شرح بسيط لبرنامج Nikto الخاص بفحص المواقع والـ Web Servers واكتشاف الثغرات الموجودة فيها, البرنامج من برمجة CIRT.net وهو مجاني ومفتوح المصدر مبرمج بلغة Perl ويعتبر أفضل البرامج المفتوحة المصدر في هذا المجال ويمكننا القول أنه ينافس بعض البرامج التجارية.

الفيديو

هذا أول شرح فيديو لي وبصراحة كنت أتوقع نتيجة أفضل وعذرا ان وجد أي أخطاء في الشرح لأنه تم بشكل ارتجالي بدون أي تحضير أو كتابة ما سأقوله بشكل مسبق, هذا كلفني اعادة الشرح والتسجيل الصوتي عدة مرات أخذت من وقتي ما يزيد عن ساعتين! خصوصا اسم البرنامج :)

أمور أحب أن أذكر بها

1- ليس بالضرورة أن يعطي البرنامج نتائج صحيحة 100% وهو وباقي برامج فحص الثغرات الأخرى ممكن تعطي نتائج خاطئة أحيانا.

2- تأكد من أخذ موافقة صاحب الموقع قبل استخدام البرنامج أو شخصيا أنصح التدرب عليه واستخدامه داخل Lab خاص بهذه الأمور (ان شاء الله سأشرح كيفية اعداده قريبا).

3- لا تقم بمحاولة استخدام البرنامج على هذا الموقع والا سيتم حجبك بشكل أوتوماتيكي خلال ثوان!.

تم تنفيذ الشرح على نظام لينوكس ويمكن تطبيقه على ويندوز بعد وجود مفسّر لغة Perl منصب على الجهاز, استخدمت في الشرح برنامج Recordmydesktop لتسجيل سطح المكتب وبرنامج Audacity لتسجيل الصوت وتنقيته قدر المستطاع, أعلم أنه منخفض لكن هذا أفضل ماتوصلت له حاليا وان شاء الله سيكون أفضل في الشرح القادم. استخدمت أيضا برنامج ffmpeg لضغط الفيديو وتحويل امتداداه الى flv وانقاص حجمه.

موقع البرنامج | صفحة برنامج Nikto

مشاهدة ممتعة وفي حال وجود أي استفسار أنا جاهز.

عن الكاتب:

عبدالمهيمن الآغا, مختص بالحماية وأساليب إختبار الإختراق. أملك خبرة في إدارة الشبكات والسيرفرات, تطوير المواقع والبرمجة بلغة Ruby التي برمجت بها عدّة مشاريع وأدوات مفتوحة المصدر.

التعليقات (26)

...
أرسلت بواسطة: Mustafa Albazy في March 31, 2009

بيرفكت :) .. شرح ممتاز ياعبد المهيمن ..

• 
• +1
• 
• 

...
أرسلت بواسطة: نمر في April 01, 2009

شرح وافي وممتاز جداً


لكن الصوت منخفض جداًجداً جداً جداً جداً جداً

جداً جداً جداً جداً جداً جداً جداً جداً جداً جداً

واتمنى اشروحات القادمة يكون الصوت اعلى

• 
• +1
• 
• 

تم رفع درجة الصوت
أرسلت بواسطة: عبدالمهيمن في April 01, 2009

لاحظت ذلك أخي وسبب الانخفاض لأني كنت أحاول تنقية الصوت قدر المستطاع فلقد اتضح أن نوع المايك الذي استخدمه في الشرح ليس جيد...

على كل حال أعدت رفع الفيديو من جديد بعد أن قمت برفع درجة الصوت لكن هذا سيؤدي لسماع صوت رنين منخفض أثناء مشاهدة الفيديو قد يكون مزعج بعض الشيء.

ان شاء الله سيتغير الوضع في الشروحات القادمة وأهلا بك في الموقع.

• 
• +2
• 
• 

germany/tunisie
أرسلت بواسطة: رضوان البلدي في April 05, 2009

ما شاء الله أخي الكريم عبد المهيمن شرح جميل و وافي و مجهود جد راقي , جازاك الله عنا كل خير و اثابك خير ثواب
لقد إستفدت كثيرا من شرحك للبرنامج المعروض
دمتم في حفظ الله ورعايته

• 
• +1
• 
• 

K.S.A
أرسلت بواسطة: Mohannad | FlooD في April 06, 2009

ماشاء الله شرح جميل ومبسط ورائع في نفس الوقت ..

والاداة رائــعه وسهله ..

ان شاء راح اجربها لاني كنت استعمل N-Stealth وان شاء الله تكون افضل ..

واعتقد ان الاداه مصنفه 1 في top 10 web Vulnerability Scanners ..

ممتاز وفقك الله ..

• 
• +0
• 
• 

...
أرسلت بواسطة: 3ABED في April 09, 2009

شرح جميل عبد المهيمن
ولكنى عندى سؤال ازاى ممكن اعرف ان حد بيستعمل ال nikto ضدى وامنعه
هل ال ips ممكن يقوم بالمهمه دى؟

• 
• +0
• 
• 

رد: 3ABED
أرسلت بواسطة: عبدالمهيمن في April 10, 2009

أخي بشكل عام برامج الثغرات تعتمد على التجريب, بمعنى آخر أغلب برنامج فحص ثغرات المواقع تحتوي على قاعدة بيانات فيها روابط لاسكريبتات مصابة بثغرة SQL Injection أو XSS مثلا سيقوم البرنامج بفتح الروابط واحداً تلو الآخر وينتظر رد الويب سيرفر HTTP CODE ان كان 200 أو 301 أو غيره...

بهذه الحالة أنت تستطيع مراقبة ملفات اللوج وتحديد الأيبي الذي يقوم بتجربة ثغرات على الموقع أو الذي يقوم بفتح عدد كبير من الروابط ويحصل على كود 404 مثلا.. ثم قم بحظره بمنتهى السهولة.

• 
• +1
• 
• 

...
أرسلت بواسطة: 3ABED في April 10, 2009

اشكرك على الرد الطريقه واضحه جدا ومفهومه مش عارف ازاى ما جتش فى دماغى بس ده يودينا لحاجه اهم مش ممكن استعمل ال nikto بطريقه تخليه ابطأ فى التجريب بحيث ما يبقاش سهل الكشف؟

• 
• +0
• 
• 

...
أرسلت بواسطة: البرنس في April 10, 2009

شكرا الك اخي شرح وافي والصوت ايضا ما بيه اي مشكله وننتظر جديدك

• 
• +1
• 
• 

رد: 3ABED
أرسلت بواسطة: عبدالمهيمن في April 10, 2009

أجل أخي نستطيع ذلك لكن هذا سيبطئ من عملية الفحص ويوجد للبرنامج خيار evasion ابقى اطلع عليه ويوجد امكانية استخدام بروكسي أيضا...

بشكل عام جميع هذه النوعية من البرامج مكشوفة وأي أدمن فاهم يقدر يكشف العملية بسهولة...

• 
• -1
• 
• 

...
أرسلت بواسطة: 3ABED في April 11, 2009

يبقى مافيش اودام الواحد الا انه يستعمل طرق تخفى وينقى اوقات من المحتمل ان ال admin ما يبقاش موجود بحيث لو كان اودامه حاجه تبقى هى ملفات log ولو الواحد متخفى صح مش هيجيبه

• 
• +0
• 
• 

...
أرسلت بواسطة: zilzzaal في April 13, 2009

بارك الله فيك وفي عمرك وفي جهدك الرائع

وأرجوا تزويدي بأي روابط فيديوهات أخرى خاصة بهذا البرنامج الرائع

دمت بود ومحبة

• 
• +0
• 
• 

...
أرسلت بواسطة: H4cK3r في April 14, 2009

يعطيك العافية عبد المهين

والله شرح رائع وجاري التجربة

موفق في دنياك

• 
• +1
• 
• 

لايوجد
أرسلت بواسطة: mohannad في April 19, 2009

عندي موجه اوامر لكن ماطلع شي معاي لمن كتبت nikto.pl -help

علما بأني حملت البرنامج والوندوز اللي عندي اكس بي

• 
• +1
• 
• 

...
أرسلت بواسطة: الفقيه في April 23, 2009

شكر لك أخ عبدالمهيمن

• 
• +0
• 
• 

حل مشكله
أرسلت بواسطة: ابو عبد الرحمن في September 24, 2009

اخي الغالي عبد المهيمن

برنامج noikto عندما اقوم في الفحص يعلق...مع اني استخدم نظام لينوكس اوبنتو

هل احتاج حزم اركبها ...واذا كانت هناك اعدادات يجب القيام بها قبل ان نبدا

الفحص ياليت اخي تعلمنا اياها....وفقك الله تعالى

• 
• +0
• 
• 

...
أرسلت بواسطة: shad0w في October 02, 2009

درس روعه ومعلومات قيمه

شكرا يا برنس

وأنا انتظر بفارغ الصبر الموضوع الذي ستتحدت فيه عن كيفية اعداد Lab خاص بمثل هذه التجارب

شكرا مرة اخرى وبالتوفيق ان شاء الله

• 
• +0
• 
• 

شكرا
أرسلت بواسطة: Tariq Mohamed في October 26, 2009

شكرا على الشرح

• 
• +2
• 
• 

بارك الله فيك
أرسلت بواسطة: عبد العزيز في November 04, 2009

تسلم ايديك ياعيد المهيمن
فعلا انت بطل
ونتفخر فيك والله ياا وحـش
موفق اخوي

• 
• +1
• 
• 

...
أرسلت بواسطة: Security-Mind في January 18, 2010

@
اخي mohannad

الاخ عبد المهيمن شرح البرنامج على نظام لينكس توزيعة فيدورا
وليس على الويندوز ...ولا ادري ان كانت هناك نسخة خاصة بل ويندوز ام لا

• 
• +0
• 
• 

مشكوررررررررررررر
أرسلت بواسطة: Abed في March 13, 2010

مشكور أخي على الشرح الجميل و يعطيك العافيه
بس لو كان هنالك مثال حي ثغرة موجودة و تم استغلالها كان أفضل
يعني نستخدم nikto و نشوف الثغرة و نطبقها
و مشكور و ما قصرت

• 
• +0
• 
• 

شكرا اخي عبد المهين
أرسلت بواسطة: HACKER_CH في April 05, 2010

يعطيك العافية عبد المهين شرح ممتاز وافي كافي جزاك الله الف خير

• 
• +0
• 
• 

هل هناك نسخة للوندوز
أرسلت بواسطة: DZr3d في July 14, 2010

مرحبا اخي
شكرا لك علي الشرح المميز
هل يعمل هذا البرنامج علي ليونيكس فقط ام هناك نسخة للوندوز

• 
• +1
• 
• 

الى DZr3d
أرسلت بواسطة: أشرف في November 20, 2010

نعم يا صديق تستطيع الفحص عن ظريق الويندوز على شرط أنك تنصب مترجم للـperl

• 
• +1
• 
• 

طريقة
أرسلت بواسطة: أشرف في November 20, 2010

مشكووور أخي عبد المهيمن على الشرح

بس لو سمحت فيه طريقة لمنع هذه الأداة من فحص موقعي الخاص

أو على الأقل اكتشاف من يفحص الموقع بهذه الأداة

• 
• +0
• 
• 

...
أرسلت بواسطة: اشرف المغازى في August 31, 2011

بارك اللــــــــه فيك وننتظــــــــــــر المزيــــد,, موفق ان شاء الله

• 
• +0
• 
•