تعلم الهكر الأخلاقي



بسم الله الرحمن الرحيم



سؤال يطرحه المبتدئين في تعلم أساليب الهكر و الحماية

أو الذين يريدون أن يتعلموا السيكيوريتي أو الاختراق .

ما هي الثغرات ؟؟

يمكننا القول الثغرة هي عبارة عن نقطة ضعف تمكن الهاكر من الاختراق .

و هذا الضعف قد يكون خطا برمجي مثلا يمكن استغلاله من قبل الهكر

بحيث يعطي أوامر للجهاز الهدف و ذلك الجهاز يقوم بتنفيذها مما يمكن الهاكر من

الاختراق الفعلي لجهاز الحاسوب .

لا يمكن معرفة عدد الثغرات الموجودة لان عالم الانترنت مليء بالثغرات

و هذه الثغرات قد تكون موجودة في أنظمة التشغيل مثلا ويندوز

أو قد تكون موجودة في أحد البرامج مثلا مشغل مقاطع الفيديو أو ما شابهه ذلك و قد

تكون موجودة في تطبيقات الانترنت مثلا صفحات ال

Php

أو قد تكون موجودة في أي شيء له علاقة بالتكنولوجيا و البرمجة و ما إلا ذلك يعني

قد تكون ايضا هذه الثغرة موجودة في نظام الطائرة أو في نظام المفاعل النووي أو

نظام السيارة و وجود ثغرات في مثل هذه الأنظمة الكبيرة قد يسبب مشاكل ضخمة لا

يمكن توقع نتائجها .

لتتمكن من دراسة الثغرات عليك أن تتعرف على أنواع الثغرات التي سوف أذكرها لك :

Sql Injection

Buffer Over Flow

File Include

XSS

و كل نوع من هذه الأنواع ينقسم إلى أكثر من قسم .

طبعا هذه ليست كل الأنواع بل هنالك أمور أخرى قد تصنف على أنها ثغرات أو نقاط

ضعف .

سؤال أخر قد يسأله بعض المبتدئين و هو :

ماذا يجب أن أعرف حتى أبدأ بتعلم الثغرات ؟؟

أولا أقول له كيف تبحث عن ثغرة في نظام لينكس و أنت أصلا لا تستخدم هذا النظام و

لا تعرفه . إذن يجب عليك التعامل و استخدام الأنظمة التي تبحث فيها عن ثغرات أو

تريد استغلال ثغرات موجودة فيها أصلا .

و ثانيا : أقول له كيف أصلا سوف تبحث عن مشاكل و أخطاء برمجية في أحد البرامج

أو التطبيقات و أنت أصلا لا تعرف في البرمجة . إذن يجب تعلم البرمجة .

ما هي لغات البرمجة التي يجب أن تتعلمها :

حقيقة أنا لا أحب أن أقول لك تعلم لغة كذا و كذا . فأنت حر في ما تريد أن تتعلم و ذلك

حسب طموحك فإذا أردت أن تبحث و تكتشف ثغرات في تطبيقات ال

Php

فعليك أن تتعلمها و كذلك الأمور الأخرى .

ولكن يمكنني بشكل عام أن أقول لك أنه كل ما كنت تعرف لغات برمجة أكثر كلما كنت

قادرا على اكتشاف الثغرات أكثر يمكنك أن تبدأ في لغة

Php

و بعد ذلك إلى باقي اللغات .

و لا تتوقف عند حد معين و لكن أخي تذكر أن لا تبدأ بالغات الصعبة من البداية ,

أنصحك أن تبدأ بالغات السهلة مثل :

Php, asp

و بعد ذلك يمكنك تعلم لغات :

C,C++, Assembly

هذا في ما يخص اكتشاف الثغرات و التحليل للبرامج و الأنظمة .

أما لتعلم الهكر بشكل عام فأنصحك بتعلم لغات

Python

ruby

Perl

وبعد ذلك باقي اللغات

و يجب أن تعرف أن المبرمج القوي هو الهاكر القوي و الحقيقي و غير ذلك هم مجرد

مقلدين للهكر الحقيقيين .

نلقاكم في درس قادم أن شاء الله .
********************************************************************************************************
********************************************************************************************************
********************************************************************************************************

بسم الله الرحمن الرحيم

كتاب يشرح لنا ثغرة
Remote File Disclosure.
و الكتاب بكل تأكيد باللغة العربية لقد قام صاحب الكتاب بنشر كتب أخرى عن ثغرات أخرى و أذكر أنني نشرت له أحد الكتب هنا على المدونة.
اليوم مرة أخرى جاء هذا الشاب ليكتب عن هذه الثغرة كتابه الصغير المكون من 12 صفحة حيث يعطيك الكتاب روابط لتحميل ملفات مصابه بالثغرة لتقوم بالتطبيق عمليا على جهازك وتدرب على استغلال الثغرة بنفسك.
يمكنك تحميل الكتاب مباشرة عن طريق الرابط التالي على الميديافير:
http://www.mediafire.com/?7hgb7y0g6ez18ls
أتمنى لكم قراءة ممتعة ولا ننسى أن نشكر من ألف هذا الكتاب على عطاءه في هذا المجال باللغة العربية.


