- تمهيد : -
عالم الإختراق ما هو إلا عالم إنتهاك الخصوصيات إن صحَّ التعبير حيث تجتمع عمليات السرقة وآليات التجسس , وحيث أننا جميعنا سواء في إيثارنا للخصوصية علي الإختراق والفوضي الإلكترونية المسماه بالحرب الإلكترونية فعلينا أن نرتقي عن هذا الأمر ونكف عنه ويكفينا ما ألحقه من خسائر, وليس معني هذا أننا من دعاة الهزيمة الذين يلجئون للسلم عند الضعف , حاشا لنا ذلك إنما نحن لا نؤيد تلك الحرب الإلكترونية التي لا تحقق سوي إفساد المنتجات وإيقاف الخدمات العامة وإهدار الوقت فيما لا ينفع , فحَريُّ بنا أن نتكاتف جميعاً لمواجهة مثل هذه الأمور وأن نحرص علي إنتاج مخترقيين أخلاقيين يساهمون في الإبلاغ عن الثغرات الأمنية لا إستغلالها , تاركين للأنظمة الأمنية الضعيفة وشأنها لا تنفيذ الهجمات لمجرد كونها لا تقدم برنامج مكافئات , المخترقيين الأخلاقين بكل ما تحمله تلك الكلمة من معني نفتقر إليهم حقاً , وحين نتحدث عن الويب نجد أن الأمر قد بلغ أقصي مراحل الفوضي والإستبداد فمِن أولئك مَن يراسلون أصحاب المواقع ويخبرونهم بوجود ثغرة ما ويحددون لهم سعر أقل ما يُوصف به أنه خيالي وهذا في مقابل تلك الثغرة المجهولة حقيقتها والمشكوك في وجودها , فأقْبِح بكل ضعيفة ً نفسه يفعل ذلك ظناً أنه يحسن صنعاً ويبلي بلاءً حسناً .
وفي هذا الموضوع من مواضيع الحماية التي نطرحها على مدونة Bilal-Informatics نستعرض معكم شرح مفصل للبرنامج الشهير Acunetix-Web-Scanner نظرا ً لأهميته وسهولة إستخدامه , وبوجوده لن تكون بحاجة لتطبيق سلسلة من الأوامر علي أنظمة إختبار الإختراق بل إنه يغنيك عن التنقل هنا وهناك وتجميع المعلومات وتنفيذ الهجمات التي تنجح تارة ً وتفشل تارة ً وإضافة ً إلي ذلك فإنه لا يقل كفاءة ً عن غيره من الأنظمة والبرامج المعقد إستخدامها .
عالم الإختراق ما هو إلا عالم إنتهاك الخصوصيات إن صحَّ التعبير حيث تجتمع عمليات السرقة وآليات التجسس , وحيث أننا جميعنا سواء في إيثارنا للخصوصية علي الإختراق والفوضي الإلكترونية المسماه بالحرب الإلكترونية فعلينا أن نرتقي عن هذا الأمر ونكف عنه ويكفينا ما ألحقه من خسائر, وليس معني هذا أننا من دعاة الهزيمة الذين يلجئون للسلم عند الضعف , حاشا لنا ذلك إنما نحن لا نؤيد تلك الحرب الإلكترونية التي لا تحقق سوي إفساد المنتجات وإيقاف الخدمات العامة وإهدار الوقت فيما لا ينفع , فحَريُّ بنا أن نتكاتف جميعاً لمواجهة مثل هذه الأمور وأن نحرص علي إنتاج مخترقيين أخلاقيين يساهمون في الإبلاغ عن الثغرات الأمنية لا إستغلالها , تاركين للأنظمة الأمنية الضعيفة وشأنها لا تنفيذ الهجمات لمجرد كونها لا تقدم برنامج مكافئات , المخترقيين الأخلاقين بكل ما تحمله تلك الكلمة من معني نفتقر إليهم حقاً , وحين نتحدث عن الويب نجد أن الأمر قد بلغ أقصي مراحل الفوضي والإستبداد فمِن أولئك مَن يراسلون أصحاب المواقع ويخبرونهم بوجود ثغرة ما ويحددون لهم سعر أقل ما يُوصف به أنه خيالي وهذا في مقابل تلك الثغرة المجهولة حقيقتها والمشكوك في وجودها , فأقْبِح بكل ضعيفة ً نفسه يفعل ذلك ظناً أنه يحسن صنعاً ويبلي بلاءً حسناً .
وفي هذا الموضوع من مواضيع الحماية التي نطرحها على مدونة Bilal-Informatics نستعرض معكم شرح مفصل للبرنامج الشهير Acunetix-Web-Scanner نظرا ً لأهميته وسهولة إستخدامه , وبوجوده لن تكون بحاجة لتطبيق سلسلة من الأوامر علي أنظمة إختبار الإختراق بل إنه يغنيك عن التنقل هنا وهناك وتجميع المعلومات وتنفيذ الهجمات التي تنجح تارة ً وتفشل تارة ً وإضافة ً إلي ذلك فإنه لا يقل كفاءة ً عن غيره من الأنظمة والبرامج المعقد إستخدامها .
- الشرح :-
من خلال هذا العملاق تستطيع فحص مواقع الويب بسهولة والتحقق إذا ما كانت مصابة بالثغرات أم لا , ومن أشهر تلك الثغرات الأمنية وأكثرها تواجداً في الويب والتي يدعم البرنامج فحصها ( Sql - Xss – File Inclusion ) وكذلك يقوم البرنامج بتزويدك بتقرير مفصل بنتائج الفحص ,وإليك ثلاث طرق لإجراء الفحص إختر ما تريد منهما :-
من خلال هذا العملاق تستطيع فحص مواقع الويب بسهولة والتحقق إذا ما كانت مصابة بالثغرات أم لا , ومن أشهر تلك الثغرات الأمنية وأكثرها تواجداً في الويب والتي يدعم البرنامج فحصها ( Sql - Xss – File Inclusion ) وكذلك يقوم البرنامج بتزويدك بتقرير مفصل بنتائج الفحص ,وإليك ثلاث طرق لإجراء الفحص إختر ما تريد منهما :-
- علي الحاسوب : -
وذلك بتحميل البرنامج من هنا (Acunetix-Web-Scanner ) وسيتوجب عليك إدراج بياناتك والبريد الإلكتروني الذي سيتم إرسال رابط التحميل إليه , وبعد ذلك تابع شرح التثبيت التالي ,
وذلك بتحميل البرنامج من هنا (Acunetix-Web-Scanner ) وسيتوجب عليك إدراج بياناتك والبريد الإلكتروني الذي سيتم إرسال رابط التحميل إليه , وبعد ذلك تابع شرح التثبيت التالي ,
إنقر لبدء التثبيت سريعا ً
يتطلب الموافقة علي إتفاقية التثبيت قبل المتابعة ,
قم بتحديد مسار تثبيت ملفات البرنامج والتي ستشغل 54.2 ميجا بايت من مساحة القرص , ثم تابع التثبيت ,
يلزم تحديد هذا الخيار لتتمكن من إجراء الفحص عن طريق المتصفح ( كما سيتم التوضيح بعد قليل )
حدد هذا الخيار إن كنت ترغب بإنشاء إختصار سريع للبرنامج علي سطح المكتب ,
وأخيرا ً إنقر ليتم تثبيت البرنامج بما حددت من إعدادات ,
يمكنك إدخال عنوان الموقع الذي تري فحصه أو ترك ذلك العنوان الذي تم إنشاءه بغرض تجربة البرنامج , أيضا يمكنك تحديد ثغرة معينة ترجح إصابة الموقع بها أو ترك الإختيار كما هو لإجراء الفحص الشامل , أيضا يمكنك تحديد ثغرة معينة ترجح إصابة الموقع بها أو ترك الإختيار كما هو لإجراء الفحص الشامل ,
كما ترون لقد قمت بإدخال مدونة Bilal-Informatics ليتم فحصها , للفت الإنتباه أن الموقع مستضاف علي Blogger التابعة لشركة Google الشهيرة لذا من الصعب إختراق المدونة لأن هذا يتطلب إختراق Blogger بالكامل وبوجود ثغرة ما سيتم الوصول لكافة المدونات وليس مدونة بلال للمعلوميات أو أية مدونة , إذا ً فنحن علي علم بنتائج هذا الفحص قبل أن نشرع بإجراءه , ونلاحظ في نتائج الفحص الذي لازال يعمل ولم ينقضي منه الكثير أن كل ما حصل عليه البرنامج ما هو إلا بضع معلومات ولا جدوى من الإستمرار في عملية الفحص , فيجب أن تأخذ هذا الأمر بعين الإعتبار توفيرا ً للجهد والوقت .
بعد تحميل وتثبيت البرنامج , لا داعي لإستدعاء البرنامج لإجراء عمليات الفحص علي مواقع الويب خاصة إن كنت تجري العديد منها مرارا ً وتكرارا ً , إذ ْ يمكنك إستخدام الإضافة الخاصة بالبرنامج علي المتصفح إن كنت من مستخدمي Fire-Fox المشهور بكثرة إضافات إختبار الإختراق للويب عليه كثرة مفرطة , ولتثبيت الإضافة عليك تحديد الخيار الخاص بها أثناء تثبيت البرنامج كما وضحنا فيما سبق , وبعد تثبيت البرنامج ستلاحظ ظهور رسالة تأكيد لتثبيت الإضافة من المتصفح وبالنقر علي Install وإعادة تشغيل المتصفح ستجد شريط أعلي المتصفح يحمل أزرار عمل البرنامج وهذا ما تمثله الإضافة
وكما تري بمجرد زيارة موقع ما وليكن مدونة Bilal-Informatics فإنه بإمكانك إجراء الفحص علي إحدى الثغرات أو جميعها كما هو الحال في البرنامج , ويظهر شريط تقدم حالة الفحص مباشرة كالتالي ,
ولا يُشترط أن تُبقي متصفحك علي الموقع الذي يتم فحصه بل يمكنك التنقل بين التبويبات الأخرى علي المتصفح أو إغلاق ذلك الموقع نهائيا ً ريثما يتم الفحص دون عقبات وحين ينتهي البرنامج من الفحص تلقائيا ً أو بإلغاءه فإنه سيظهر النتائج التي توصل إليها
وقد علمنا فيما سبق أنه لن يتم العثور علي ثغرات وإنما هذا مجرد فحص تجيربي لا أكثر , وعندما ترغب في مراجعة نتائج الفحص بشكل أفضل يمكنك تحديد ذلك الخيار بالأسفل وإغلاق هذه النافذة لتتمكن من معاينة النتائج في علامة تبويب جديدة بالمتصفح حيث الرؤية الأكثر وضوحا ً والأدق في الرؤية , وكذلك يمكنك تصدير نتائج الفحص علي هيئة ملف Xhtml للإحتفاظ به علي الحاسوب إذا ما كان يهمك التطلع عليه فيما بعد .
يمكنك إجراء الفحص مباشرة عن طريق الإنترنت دون تحميل البرنامج وتثبيته إذا
كان معدل فحصك لمواقع الويب ضئيل ومراته معدودة , فكل ما عليك فعله هو
التوجه إلي هذا الرابط acunetix وبعد ملئ الحقول المطلوبة إنقر علي زر التسجيل ,
وستصلك رسالة تأكيد علي بريدك الإلكتروني , وبعد التأكيد سيتم تحويلك علي هذا الرابط acunetix والذي ينبغي عليك التوجه إليه كلما أردت فحص موقع ما ,
يمكنك إدخال رابط موقع معين ترغب في فحصه أو إختيار أحد المواقع المعدة بغرض التجربة ثم إنتقل للخطوة التالية وهي بدء الفحص ,
وقد قمت بإضافة موقعين من خلال الخطوة الأولي , الأول هو موقع Bilal-Informatics والثاني هو أحد المواقع التجريبية , وهذا للفت الإنتباه إلي أمر هام ألا وهو أنه بإمكانك فحص المواقع فقط التي هي ملك لك , فكما ترى موقع Bilal-Informatics غير مفعل ولا يمكن فحصه على عكس الموقع الثاني , ولتأكيد ملكية الموقع إضغط علي إسمه ثم قم بتحميل الملف الموجود بالصفحة وقم برفعه علي موقعك علي الصفحة الرئيسية بحيث يكون رابط ذلك الملف النصي بعد الرفع على موقع Bilal-Informatics -علي سبيل المثال لا الحصر- كالتالي
وبعد الرفع قم بالضغط علي زر التأكيد , وحينها ستتمكن من فحص الموقع الخاص بك ويمكنك إجراء فحص كامل أو مخصص كالتالي ,
وعليك أن تنتظر ريثما يتم الفحص , وحين ينتهي سيتم تنبيهك عن طريق البريد وكل ما عليك فعله هو التوجه للخطوة الثالثة حيث تعرض النتائج وإذا أردت عمل تقرير فيمكنك ذلك في الخطوة الرابعة .
ومن الجدير بالذكر أن عدم العثور علي ثغرات بموقع ما لا يعني بالضرورة أنه خالي من الثغرات ويستحيل إختراقه فتلك الأنظمة من صنع البشر ولا يوجد نظام متكامل ومؤمن بدرجة 100% حتي إن الأنظمة الأمنية لشركات كبرى قد تعرضت للإختراق من قبل ولازال يحدث هذا وسيظل .
لا تستفد و تذهب إن كانت مدونة Bilal-Informatics قد أفادتك و تراها جيدة فأكرمنا بالإشتراك في قناتنا على اليوتوب و الإعجاب لصفحتنا على الفيسبوك هكذا سيصلك كل جديد في مجال التقنية و جزاك الله خيرا .
قم بتحديد مسار تثبيت ملفات البرنامج والتي ستشغل 54.2 ميجا بايت من مساحة القرص , ثم تابع التثبيت ,
يلزم تحديد هذا الخيار لتتمكن من إجراء الفحص عن طريق المتصفح ( كما سيتم التوضيح بعد قليل )
حدد هذا الخيار إن كنت ترغب بإنشاء إختصار سريع للبرنامج علي سطح المكتب ,
وأخيرا ً إنقر ليتم تثبيت البرنامج بما حددت من إعدادات ,
قد إكتمل التثبيت , حدد الخيار لتشغيل البرنامج مباشرة بعد الإنهاء بالنقر علي زرFinish .
وستظهر الواجهة التالية ,
يمكنك إدخال عنوان الموقع الذي تري فحصه أو ترك ذلك العنوان الذي تم إنشاءه بغرض تجربة البرنامج , أيضا يمكنك تحديد ثغرة معينة ترجح إصابة الموقع بها أو ترك الإختيار كما هو لإجراء الفحص الشامل , أيضا يمكنك تحديد ثغرة معينة ترجح إصابة الموقع بها أو ترك الإختيار كما هو لإجراء الفحص الشامل ,
كما ترون لقد قمت بإدخال مدونة Bilal-Informatics ليتم فحصها , للفت الإنتباه أن الموقع مستضاف علي Blogger التابعة لشركة Google الشهيرة لذا من الصعب إختراق المدونة لأن هذا يتطلب إختراق Blogger بالكامل وبوجود ثغرة ما سيتم الوصول لكافة المدونات وليس مدونة بلال للمعلوميات أو أية مدونة , إذا ً فنحن علي علم بنتائج هذا الفحص قبل أن نشرع بإجراءه , ونلاحظ في نتائج الفحص الذي لازال يعمل ولم ينقضي منه الكثير أن كل ما حصل عليه البرنامج ما هو إلا بضع معلومات ولا جدوى من الإستمرار في عملية الفحص , فيجب أن تأخذ هذا الأمر بعين الإعتبار توفيرا ً للجهد والوقت .
- من خلال المتصفح ( Fire-Fox ) : -
بعد تحميل وتثبيت البرنامج , لا داعي لإستدعاء البرنامج لإجراء عمليات الفحص علي مواقع الويب خاصة إن كنت تجري العديد منها مرارا ً وتكرارا ً , إذ ْ يمكنك إستخدام الإضافة الخاصة بالبرنامج علي المتصفح إن كنت من مستخدمي Fire-Fox المشهور بكثرة إضافات إختبار الإختراق للويب عليه كثرة مفرطة , ولتثبيت الإضافة عليك تحديد الخيار الخاص بها أثناء تثبيت البرنامج كما وضحنا فيما سبق , وبعد تثبيت البرنامج ستلاحظ ظهور رسالة تأكيد لتثبيت الإضافة من المتصفح وبالنقر علي Install وإعادة تشغيل المتصفح ستجد شريط أعلي المتصفح يحمل أزرار عمل البرنامج وهذا ما تمثله الإضافة
وكما تري بمجرد زيارة موقع ما وليكن مدونة Bilal-Informatics فإنه بإمكانك إجراء الفحص علي إحدى الثغرات أو جميعها كما هو الحال في البرنامج , ويظهر شريط تقدم حالة الفحص مباشرة كالتالي ,
ولا يُشترط أن تُبقي متصفحك علي الموقع الذي يتم فحصه بل يمكنك التنقل بين التبويبات الأخرى علي المتصفح أو إغلاق ذلك الموقع نهائيا ً ريثما يتم الفحص دون عقبات وحين ينتهي البرنامج من الفحص تلقائيا ً أو بإلغاءه فإنه سيظهر النتائج التي توصل إليها
وقد علمنا فيما سبق أنه لن يتم العثور علي ثغرات وإنما هذا مجرد فحص تجيربي لا أكثر , وعندما ترغب في مراجعة نتائج الفحص بشكل أفضل يمكنك تحديد ذلك الخيار بالأسفل وإغلاق هذه النافذة لتتمكن من معاينة النتائج في علامة تبويب جديدة بالمتصفح حيث الرؤية الأكثر وضوحا ً والأدق في الرؤية , وكذلك يمكنك تصدير نتائج الفحص علي هيئة ملف Xhtml للإحتفاظ به علي الحاسوب إذا ما كان يهمك التطلع عليه فيما بعد .
- فحص الثغرات علي الإنترنت : -
وستصلك رسالة تأكيد علي بريدك الإلكتروني , وبعد التأكيد سيتم تحويلك علي هذا الرابط acunetix والذي ينبغي عليك التوجه إليه كلما أردت فحص موقع ما ,
لإجراء الفحص ستمر بأربع خطوات مرتبة كما تري , الأولي هي تحديد الهدف
يمكنك إدخال رابط موقع معين ترغب في فحصه أو إختيار أحد المواقع المعدة بغرض التجربة ثم إنتقل للخطوة التالية وهي بدء الفحص ,
وقد قمت بإضافة موقعين من خلال الخطوة الأولي , الأول هو موقع Bilal-Informatics والثاني هو أحد المواقع التجريبية , وهذا للفت الإنتباه إلي أمر هام ألا وهو أنه بإمكانك فحص المواقع فقط التي هي ملك لك , فكما ترى موقع Bilal-Informatics غير مفعل ولا يمكن فحصه على عكس الموقع الثاني , ولتأكيد ملكية الموقع إضغط علي إسمه ثم قم بتحميل الملف الموجود بالصفحة وقم برفعه علي موقعك علي الصفحة الرئيسية بحيث يكون رابط ذلك الملف النصي بعد الرفع على موقع Bilal-Informatics -علي سبيل المثال لا الحصر- كالتالي
وبعد الرفع قم بالضغط علي زر التأكيد , وحينها ستتمكن من فحص الموقع الخاص بك ويمكنك إجراء فحص كامل أو مخصص كالتالي ,
وعليك أن تنتظر ريثما يتم الفحص , وحين ينتهي سيتم تنبيهك عن طريق البريد وكل ما عليك فعله هو التوجه للخطوة الثالثة حيث تعرض النتائج وإذا أردت عمل تقرير فيمكنك ذلك في الخطوة الرابعة .
ومن الجدير بالذكر أن عدم العثور علي ثغرات بموقع ما لا يعني بالضرورة أنه خالي من الثغرات ويستحيل إختراقه فتلك الأنظمة من صنع البشر ولا يوجد نظام متكامل ومؤمن بدرجة 100% حتي إن الأنظمة الأمنية لشركات كبرى قد تعرضت للإختراق من قبل ولازال يحدث هذا وسيظل .
_________________
أنشر هده المعلومة إلى أعز الناس إلى قلبك ليستفيد الجميع و جزاكم الله خيرا
لا تستفد و تذهب إن كانت مدونة Bilal-Informatics قد أفادتك و تراها جيدة فأكرمنا بالإشتراك في قناتنا على اليوتوب و الإعجاب لصفحتنا على الفيسبوك هكذا سيصلك كل جديد في مجال التقنية و جزاك الله خيرا .
Tags:
مقالات