فيديو : شرح برنامج Burp Suite و Webscarab

تقيمك :

شرح فيديو يوضح أهم مزايا Webscarab و Burp Suite بشكل سريع واستخداماتهم في اختبار اختراق تطبيقات الويب.

في هذ الفيديو سوف أوضح أهم مزايا برنامج Webscarab و Brup Suite وكيفية التعامل معهم بشكل سريع. الاثنين مبرمجان بلغه الجافا لذلك يجب تنصيب بيئه جافا في الجهاز لكي نتمكن من التعامل معهم، البرامج تعمل كبروكسي بين الجهاز والسيرفر للتمكن من التعديل على الطلبات المرسلة ومعرفة كيفية تعامل تطبيق الويب معها.

الفيديو:

لتحميل البرامج :

Brup Suite

Webscarab

محمد عسكر

المدير التنفيذي لشركة iSecur1ty ، مختبر إختراق من الأردن أحب كل ما يتعلق بتكنولوجيا وأمن المعلومات ، أساهم في كتابة العديد من المقالات والتحديات في مُجتمع iSecur1ty ، أحب البرمجة بلغة python ولدي خبره في إدارة السيرفرات وبناء الأنظمة.

التعليقات

13 تعليق في “فيديو : شرح برنامج Burp Suite و Webscarab”

Mahmood_c

3 مارس، 2012 الساعة 4:40 ص

هل يمكن أن تطبق هذه البرامج على الويندوز وكيف ؟؟؟
جزاكم الله كل خير بالتوفيق

رد

Abdullah

3 مارس، 2012 الساعة 12:22 م

شرح ممتاز جدا اتمني يكون هناك شرح مفصل
محمد قد ارسلت لك رسله موقع khmsat

شكرا لك

رد

محمد عسكر

3 مارس، 2012 الساعة 1:54 م

@Mahmood_c : ممكن تنفذ الشرح بكل سهووله عن طريق تنصيب بيئه الجافا على الجهاز ومن ثم تطبيق الأمر java -jar brup.jar.

@Abdullah : اهلاً عبد الله والله أسف ما انتبهت ممكن الأيميل راح مع السبام ممكن تراسلني على ايميلي بالموقع ومنتفاهم إن شاء الله .

في امان الله

رد

skandar

4 مارس، 2012 الساعة 3:53 م

استاذ لماذا لم تكمل دروس تخطي الحمايات في Buffer overflow
عندي طلب من القائمين علي الموقع اتمني يشرحولنا اكتشاف ثغرات الانضمه او علي الاقل يعملوا فيديو او مقال توضيحي لعمليه تحليل الانضمه (LOCAL ROOT/REMOTE ROOT)
نريد الارتقاء لمستوي اعلي في اكتشاف الثغرات و الحمايه
اكيد الواحد لما يكتشف ثغرات مثل اللوكال روت او الريموت روت في النضام حيعرف يحمي نفسوا

رد

فيصل احمد العنزي

4 مارس، 2012 الساعة 5:22 ص

هذه الصفحة لديه شكل على شبكة الإنترنت أن يأخذ مصطلح بحث واحد كإدخال. فما باللك الإرشادات التي تظهر على الصفحة WebGoat، ونحن لا تعمل على ممارسة هذا المثال، أنا باستخدام مجرد أنها لإثبات المساعد يبسكاراب في fuzzer.

ونحن عندما أدخل مصطلح البحث وتقديمها إلى خادم الويب، يمكننا عرض طلب أن يتم إرسالها إلى الملقم باستخدام يبسكاراب كما هو مبين ادناه:
طيب شوف الصوره
http://1.bp.blogspot.com/_xWut9k2HU7k/SeVQ2mMLXyI/AAAAAAAAAB4/6Y7cUGUmHMQ/s400/WSPost1.JPG
الجزء العلوي من الشاشة يظهر يبسكاراب طلبنا. في الجزء الأوسط يمكنك ان ترى ويجري تقديم المعلمة بحث، ودعا “اسم المستخدم” لسبب ما له قيمة من “الدرس”.

من علامة التبويب ملخص في يبسكاراب، يمكننا على هذا الطلب ظيفة معينة انقر بالزر الايمن واختيار “استخدم كما قالب زغب “وكما ترون في الصورة التالية:
http://3.bp.blogspot.com/_xWut9k2HU7k/SeVTOoPNwGI/AAAAAAAAACA/J-WUuPaY8kY/s1600-h/WSFuzz1.JPG
عندما اخترتها “استخدام كخيار زغب” قالب، والتحول إلى أكثر من علامة التبويب Fuzzer في يبسكاراب. في علامة التبويب Fuzzer، وسترى ما يمكن زغب أكثر من المعلمات فقط POST. نلقي نظرة على الشاشة التالية النار لنرى ما أتحدث عنه:
http://2.bp.blogspot.com/_xWut9k2HU7k/SeVVBO2Gx_I/AAAAAAAAACI/39G6wKKuMpY/s1600-h/WSFuzzerScreen1.JPG

رد

فيصل احمد العنزي

4 مارس، 2012 الساعة 5:24 ص

http://www.neurofuzz.com/modul…attack.txt
لاحظ أن تتمكن من تحديد ملف، أو إدخال التعبير العادية كمصادر زغب. باستخدام عبارات عادية تعتبر كبيرة بالنسبة لحالات عندما كنت قد حصلت على معرف رقمي في المدخلات وترغب في محاولة مجموعة من القيم الأخرى. ويقول على سبيل المثال قدمت لك صفحة في التطبيق كنت اختبار ورأيت UID = 0013301 في الطلب. هل يمكن إنشاء إدخال رجإكس من [0-9] [0-9] [0-9] [0-9] [0-9] [0-9] [0-9]، وإعطائها وصفا (أي ” 0000000 حتي 9999999 “)، انقر فوق إضافة، ثم أغلق، واستخدام هذا التعبير العادي لتقديم الطلبات إلى خادم الويب باستخدام كل ما يمكن من القيم UID 7 أرقام. نعم، هذا سيستغرق بعض الوقت.

رد