أدوات وبرامجمواضيع ومقالات

مقال : شرح أداة ProxyStrike v2.1

تم أرشفة هذا المحتوى


دائماً عند القيام بالـ pentests نحتاج إلى أدوات مساعدة لتساعدنا على أنجاز عملنا بشكل سهل وعملي أكثر, وطبعاً من الصعب أن تقوم بعمل كل شيء يدوي فهذا أهدار للوقت بدون فائدة, وأيضاً شيء مُمل أن تقوم ببرمجة كل أداة تحتاجها من جديد وهناك أدوات جاهزة, مجانية ومفتوحة المصدر, ويمكنك التعديل عليها حسب الحاجة و الرغبة, سوف نتحدث اليوم عن أداة ProxyStrike v2.1 فكرة وفائدة الأداة, أسلوب العمل, تشغيلها, متطلبتها و تحميلها.

 

Proxy Strike

 

فكرة الأداة: لنفرض أنك قمت بعمل تطبيق ويب أو تملك تطبيق ويب وتريد أن تفوم بفحص (عملية pentest) هذا التطبيق أمنياً من ناحية XSS و SQL Injection, اذاً هذه الأداة هية متطلبك, بالطبع هناك الكثير من الأدوات تقوم بهذا العمل وعلى سبيل المثال لا الحصر أداة RatProxy من Google  ولكن لكل أداة مميزات و عيوب! .. للعلم أن الأداة في الوقت الحالي تحتوي على موديلين للـ XSS و SQL Injection والموديلين تم تصميمهم على كشف معضم أو أغلب أخطاء/ثغرات XSS و SQL Injection.

موديل SQL Injection تم عملة بالـ Python, أما موديل XSS تم عملة بمكتبة Gazpacho

أسلوب عمل الأداة: بكل بساطة هية لا تختلف عن بقية الأدوات التي تعمل هذه المهمة فهية في النهاية Proxy أي سوف نعمل على المتصفح, نقوم بتشغيل الأداة على شكل Passive Proxy ونضبطها للتنصت على المنفذ 8008 (بشكل أفتراضي هو كذالك), وأيضاً لا تنسى أن تضبط المتصفح على أن يستخدم ProxyStrike على أنها الـ Proxy, وبعد هذا عليك أن تتصفح التطبيق (الموقع) والعمل علية, وفي هذه الأثناء سوف تقوم الأداة بعمل analyze أو تحليل للتطبيق (الموقع) وتتم هذه العملية على شكل background mode

” العمل على شكل background mode هوة أفضل بكثير, أنت لن ترى أي أختلاف ملحوظ ولكن في الكواليس هو يعمل بشكل نشط”

مميزات الأداة:

  • Plugin engine – Create your own plugins
  • Request interceptor
  • Request diffing
  • Request repeater
  • Automatic crawl process
  • Save/restore session
  • Http request/response history
  • Request parameter stats
  • Request parameter values stats
  • Request url parameter signing and header field signing
  • Use of an alternate proxy
  • Sql attacks
  • Server Side Includes
  • Xss attacks
  • Attack logs
  • Export results to HTML or XML

تدعم أنظمة التشغيل:

  • نظام لينكس Linux
  • نظام ويندوز Windows

متطلبات التشغيل:

مصدر التطبيق:

  • اضغط هنا لرؤية مصدر التطبيق

وأخيراً لتحميل الأداة من (google code) نسخة تنفيذية Executable

  • لتحميل النسخة الخاصة بنظام Linux – اضغط هنا
  • لتحميل النسخة الخاصة بنظام Windows – اضغط هنا

مقالات ذات صلة

‫10 تعليقات

  1. ماتعمقت في الاثنين, بس أشوف أن ratProxy دعمها, مميزاتها أقوى
    بس ممكن تستغل الاثنين .. يعني بدل من أن تعتمد على ratProxy فقط أو ProxyStrike فقط ..
    تقوم باستخدام الاثنين أولاً تجرب ratProxy وتشوف ايش يطلع معك .. وبعدين تجرب ProxyStrike وتشوف النتائج الي طلعت لك .. وفي هذه الحالة أنت المستفيد! .. لئن جربت الفحص بأكثر من أداة يعني راح يكون عندك نتائج أفضل.

  2. أبدعت ياخوك ولاكن البعض يعنقد من الموضوع
    هذه بما ذكر فيه انه وقفت كل اداوت الـ Pr0xy الاخرهـ
    لا هي افضل وهنالك افضل ولاكن للكل عيوب
    موفقين !!

  3. شكرا اخي الغالي علي الموضوع الرائع وباذن الله تستمرون علي هذا الاداءالطيب
    كنت حابب تشوف المشكلة دي
    http://forum.joomla.org/viewtopic.php?f=428&t=384910
    يمكن تجد لها حل لانها موقفه كل شغلي انا عارف ان مكانها مش هنا بس اسف لم استطع مراسلتك عبر الموقع
    وشكرا

  4. أخي الموقع لا يقدم خدمات لسكريبت جملة! أو مشاكلها وليس له أي علاقة بتطوير المواقع!

    يوجد مواقع متخصصة بهذه الأمور ننصحك أن تطرح أسئلتك فيها, بالتوفيق…

  5. أول شي مبروك افتتاح الموقع

    ثاني شي شكراً على المقالة الرائعة

    واخيراً الرابط لم يعمل معي

  6. الله يبارك فيك أخي عبدالحميد..

    بالنسبة للروابط فهي شغالة لكن Google Code محجوب في سوريا 🙁

  7. أول شي مبروك افتتاح الموقع

    ثاني شي شكراً على المقالة الرائعة

    وارجوا منكم طلب صغير و هو عمل شرح لاحسن طرق التخفي عند الاختراق و شكرا

    تـــحـــياتي اخوكم // ياسين

    ارجو مراسلتي على هذا الايميل

    [email protected]

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى