مدونة عبدالمهيمن

WebGoat اسم غريب لكنه يعتبر أحد أقوى مشاريع Open Web Application Security Project المعروف بـ OWASP وهو مجتمع مفتوح متخصص في أمن تطبيقات الويب و ثغراتها وله الكثير من المشاريع و الأدوات الأخرى مثل أداة SWFIntruder التي كتبت عنها موضوع سابق تجدونه هـــنـــا, مشروع WebGoat ليس أداة أو برنامج لاختبار حماية تطبيقات الويب كما قد يظن البعض بل هو مشروع تعليمي لا أبالغ ان قلت عنه “رهيب” فهو يشرح بشكل مفصل كيفية اكتشاف ثغرات تطبيقات الويب وأسبابها و كيفية استغلالها وذلك بالتطبيق العملي على ثغرات حقيقية داخل المشروع…

اقرء المزيد

أتوقع أنه لايوجد أحد يقرأ هذا الموضوع ولايعرف Google ففي تدوينة كتبها أخي B!n@ry بعنوان Google سلاح ذو حدين أظهر فيها امكانية استخدامه في أمور خطيرة وأثناء بحثي في الانترنت وجدت أداة اسمها Goolag وهي محور موضوعنا فهذه الأداة من برمجة فريق CULT OF THE DEAD COW المعروف بـ cDc تمت برمجتها بالـ .NET وبلغة #C تحديدا فكرتها بسيطة ولكنها فعالة جدا فهذه الأداة تبحث في موقع معين عن قائمة ضخمة من الـ Dorks يصل عددها للـ 1418 موزعة على عدة أقسام أتوقع أنه من الممكن تحديثها, بعد أن يتم تحديد الموقع الذي تريد فحصه ستبدأ الأداة عملها بفحص الموقع ولكن بالاستعانة بـ Google فهو من سيفحص موقعك وليس الأدة! وبعد ذلك ستظهر لك النتائج التي حصلت عليها بالاضافة لشرح الثغرة ومصدرها وهناك ستجد طريقة استغلالها أيضا!! يعني والله اكتشاف ثغرات الموقع صار أسهل من شرب الماء… الله يرحم أيام زمان كان كل شيء يدوي

اقرء المزيد

مرت فترة لا بأس بها وأنا لا أكتب شيء في المدونة وأصبحت لا أكتب موضوع الا بالاسبوع مرة وأتوقع أنكم لاحظتم هذا الشيء السبب في ذلك يعود لانشغالي بأشياء كثيرة حيث مريت بضغط كبير في الوقت ولكن بجميع الأحوال سأحاول جهدي ألا أنقطع عن المدونة فأنا متابع معكم بشكل يومي وسيتم الرد على أي سؤال بأقرب وقت ان شاء الله.

موضوع اليوم عبارة عن مجموعة أدوات رائعة اسمها BurbSuite من برمجة portswigger تتضمن المجموعة أدوات عديدة مجمعة في برنامج واحد تستخدم في فحص و اختبار تطبيقات الويب ومهاجمتها عن طريق الـ REQUEST والـ RESPONSE الخاص ببروتوكول الـ HTTP فالمجموعة تتضمن 7 أدوات مفيدة هي:

اقرء المزيد

في موضوع سابق كتبته في المدونة الـ Reverse Engineering وأدواتها Ultimate Crackers Kit v3.2 وضحت فيه مفهوم الهندسة العكسية بالاضافة لمجموعة ضخمة من الأدوات التي قد يحتاجها أي شخص يريد الدخول في هذا العالم ولكن من المؤكد أن الأدوات وحدها لاتكفي فما فائدتها اذا كنا لانعلم وظيفة هذه الأدوات أو طريقة استخدامها! و بعد أن شاهدت اهتمام الزوار بهذه النوعية من المواضيع قررت أن أكمل هذا الطريق وأبدا بكتابة سلسة بسيطة تشرح طرق تحليل البرامج ومعرفة محتوياتها وحتى التعديل عليها وتعريبها وكما وضحت في الموضوع السابق بأني لن أشرح طرق كسر البرامج وفك حمايتها أو كتابة شروحات عن كيفية صناعة الكراك لأسباب تم توضيحها.

اقرء المزيد

سأبدأ من الأن وصاعدا الكتابة عن مواضيع ذات طابع جديد في المدونة تعرف بالـ Reverse Engineering او الهندسة العكسية اذا أردنا تسميتها باللغة العربية, يعتبر الـ Cracking وعملية كسر البرامج أحد أقسام الهندسة العكسية ولكني لن أتطرق لهذا النوع من المواضيع لأسباب عديدة منها لأني لست مهتم بهذه النوعية من الهندسة العكسية وبصراحة لأني لست خبير بدرجة كافية تجعلني قادر على كتابة شروحات كاملة وطرق مفصلة لكسر البرامج وأكتفي بالتطبيق والاستخدام الشخصي فقط بالاضافة لأني أكره كسر حماية البرامج فإما اشتري البرنامج واستعمله بشكل نظامي أو استخدم بديلا عنه فنظام لينوكس متوفر والبرامج المجانية المفتوحة المصدر والقوية متوفرة بكثرة كل ماعليك هو البحث, أما الذي سأشرح عنه هو كيفية تحليل البرامج وكشف أسرارها لمعرفة أدق التفاصيل عنها والقيام بتعديلات بسيطة عليها, وطبعا كل ذلك يتم باستخدام أدوات الـ Cracking المتنوعة…

اقرء المزيد