الاداه الأشهر ف عالم اختبار اختراق تطبيقات الويب 🕷
أداة Burp Suite و هي أداة إختراق و حماية متاحة لكل من نظام اللينكس، الـ Mac OS و أيضا الويندوز تم تطويرها من طرف شركة Portswigger.
أداة Burp Suite و هي أداة إختراق و حماية متاحة لكل من نظام اللينكس، الـ Mac OS و أيضا الويندوز تم تطويرها من طرف شركة Portswigger.
تأتي أداة الإختراق Burp Suite محملة بمجموعة من التقنيات الثانوية التي تؤهلك لهدف واحد و وحيد و هو إختبار إختراق تطبيقات الويب و المواقع بالدرجة الأولى، تستطيع هذه الأداة كشف أي لبس في المواقع او أي مشكلة في الإتصال و الوصول للموقع من طرف المستخدم.
تستطيع أداة Burp Suite التنصت و إعتراض أي إتصالات عابرة للموقع، و يمكنها عمل فحص شامل لأي موقع او تطبيق ويب و إستخراج أهم نقاط الضعف الخاصة به ( مثل شهادات الأمان SSL، تقنيات الكوكيز إن كانت تسبب أي ضرر للمستخدم ... ) حتى انها تكشف الثغرات الموجودة في المواقع أيضا.
لأنه في تطبيقات الويب يتم الإعتماد على التشفير كثيرا، يوجد تقنيات في الـ Burp Suite تمكنك بشكل أكبر من فك تشفير هذه الأكواد ( خصوصا أكواد الجافاسكربت ) كما يمكنها إستخراج ملفات الـ Session و الـ Cookies احيانا في المواقع التي تطبق عليها برمجية Burp Suite.
ما يجعل هذي الأداة مميزه هو احتوائها ع مجموعه من الأدوات و التقنيات وهي :
أداة Scanner وسط الـ Burp Suite و تعتبر الأكثر فتكا في أداة Burp Suite بشكل عام، غير متوفرة في النسخة المجانية. تسمح لك هذه الأداة بالبحث الشامل في الموقع عن أي نوع من الأخطاء و الثغرات التي يمكن إستخدامها و يبقى الفحص لمدة طويلة حسب نوع و تفرع الموقع.
أداة Burp Intruder من الأدوات التي ستعجبك كذلك، هذه الأداة تقوم بتنفيذ هجمات محتملة على الموقع من هجمات Brute Force لتخمين كلمات السر الى هجمات الـ SQL Injection على روابط تطبيق الويب،
و تعمل الاداة بشكل أدق في تغيير تكوينية الـ HTTP Request بحيث تقوم بإضافة و التعديل على روابط الـ HTTP Requests الى حين إيجاد نوع محدد من الأخطاء او الثغرات.
أداة Target، هي أداة متاحة في النسخة المجانية من البرمجية و توفر لك هذه الأداة كل المعلومات التي تحتاج حول تطبيق الويب او الموقع الذي تريد إستهدافه بحيث تجلب لك كل المعلومات التي تحتاج من خوادم الـ DNS،
معلومات حول النطاق، معلومات حول المنصة المستخدمة في تطبيق الويب و معلومات كثيرة، يمكننا تعريف هذه الأداة كأداة جمع المعلومات حول هدف محدد.
أداة Decoder، و كما يشير الإسم الخاص بها فالهدف منها هو فك تشفير النتائج او الـ Responses التي يتم تحصيلها أثناء إرسال طلب (Request) محدد و التوصل بالنتائج بشكل مشفر، لا تتعب نفسك في محاولة فك تشفيرها فقط قم بإستخدام أداة Decoder الموجودة مسبقا في الـ Burp Suite و ستؤدي العمل.
أداة Proxy، و تعتبر أشهر أداة في الـ Burp Suite بصفة عامة، يمكننا تعريفها كبرمجية Man in the Middle بين المتصفح و الخادم بحيث تقوم بالتجسس على كل البيانات التي يتم إرسالها و إستقبالها و تبادلها بين كل من المتصفح و الخادوم،
أي عندما تنقر على الدخول لموقع معين يتم إرسال و إستقبال طلبات، تقوم أداة Proxy بإظهارها لك كلها في البرمجية.
أداة Repeater ، هي أداة تسمح لك بالتلاعب بالقيم الموجودة في الروابط الخاصة بالمواقع عند القيام بعمليات الـ GET
أداة Clickbandit، تعتمد هذه التقنية على توليد أكواد يمكن إدراجها في الموقع من أجل تحصيل عمليات الـ Clickjacking، إن لم تكن لديك فكرة عن الـ Clickjacking
فهي إضافات يتم إضافتها في موقع محدد بشكل خفي بحيث تتبع تحركات المستخدم و عندما ينقر في الصفحة تقوم بعمل محدد، إشتهرت كثيرا بين مستخدمي المواقع لجلب لايكات لصفحاتهم على فيسبوك بحيث يتم إضافة زر لايك للصفحة بشكل خفي يلاحق سهم الفأرة و فور النقر يقوم المستخدم بعمل لايك للصفحة
أداة Extender، تسمح لك ببساطة بإضافة أدوات جديدة و إضافات جديدة للبرنامج بحيث تقوم الشركة المطورة بنشر برمجيات بين الحين و الاخر يمكن إدراجها للبرنامج عبر الـ Extender، اعتبرها مثل إضافات المتصفح (Extensions).
جاري تحميل الاقتراحات...