 السلام عليكم و رحمة الله و بركاته

***************************************************************************
***************************************************************************
***************************************************************************

بسم الله الرحمن الرحيم



اليوم معنا كتاب يتحدث عن ثغرات File Include كما أن الكتاب يعطيك روابط لتحميل Script مصاب بالثغرة لتقوم بالتطبيق على ذلك ال Script على جهازك و تمثيل اختراق المواقع عن طريق هذه الثغرة .
اسم الكتاب File Inclusion d99y . اسم مؤلف الكتاب NassRawl , حسب ما هو مكتوب في الكتاب .
يتحدث الكتاب المكون من 38 صفحة عن هذا النوع من الثغرات بنوعيها :
Remote File Include
Local File Include
كما أن الكتاب يعطيك بعض الحلول لمعالجة و ترقيع هذه الثغرات بشكل بسيط طبعا , مما يعني أن الكتاب ليس فقط للمعرفة كيفية استغلال هذا النوع من الثغرات و إنما أيضا للحماية منها و ترقيعها إذا كانت مواقعنا مصابه بها .
يمكنك تحميل الكتاب من هنا

أتمنى لكم الفائدة من هذا الكتاب و السلام عليكم و رحمة الله و بركاته
****************************************************************************
****************************************************************************
****************************************************************************


بسم الله الرحمن الرحيم



ثغرات XSS : هي من الثغرات المهمة التي يستغلها الهاكر عن طريق حقن أكواد HTML و أكواد JAVASCRIPT في تطبيقات الويب تساعد الهاكر على تخطي صلاحياته المحددة له في ذلك الموقع و تمكنه أيضا من سرقة الكوكيز أو حتى تشويه الموقع بواسطة هذه الثغرات .

اليوم معنا كتاب باللغة العربية قام بعمله أحد الأشخاص المهتمين بالهكر الأخلاقي و قام بنشره على الانترنت على مواقع مختلفة و نظرا للفائدة التي يمكن أن تحصل عليها من هذا الكتاب فإنني قررت أن أضع هذا الكتاب بين أيديكم .

يمكنك تحميل الكتاب من الرابط المباشر من هنا أو من هنا 

يمكنك هذا الكتاب من تحميل سيكريب و سوف تقوم بتنصيبه على سيرفر محلي على جهازك و يعطيك أيضا مجموعة كودات يمكنك أن تجربها و بذلك تتمكن من تجربة اختبار الاختراق على جهازك .
للتوسع في مثل هذه الثغرات يجب عليك قراءة كتب أخرى و يجب أن تتقن لغتين الجافا سيكريبت و ال HTML لتتمكن من كتابة أكواد تمكنك من استغلال هذه الثغرات .

أتمنى أن تستفيدوا من مثل هذه الكتب
و السلام  عليكم و رحمة الله و بركاته
***************************************************************************
***************************************************************************
***************************************************************************


بسم الله الرحمن الرحيم

ان ثغرات SQL Injection من الثغرات المهمة و القوية التي تهدد أمن المواقع و الانظمة على شبكة الانترنت تعمل هذه الثغرات عن طريق الحقن و ذلك للوصول الى قواعد البيانات و اختراقها و بالتالي اختراق النظام كاملا , لذلك هي ثغرة مهمة و قوية .

عمل الهاكر و كما تعرفون على ايجاد طريقة يدوية و لاستغلال هذه الثغرات و ذلك من خلال حقن العنوان في المتصفح للوصول الى قاعدة البيانات و لكن سرعان ما أصبحت هذه العملية لا تفي بالغرض خصوصا لمختبري الاختراق فهو ليس بحاجة الى أن يقضي ذلك الوقت الطويل و هو يحقن عناوين مختلفة للوصول الى قاعدة البيانات أو ليتأكد من أن في الموقع ثغرة أم لا لذلك كان هنالك عدة أدوات لاختبار أختراق الانظمة من خلال هذه الثغرة , و من ضمن البرامج التي كانت موجودة و ما زالت برنامج havij الذي كان يستغل الثغرة بشكل أتوماتيكي و يعطيك معلومات قاعدة البيانات بدون أن تقوم أنت بشكل يدوي بتجربة احتمالات أسماء الجداول و ما الى ذلك .

و الان أيضا هنالك أداة جديدة لاستغلال مثل هذه الثغرات و هي أداة mole و هي مبرمجة بلغة بايثون و تعمل على نظامي ويندوز و لينكس .


حقيقة لن أتطرق لشرح هذه الاداة لانني سوف أضع الموقع الذي يمكنك منه تحميل الأداة و معرفة كيفية تثبيتها و صولا الى العمل عليها كما في الفيديو الذي سوف أضعه لكم

اذن التحميل و شرح التثبيت من هذا الموقع :

http://themole.sourceforge.net/
أما شرح العمل على الأداة فهو في هذا الفيديو :


أو اذا كان الفيديو غير واضح فيرجى مشاهدة على يوتيوب بشكل أوضح على الرابط التالي
http://www.youtube.com/watch?feature=player_embedded&v=H3DjiIcDNZ4

أرجو أن لا يتم استخدام الأداة بشكل خاطىء و أنا غير مسؤول عن أي استخدام خاطىء أو مخالف للقانون لهذه الاداة .

و السلام عليكم و رحمة الله و بركاته
***************************************************************************
***************************************************************************
***************************************************************************
*****

 
 

هناك تعليق واحد:

الاشتراك في: التعليقات (Atom)