😈 وداعاً للفزينق ولتخمين المسارات 😈
بالدليل ليس بالقاطع باذن الله بنثبت ان تخمين المسارات لا ينبغي في حال اختبار اختراق المواقع المبرمجه على الطريقة الحديثه ..
بالدليل ليس بالقاطع باذن الله بنثبت ان تخمين المسارات لا ينبغي في حال اختبار اختراق المواقع المبرمجه على الطريقة الحديثه ..
اذا مهتم في الامن السيبراني، هذا الحساب هو ضالتك، تجد فيه بوستات كلها تكنكل فلا تنسى تدعمنا بب لايك وفولو وتكتب كومنت داعم، عشان يستمر العطاء 🤝
كون البوستات مجانيه 🆓
فالدعم وقود العطاء ⛽️✨
كون البوستات مجانيه 🆓
فالدعم وقود العطاء ⛽️✨
في برمجة الويب الحديثه اليوم ومع منهجية فصل الـ front-end والـ back-end يستخدم الاخوه المبرمجين JS Frameworks ..
والتي بدورها تعطيك صفحات ويب تفاعليه وسريعه ومن عوامل سرعتها ان الفريمورك اول تبي تتصفح الموقع مع اول ريكويزته يحمل كامل وجهية الموقع بب صفحة html بسيطه والكثير من الـ js ـات الي تغير محتوى الصفحة وتتفاعل تفاعلات كيميائيه تلبي فيها رغبت اليوزر البسيط في ارياض الموقع ..
( مثال ليس بالدقيق ولكن لا يضر الهدف من الثريد ان شاء الله ما يا ينشبون لي اخواننا المبرمجين )
والتي بدورها تعطيك صفحات ويب تفاعليه وسريعه ومن عوامل سرعتها ان الفريمورك اول تبي تتصفح الموقع مع اول ريكويزته يحمل كامل وجهية الموقع بب صفحة html بسيطه والكثير من الـ js ـات الي تغير محتوى الصفحة وتتفاعل تفاعلات كيميائيه تلبي فيها رغبت اليوزر البسيط في ارياض الموقع ..
( مثال ليس بالدقيق ولكن لا يضر الهدف من الثريد ان شاء الله ما يا ينشبون لي اخواننا المبرمجين )
وعشان لمن تبي تنتقل من صفحة الى صفحة ثانيه مثلا تبي تروح من صفحة الهوم الى صفحة ال about us، انت ما ترسل للسيرفر ريكويزته ثانيه ال js files بتقوم بالمهمه مع متصفحك وتغير محتوى الـ html الي بالبدايه عن طريق الجي اس الى الصفحة المراد تصفحها ..
وكما نعرف ان المواقع ليست فقط صفحات ثابته بل صفحات مليئة بالحياه والفنقشنز الكثيره اللي تحتاج تواصل متواصل مع السيرفر فف مثلاً لو الموقع فيه صفحة دخول فف هو من اللازم ان يتواصل بالفورم تبع تسجيل الدخول مع السيرفر ليتحقق من مصداقية البيانات المدخله ..
وعشان كذا فف الفرونت اند يكون عارف الصفحة الي بيسوي لها سبمت مسبقاً وهي محفوظه عنده بالـ js files فف يمسك اليوزرنيم والباسورد ويرسلهم للسيرفر والي بيكون في استقبالهم الـ API وبيقوم بمهتمه بكل حزم وعزم ..
فف اذا كانت المعلومات صحيحة دخل اليوزر الموقع بصلاحيته واذا كانت خاطئة قاله لا يمكنك الدخول لان المعلومات المدخله مغلوطه ..
طيييب ..
فيه معلومه مرينا عليها سريعاً هي اساساً لب موضوع حلقتنا اليوم ..
وهي بما ان الفرونت اند يعرف كل مسارات الباك اند مسبقاً ولولا ذاك لما اشتغل الموقع بالشكل الصحيح ..
