التكنولوجيا
أمن المعلومات
أمان تطبيقات الويب
اختبار آلي
تكامل واجهة برمجة التطبيقات
تخزين البيانات والتحليل
اذا تحاول بناء اداه لتسريع مهام اختبار امن تطبيقات الويب مثل اكتشاف الثغرات او عمل recon وما شابه من المهام المتكرره لا تحاول كتابه كل شي من الصفر. يمكن استغلال بعض الادوات الموجوده وهي في الاغلب مستقره اكثر من الي بتكتب وايضا لتوفير وقتك
مثلا
استخدم API لبروكسي مثل ZAP proxy وتحكم فيها ببايثون ثم اخزن كل البيانات الجايه من ZAP proxy ومررها لELK
تقريبا كل المهام يمكن عملها، نفترض انك تريد تفحص ثغرات معينه بحيث لها pattern معين ممكن انت تلقطه من خلال regex او حتى manual inspection بعد تخزين البيانات
استخدم API لبروكسي مثل ZAP proxy وتحكم فيها ببايثون ثم اخزن كل البيانات الجايه من ZAP proxy ومررها لELK
تقريبا كل المهام يمكن عملها، نفترض انك تريد تفحص ثغرات معينه بحيث لها pattern معين ممكن انت تلقطه من خلال regex او حتى manual inspection بعد تخزين البيانات
ببساطه استخدم ZAP API وبيقوم ZAP spider بالزحف على الموقع كله ثم زياره كل الروابط ثم ارسال Request لهم كلهم ثم ارجاع كل Response لبايثون والي يمررها الى ELK
بعدين في النهايه بتجلس على ELK تشوف الموجود وبيكون كتبت queries للبحث على الي تدوره
ممكن ايضا تضيف HTML parser للموضوع
بعدين في النهايه بتجلس على ELK تشوف الموجود وبيكون كتبت queries للبحث على الي تدوره
ممكن ايضا تضيف HTML parser للموضوع
ZAP API <----> Python <---> ELK
في كثير امور تقدر تسويها بهذه الطريقه وكذا وفرت الكثير من البرمجه وبيكون عندك امكانيات كويسه لweb security testing
بس انا احب ELK لان في كثير جوانب يسهل عملها
اولا في واجهه Kibana تحلل من خلالها
تقدر ترسل له البيانات بسهوله
في كثير امور تقدر تسويها بهذه الطريقه وكذا وفرت الكثير من البرمجه وبيكون عندك امكانيات كويسه لweb security testing
بس انا احب ELK لان في كثير جوانب يسهل عملها
اولا في واجهه Kibana تحلل من خلالها
تقدر ترسل له البيانات بسهوله
مع الوقت تسوي لك Dashboards لجوانب كثيره او quries لانماط معينه على طول تطلع نتائجها وكل ما اشتغلت عليه اكثر تسهل عليك الشغل
ايضا يتحمل بيانات على نطاق واسع
مثلا ZAP وحده اذا اشتغلت عليه وفي بيانات كثيره يعلق
ايضا يتحمل بيانات على نطاق واسع
مثلا ZAP وحده اذا اشتغلت عليه وفي بيانات كثيره يعلق
نفترض انك استلمت مشروع لفحصه
على طول اذا كل شي مضبط في خلال وقت قصير يكون عندك معلومات كثيره عن الموقع وملفاته و API endpoints و site map و subdomains و cookies و الكثير على حسب طريقه عملك و mindset الي تستخدمها في الفحص وخلاص تركز انك تطلع الي تريد
على طول اذا كل شي مضبط في خلال وقت قصير يكون عندك معلومات كثيره عن الموقع وملفاته و API endpoints و site map و subdomains و cookies و الكثير على حسب طريقه عملك و mindset الي تستخدمها في الفحص وخلاص تركز انك تطلع الي تريد
مش كل vulnerabilities ايجادها بهذه الطريقه لازم يكون في trial and error لكن في انواع اخرى بهذه الطريقه بتوفر نص الوقت او اكثر لايجادها
ZAP API
#introduction" target="_blank" rel="noopener" onclick="event.stopPropagation()">zaproxy.org
ZAP in ten
alldaydevops.com
#introduction" target="_blank" rel="noopener" onclick="event.stopPropagation()">zaproxy.org
ZAP in ten
alldaydevops.com
جاري تحميل الاقتراحات...