسمح بالتحقق من المدخلات بدءً من بروتوكل http وبعض الاستخدامات العملية Groundspeed تشمل تغيير الحقول المخفيه، وأيضاً القوائم المنسدله (drop down lists) وغيرها الى حقل نصي مع القدرة على إزالة حجم وطول حقول المدخلات والتعديل على الأحداث (event )للجافا سكربت لتجاوز التحقق من جانب العميل في الواقع دون إزالته.

Ground Speed

عن الكاتب:


فايز الخليفي, متخصص في مجال أمن المعلومات. مبرمج محترف php و python يمتلك خبرة واسعة في أنظمة التشغيل والحماية بشكل عام.

مقالات ذات صلة

‫19 تعليقات

  1. الشرح حلو يااا مااان
    بس مش معقول يكون في ثغرة بالسيرفر عندك ياا عبدالمهيمن
    و على فكرة فيني اعمل Penetration test على سيرفرك او ميش مسموح 😛

  2. أخي لا يوجد شيء مستحيل حتى ان كنّا متخصصين بالحماية واختبار الاختراق, صحيح أننا نحاول جهدنا أن نصل بالموقع لأكبر درجة أمان ممكنة لكن بنفس الوقت نحن بشر ومن الممكن أن نخطئ 🙂 كما أننا نعلم مقدار ميزانيّة موقعنا وهي ليست كبيرة لدرجة تمكّننا من الوصول به للحماية القصوى ويوجد العديد من الشركات ميزانيتها بالملايين ولديهم خبراء وأنظمة مراقبة على مدار الساعة تم اختراقهم سابقاً.. أي شخص يعمل بمجال الحماية سيعلم هذا الكلام جيداً.

    حالياً العرض مفتوح للجميع واي شخص يحظر IP جهازه كل ما عليه ارسال ايميل للموقع يحتوي على IP جهازه ليتم ازالته من القائمة المحظورة وسنقوم بنهاية الأسبوع من ازالة أيبيات الأجهزة المحظورة للجميع.

  3. شكرا اخي فايز على الاضافات الجميله وهناك ما هو اكثر من ذلك مختص بالحمايه من تفعيل السكربتات تلقايا وغيرها

    ولكن الادوات المذكوره بالفعل هي تختصر قليلا على المخترق او الفاحص على حد سواء
    __________________________________________

    اخي عبد المهيمن
    __________________
    من يكتشف ثغرة في موقع iSecur1ty تمكّنه من اختراق الموقع أو الوصول لمعلومات حساسة فيه ويبلّغنا عنها سيحصل على 50$ مقابل ذلك بالاضافة لعدّة أمور أخرى…
    _______________________________________________________
    ___________________

    عيب هالكلام اخي نحن نتعلم منكم وان علمنا بشي لن ننتظر له مقابل يمكن الامور الاخرى اذا كانت مغريه نفكر بالموضوع 🙂

    سلام

  4. في النهاية انتم خبرين حماية
    بس في برامج اذا تم الفحص بها مش عم يحظر الاي بي
    للتأكيد

    + Target IP: 74.117.116.73
    + Target Hostname: isecurity.org
    + Target Port: 80
    + Start Time: 2010-03-05 3:44:03
    —————————————————————————
    + Server: Apache/2.2.3 (Red Hat)
    + robots.txt contains 2 entries which should be manually viewed.
    + No CGI Directories found (use ‘-C all’ to force check all possible dirs)
    + Retrieved X-Powered-By header: PHP/5.2.11
    + OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable to XST
    + Number of sections in the version string differ from those in the database, the server reports: apache/2.2.3 while the database has: 2.2.14. This may cause false positives.
    + ERROR: /vgn/vr/Select returned an error: error reading HTTP response
    + ERROR: /vgn/jsp/errorpage returned an error: error reading HTTP response
    + ERROR: /shoppingdirectory/midicart.mdb returned an error: error reading HTTP response
    + ERROR: /phpmyadmin/db_details_importdocsql.php?submit_show=true&do=import&docpath=../ returned an error: error reading HTTP response
    + ERROR: /dev/translations.php?ONLY=../../../../../etc/passwd returned an error: error reading HTTP response
    + /index.php?module=My_eGallery: My_eGallery prior to 3.1.1.g are vulnerable to a remote execution bug via SQL command injection.

  5. مااان بتأسف منك بس انا وصلت كلامك ببعضه و ما احترمت النزول على السطر
    ففهمت الكلام خطأ لهذا حطيت الرد ده يااا مااان
    و انا لم اقلل من احترامك لانني بحترم نفسي
    و انشاء الله ما تكون زعلت :S

  6. ههههههه خرجتم عن الموضوع الى موضوع سيرفر isecur1ty
    بس تصدقون والله موضوع حلو انك تتكلم مع واحد يهتم بامور الحماية
    وله سيرفر يدعي الحمايه isecur1ty فلو تتجه مواضيع المودنه الشامخه هذه
    الى مواضيع حماية السيرفرات والله شيء حلو وثاني ابي اقولكم ان موقع isecur1ty
    او بالاصح سيرفر isecur1ty فيه ثغره وانا ومتاكد بنسبة 88% مافي شيء كامل الا وجه الجبار
    سبحان وتعالى سوان ثغره غفل عنها اهل الحماية او ثغره لم تكتشف بعد و الخوف الكبير
    يا ادأرة isecur1ty ان كان السيرفر كله مافيه ثغرة فراح يكون السيرفر المسؤل عن السيرفر ممكن فيه ثغره مثل الداتا او شركة الدومين وقبل لا يحمي الشخص سيرفره يحمي جهازه الشخصي
    هو اكبر واخطر باب لكل شيء(كل شيء) حتى ولو كنت على لينكس الحذر واجب في معاملتك مع اي شيء او اي شخص وننتضر مواضيع حماية السيرفرات وانا مستعد ارسل لكم مواضيع حماية السيرفرات وتنزل من قبلكم

    موفقين

  7. جبروت هكر : بول معوشي
    نحن هنا اكثر من الاخوان
    وجبروت هكر لم يخطى بكلامه
    ذكر ان اي server/forum/site/etc فيه ثغرات
    اذا لم يكن اليوم غدا او بعد اسبوع .

    تسلم اخوي فايز على الموضوع وشرح الاضافات الرائعة .
    تحياتي لك

  8. مااان ممكن تنزل درس عبر الضغط على http://www.isecur1ty.org/submit-content.html
    و ثاني شيء عبدالمهيمن قال انه حماية السيرفر مش 100% و هو يعني ما في حماية 100%
    فما تكثر من الكلام على الفاضي و اذا انت متأكد اذا في السيرفر في شي ثغرة
    ممكن تختار بين احتمالين :ان تبلغ عن الثغرة او ان تخترق و تفرجينا قوتك
    ثالثا” من قال لك ان عبدالمهيمن منتظر مواقع السيكيورتي لتنزل ثغرات جديدة و هو يرقعها
    انا متأكد 100% ان فحص السكريبت قبل ما يرفعه و فحص السيرفر بالكامل بالنهاية كما قال انه الانسان و الانسان يخطأ
    مع تحياتي

  9. وشبك معصب وشبك ترد بهذه الاسلوب
    ترا الاخلاق شي طيب وانا ما قلت في كلامي شيء يقلل من الموقع او من اصحابه كلامي واضح
    جداً مثل كلامه انه مافي شيء 100% ولابد لوجود ثغره وما تكلمت انه ينتضر مواقع السيكورتي ولا تكلمت على ثغرات السيكربت وما ادعيت قوتي ولا اي شيء كل يعرف قدر نفسه ولاني من اهل فحص سيكربت ولا شيء وكلامي كان كله يبي يوصل اننا نتجه كمان في المدونه لمواضيع الحمايه و كلامي كان لادأرة الموقع مو لك
    وشكراً

  10. ان شاء الله يوم السبت بعد انتهاء الفروض ساقوم بعمل Penetration test و ساقوم بشرح للطريقة و الفكرة رائعة و حتي تصبح اروع كل شخص يقوم بشرح طريقته
    السلام

  11. شكراً أخ فايز على مشاركتك بالموقع وعذراً للتأخر بنشر المقال 🙂

    بالنسبة للاضافات فهي ممتازة وتسهّل كثير من الأمور على الـ Penetration Tester لكن أردت أن أسألك, ما وجدت موقع تجرب عليه غير iSecur1ty ؟ P:

    ملاحظة: استخدام هذه الأداوت على سيرفر iSecur1ty سيعرّض IP جهازك للحظر بشكل تلقائي. من يكتشف ثغرة في موقع iSecur1ty تمكّنه من اختراق الموقع أو الوصول لمعلومات حساسة فيه ويبلّغنا عنها سيحصل على 50$ مقابل ذلك بالاضافة لعدّة أمور أخرى…

    العرض بدء من الآن 🙂

  12. السلام عليكم ورحمة الله

    ايه الحكاية يا اخواني لا تنسو انكم كبار وعقال مافي داعي للعصبيه

    عبدالمهيمن : لا اخوي مجرد تجربه ولانقصد الاساءه للموقع وكمان الحماية ماقصرت حظرت الايبي بتاعي .

    بول معوشي : اهلين اخي الكريم

    tarek : اتمنى لك الاستفاده

    جبروت هكر : تعدد طرق الاختراق الموقصود منك اخي الكريم

    وتحياتي لشباب الاخرين

  13. فايز الخليفي: لا تقلق أخي كنت أعلم ذلك وأنا كنت أمزح معك فقط 🙂 وعذرأ لتخريب موضوعك بهذه النقاشات.

    بول معوشي: النتائج التي وضعتها خاطئة, باقي الطلبات ظهرت رسالة error reading HTTP response لأن طلبك تم منعه من الأساس, لم يتم حظر IP جهازك لأن هذه الطلبات ليست خطيرة تستدعي حظر IP فهي مجرد طلبات لروابط غير موجودة في الموقع, اثنان منهم فقط هي تجريب لثغرات وملفات اللوج أظهرت ذلك عندنا 🙂

    بالنسبة للجدال الحصل فلا يوجد داعي له ونحن أخوة وعلينا التعامل مع النقاشات بهدوء لكن من الجميل أن نتفق بالنهاية.

    بالمناسبة تم ازالة جميع الأيبيات المحظورة وأتمنى من الجميع ألا يكمل أي نقاش خارج الموضوع وأي نتائج أو أمور أخرى يرجى ارسالها للايميل لمناقشتها من هناك.

  14. والله موضوع رائع
    ولكن تعرفون ايش الجميل اكثر؟؟؟ التعليقات و في الحقيقة التعصب شيء جميل لكن الا لو كان في النهاية توافق بين الطرفين

    و للاشارة اتمنا ان يتم اظافة قسم خاص بادارة و حماية السيرفرات
    تحية طيبة ++

  15. والله الاضافات مميزه على حد سواء للمخترق او من يريد الفحص والحمايه

    جدا مميز هذا الموقع ولكن عندي سؤال محيرني ..؟

    لماذا لايتم افتتاح منتدى باسم هذا الموقع ويكون واجهه عربيه للعرب والمسلمين في تعلم

    طرق الحمايه وتكون فيه دورات ايضا خاصه بالحمايه وايضا بالهاكر الاخلاقي .؟

    هل هناك خطوهـ قادمه لافتتاح منتدى ام ماذا ؟

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى