| 5 إضافات Firefox لإختبار الحماية والتقييم الأمني |
| الكاتب فايز الخليفي |
| الأربعاء, 03 مارس 2010 22:17 |
|
5 اضافات لمتصفّح Firefox لاختبار حماية المواقع واجراء تقييم أمني لتطبيقات الويب. حيث تقوم بعض هذه الأدوات بأتمتة العمليات التي يقوم بها الـ Penetration Tester واكتشاف نقاط الضعف في المواقع عن طريق السماح لمختبر الاختراق من تعديل الطلبات المرسلة ونظام التأكد من جانب العميل Client-side المستخدم بالموقع.
1. Tamper Data: من خلال هذه الأداة يمكنك استعراض والتعديل على http/https في header للصفحة وأيضاً على POST Parameters، لتتبع وقت الاستجابه للـ http response/requests.
5. Groundspeed: يسمح بالتحقق من المدخلات بدءً من بروتوكل http وبعض الاستخدامات العملية Groundspeed تشمل تغيير الحقول المخفيه، وأيضاً القوائم المنسدله (drop down lists) وغيرها الى حقل نصي مع القدرة على إزالة حجم وطول حقول المدخلات والتعديل على الأحداث (event )للجافا سكربت لتجاوز التحقق من جانب العميل في الواقع دون إزالته.
عن الكاتب:
التعليقات (17)
  أرسلت بواسطة: بول معوشي في March 04, 2010
الشرح حلو يااا مااان
بس مش معقول يكون في ثغرة بالسيرفر عندك ياا عبدالمهيمن و على فكرة فيني اعمل Penetration test على سيرفرك او ميش مسموح :P
 أرسلت بواسطة: عبدالمهيمن في March 04, 2010
أخي لا يوجد شيء مستحيل حتى ان كنّا متخصصين بالحماية واختبار الاختراق, صحيح أننا نحاول جهدنا أن نصل بالموقع لأكبر درجة أمان ممكنة لكن بنفس الوقت نحن بشر ومن الممكن أن نخطئ :) كما أننا نعلم مقدار ميزانيّة موقعنا وهي ليست كبيرة لدرجة تمكّننا من الوصول به للحماية القصوى ويوجد العديد من الشركات ميزانيتها بالملايين ولديهم خبراء وأنظمة مراقبة على مدار الساعة تم اختراقهم سابقاً.. أي شخص يعمل بمجال الحماية سيعلم هذا الكلام جيداً.
حالياً العرض مفتوح للجميع واي شخص يحظر IP جهازه كل ما عليه ارسال ايميل للموقع يحتوي على IP جهازه ليتم ازالته من القائمة المحظورة وسنقوم بنهاية الأسبوع من ازالة أيبيات الأجهزة المحظورة للجميع.
 أرسلت بواسطة: tarek في March 04, 2010
شكرا اخي فايز على الاضافات الجميله وهناك ما هو اكثر من ذلك مختص بالحمايه من تفعيل السكربتات تلقايا وغيرها
ولكن الادوات المذكوره بالفعل هي تختصر قليلا على المخترق او الفاحص على حد سواء __________________________________________ اخي عبد المهيمن __________________ من يكتشف ثغرة في موقع iSecur1ty تمكّنه من اختراق الموقع أو الوصول لمعلومات حساسة فيه ويبلّغنا عنها سيحصل على 50$ مقابل ذلك بالاضافة لعدّة أمور أخرى... _______________________________________________________ ___________________ عيب هالكلام اخي نحن نتعلم منكم وان علمنا بشي لن ننتظر له مقابل يمكن الامور الاخرى اذا كانت مغريه نفكر بالموضوع :) سلام
أرسلت بواسطة: بول معوشي في March 04, 2010
في النهاية انتم خبرين حماية
بس في برامج اذا تم الفحص بها مش عم يحظر الاي بي للتأكيد + Target IP: 74.117.116.73 + Target Hostname: isecurity.org + Target Port: 80 + Start Time: 2010-03-05 3:44:03 --------------------------------------------------------------------------- + Server: Apache/2.2.3 (Red Hat) + robots.txt contains 2 entries which should be manually viewed. + No CGI Directories found (use '-C all' to force check all possible dirs) + Retrieved X-Powered-By header: PHP/5.2.11 + OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable to XST + Number of sections in the version string differ from those in the database, the server reports: apache/2.2.3 while the database has: 2.2.14. This may cause false positives. + ERROR: /vgn/vr/Select returned an error: error reading HTTP response + ERROR: /vgn/jsp/errorpage returned an error: error reading HTTP response + ERROR: /shoppingdirectory/midicart.mdb returned an error: error reading HTTP response + ERROR: /phpmyadmin/db_details_importdocsql.php?submit_show=true&do=import&docpath=../ returned an error: error reading HTTP response + ERROR: /dev/translations.php?ONLY=../../../../../etc/passwd returned an error: error reading HTTP response + /index.php?module=My_eGallery: My_eGallery prior to 3.1.1.g are vulnerable to a remote execution bug via SQL command injection.
 أرسلت بواسطة: جبروت هكر في March 04, 2010
ههههههه خرجتم عن الموضوع الى موضوع سيرفر isecur1ty
بس تصدقون والله موضوع حلو انك تتكلم مع واحد يهتم بامور الحماية وله سيرفر يدعي الحمايه isecur1ty فلو تتجه مواضيع المودنه الشامخه هذه الى مواضيع حماية السيرفرات والله شيء حلو وثاني ابي اقولكم ان موقع isecur1ty او بالاصح سيرفر isecur1ty فيه ثغره وانا ومتاكد بنسبة 88% مافي شيء كامل الا وجه الجبار سبحان وتعالى سوان ثغره غفل عنها اهل الحماية او ثغره لم تكتشف بعد و الخوف الكبير يا ادأرة isecur1ty ان كان السيرفر كله مافيه ثغرة فراح يكون السيرفر المسؤل عن السيرفر ممكن فيه ثغره مثل الداتا او شركة الدومين وقبل لا يحمي الشخص سيرفره يحمي جهازه الشخصي هو اكبر واخطر باب لكل شيء(كل شيء) حتى ولو كنت على لينكس الحذر واجب في معاملتك مع اي شيء او اي شخص وننتضر مواضيع حماية السيرفرات وانا مستعد ارسل لكم مواضيع حماية السيرفرات وتنزل من قبلكم موفقين
أرسلت بواسطة: بول معوشي في March 04, 2010
مااان ممكن تنزل درس عبر الضغط على http://www.isecur1ty.org/submit-content.html
و ثاني شيء عبدالمهيمن قال انه حماية السيرفر مش 100% و هو يعني ما في حماية 100% فما تكثر من الكلام على الفاضي و اذا انت متأكد اذا في السيرفر في شي ثغرة ممكن تختار بين احتمالين :ان تبلغ عن الثغرة او ان تخترق و تفرجينا قوتك ثالثا" من قال لك ان عبدالمهيمن منتظر مواقع السيكيورتي لتنزل ثغرات جديدة و هو يرقعها انا متأكد 100% ان فحص السكريبت قبل ما يرفعه و فحص السيرفر بالكامل بالنهاية كما قال انه الانسان و الانسان يخطأ مع تحياتي
أرسلت بواسطة: جبروت هكر في March 04, 2010
وشبك معصب وشبك ترد بهذه الاسلوب
ترا الاخلاق شي طيب وانا ما قلت في كلامي شيء يقلل من الموقع او من اصحابه كلامي واضح جداً مثل كلامه انه مافي شيء 100% ولابد لوجود ثغره وما تكلمت انه ينتضر مواقع السيكورتي ولا تكلمت على ثغرات السيكربت وما ادعيت قوتي ولا اي شيء كل يعرف قدر نفسه ولاني من اهل فحص سيكربت ولا شيء وكلامي كان كله يبي يوصل اننا نتجه كمان في المدونه لمواضيع الحمايه و كلامي كان لادأرة الموقع مو لك وشكراً
 أرسلت بواسطة: Fitouhi Med Ali في March 04, 2010
ان شاء الله يوم السبت بعد انتهاء الفروض ساقوم بعمل Penetration test و ساقوم بشرح للطريقة و الفكرة رائعة و حتي تصبح اروع كل شخص يقوم بشرح طريقته
السلام
أرسلت بواسطة: بول معوشي في March 04, 2010
مااان بتأسف منك بس انا وصلت كلامك ببعضه و ما احترمت النزول على السطر
ففهمت الكلام خطأ لهذا حطيت الرد ده يااا مااان و انا لم اقلل من احترامك لانني بحترم نفسي و انشاء الله ما تكون زعلت :S
 أرسلت بواسطة: Zo-Dns في March 04, 2010
جبروت هكر : بول معوشي
نحن هنا اكثر من الاخوان وجبروت هكر لم يخطى بكلامه ذكر ان اي server/forum/site/etc فيه ثغرات اذا لم يكن اليوم غدا او بعد اسبوع . -- تسلم اخوي فايز على الموضوع وشرح الاضافات الرائعة . تحياتي لك
 أرسلت بواسطة: فايز الخليفي في March 06, 2010
السلام عليكم ورحمة الله
ايه الحكاية يا اخواني لا تنسو انكم كبار وعقال مافي داعي للعصبيه عبدالمهيمن : لا اخوي مجرد تجربه ولانقصد الاساءه للموقع وكمان الحماية ماقصرت حظرت الايبي بتاعي . بول معوشي : اهلين اخي الكريم tarek : اتمنى لك الاستفاده جبروت هكر : تعدد طرق الاختراق الموقصود منك اخي الكريم وتحياتي لشباب الاخرين
أرسلت بواسطة: عبدالمهيمن في March 06, 2010
فايز الخليفي: لا تقلق أخي كنت أعلم ذلك وأنا كنت أمزح معك فقط :) وعذرأ لتخريب موضوعك بهذه النقاشات.
بول معوشي: النتائج التي وضعتها خاطئة, باقي الطلبات ظهرت رسالة error reading HTTP response لأن طلبك تم منعه من الأساس, لم يتم حظر IP جهازك لأن هذه الطلبات ليست خطيرة تستدعي حظر IP فهي مجرد طلبات لروابط غير موجودة في الموقع, اثنان منهم فقط هي تجريب لثغرات وملفات اللوج أظهرت ذلك عندنا :) بالنسبة للجدال الحصل فلا يوجد داعي له ونحن أخوة وعلينا التعامل مع النقاشات بهدوء لكن من الجميل أن نتفق بالنهاية. بالمناسبة تم ازالة جميع الأيبيات المحظورة وأتمنى من الجميع ألا يكمل أي نقاش خارج الموضوع وأي نتائج أو أمور أخرى يرجى ارسالها للايميل لمناقشتها من هناك.
 أرسلت بواسطة: oussama larhmich في March 18, 2010
والله موضوع رائع
ولكن تعرفون ايش الجميل اكثر؟؟؟ التعليقات و في الحقيقة التعصب شيء جميل لكن الا لو كان في النهاية توافق بين الطرفين و للاشارة اتمنا ان يتم اظافة قسم خاص بادارة و حماية السيرفرات تحية طيبة ++
 أرسلت بواسطة: DR-Security في December 02, 2010
والله الاضافات مميزه على حد سواء للمخترق او من يريد الفحص والحمايه
جدا مميز هذا الموقع ولكن عندي سؤال محيرني ..؟ لماذا لايتم افتتاح منتدى باسم هذا الموقع ويكون واجهه عربيه للعرب والمسلمين في تعلم طرق الحمايه وتكون فيه دورات ايضا خاصه بالحمايه وايضا بالهاكر الاخلاقي .؟ هل هناك خطوهـ قادمه لافتتاح منتدى ام ماذا ؟
أضف تعليق
يجب عليك الاشتراك بالموقع لتتمكن من كتابة التعليقات, الاشتراك مجاني ويستغرق بضع ثوان فقط!
اذا كنت مشترك مسبقا في الموقع فضلاً قم بتسجيل الدخول. |
بالنسبة للاضافات فهي ممتازة وتسهّل كثير من الأمور على الـ Penetration Tester لكن أردت أن أسألك, ما وجدت موقع تجرب عليه غير iSecur1ty ؟ P:
ملاحظة: استخدام هذه الأداوت على سيرفر iSecur1ty سيعرّض IP جهازك للحظر بشكل تلقائي. من يكتشف ثغرة في موقع iSecur1ty تمكّنه من اختراق الموقع أو الوصول لمعلومات حساسة فيه ويبلّغنا عنها سيحصل على 50$ مقابل ذلك بالاضافة لعدّة أمور أخرى...
العرض بدء من الآن :)