فف نقدر نقول لا داعي للفزنق وتخمين المسارات وشمّر عن ايدينك وخلنبحث عن المسارات في الـ JS files 🤖
وهي بما ان الفرونت اند يعرف كل مسارات الباك اند مسبقاً ولولا ذاك لما اشتغل الموقع بالشكل الصحيح ..
فف نقدر نقول لا داعي للفزنق وتخمين المسارات وشمّر عن ايدينك وخلنبحث عن المسارات في الـ JS files 🤖
افتح معاي الديبقر بالمتصفح وادخل على الخانه الموجوده بالصوره ادناه عشان نبحث عن كيوردز تمكنك من معرفه المسارات عن نفسي انا دايماً ما ابحث بالكلمات التاليه :
⁃.post - لانها فنقشن بالجي اس تاخذ باراميتر url عشان ترسل POST ريكويزت
⁃ .get - نفس الي فوق بس هذي ترسل GET ريكويزت
- fetch - لانها فنقشن بالجي اس تاخذ باراميتر url عشان ترسل POST او GET ريكويزت
⁃ ابحث لكلمات مثل https:// او /api/
⁃ مرات ابحث عن كلمة POST او GET لانه مرات المبرمجين يكتبون نوع الميثود كك متغير وتحته الرابط الي بيرسلون الريكويزت له
وطبعاً هذي كلمات على سبيل المثال لا الحصر انا استخدمها شخصياً مو يعني انها افضل شي ولكن من باب ما جاء في الاجتهاد ذكرتها ..
⁃.post - لانها فنقشن بالجي اس تاخذ باراميتر url عشان ترسل POST ريكويزت
⁃ .get - نفس الي فوق بس هذي ترسل GET ريكويزت
- fetch - لانها فنقشن بالجي اس تاخذ باراميتر url عشان ترسل POST او GET ريكويزت
⁃ ابحث لكلمات مثل https:// او /api/
⁃ مرات ابحث عن كلمة POST او GET لانه مرات المبرمجين يكتبون نوع الميثود كك متغير وتحته الرابط الي بيرسلون الريكويزت له
وطبعاً هذي كلمات على سبيل المثال لا الحصر انا استخدمها شخصياً مو يعني انها افضل شي ولكن من باب ما جاء في الاجتهاد ذكرتها ..
طبعاً بما انه الطريقة رتيبه ويمدي اتمتتها فف موجود بالنت تولز تساعد على الحصول المسارات عن طريق البحث في الـ js files مثل JS Miner burp extension
وفي الختام؛
اذا كان الموقع ما يستخدم اشياء غير المسارات الي موجوده في الفرونت اند فف نحن فعلاً لا نحتاج الى فزنق ولا نحتاج نخمن مسارات
ولكن من باب الاحتياط ما يمنع تسوي فزنق خفيف عشان ممكن فيه شي مستخدم ماهو من ضمن الفروند اند
سامحوني ما حصلت هوك بمخي الا جمل خوينا 😈
اذا كان الموقع ما يستخدم اشياء غير المسارات الي موجوده في الفرونت اند فف نحن فعلاً لا نحتاج الى فزنق ولا نحتاج نخمن مسارات
ولكن من باب الاحتياط ما يمنع تسوي فزنق خفيف عشان ممكن فيه شي مستخدم ماهو من ضمن الفروند اند
سامحوني ما حصلت هوك بمخي الا جمل خوينا 😈
المصادر:
- بهاراتي الخاصه 👨🏻🍳
- youtu.be
- @careertechnologymiraroad/js-miner-burp-suite-extension-caf4fdb2e964" target="_blank" rel="noopener" onclick="event.stopPropagation()">medium.com
- بهاراتي الخاصه 👨🏻🍳
- youtu.be
- @careertechnologymiraroad/js-miner-burp-suite-extension-caf4fdb2e964" target="_blank" rel="noopener" onclick="event.stopPropagation()">medium.com
لا تنسون الدعاء لاخواننا في غزه والسودان وفي جميع بقاع الارض 🤍
جاري تحميل الاقتراحات...