شرح كيفية فحص مواقع الويب من الثغرات بثلاث طرق مختلفة Acunetix-Web-Scanner
عالم الإختراق ما هو إلا عالم إنتهاك الخصوصيات إن صحَّ التعبير حيث تجتمع عمليات السرقة وآليات التجسس , وحيث أننا جميعنا سواء في إيثارنا للخصوصية علي الإختراق والفوضي الإلكترونية المسماه بالحرب الإلكترونية فعلينا أن نرتقي عن هذا الأمر ونكف عنه ويكفينا ما ألحقه من خسائر, وليس معني هذا أننا من دعاة الهزيمة الذين يلجئون للسلم عند الضعف , حاشا لنا ذلك إنما نحن لا نؤيد تلك الحرب الإلكترونية التي لا تحقق سوي إفساد المنتجات وإيقاف الخدمات العامة وإهدار الوقت فيما لا ينفع , فحَريُّ بنا أن نتكاتف جميعاً لمواجهة مثل هذه الأمور وأن نحرص علي إنتاج مخترقيين أخلاقيين يساهمون في الإبلاغ عن الثغرات الأمنية لا إستغلالها , تاركين للأنظمة الأمنية الضعيفة وشأنها لا تنفيذ الهجمات لمجرد كونها لا تقدم برنامج مكافئات , المخترقيين الأخلاقين بكل ما تحمله تلك الكلمة من معني نفتقر إليهم حقاً , وحين نتحدث عن الويب نجد أن الأمر قد بلغ أقصي مراحل الفوضي والإستبداد فمِن أولئك مَن يراسلون أصحاب المواقع ويخبرونهم بوجود ثغرة ما ويحددون لهم سعر أقل ما يُوصف به أنه خيالي وهذا في مقابل تلك الثغرة المجهولة حقيقتها والمشكوك في وجودها , فأقْبِح بكل ضعيفة ً نفسه يفعل ذلك ظناً أنه يحسن صنعاً ويبلي بلاءً حسناً .
وفي هذا الموضوع نستعرض معكم شرح مفصل للبرنامج الشهير Acunetix-Web-Scanner نظرا ً لأهميته وسهولة إستخدامه , وبوجوده لن تكون بحاجة لتطبيق سلسلة من الأوامر علي أنظمة إختبار الإختراق بل إنه يغنيك عن التنقل هنا وهناك وتجميع المعلومات وتنفيذ الهجمات التي تنجح تارة ً وتفشل تارة ً وإضافة ً إلي ذلك فإنه لا يقل كفاءة ً عن غيره من الأنظمة والبرامج المعقد إستخدامها .
- الشرح :-
- علي الحاسوب : -
إنقر لبدء التثبيت سريعا ً ,
يتطلب الموافقة علي إتفاقية التثبيت قبل المتابعة ,
قم بتحديد مسار تثبيت ملفات البرنامج والتي ستشغل 54.2 ميجا بايت من مساحة القرص , ثم تابع التثبيت ,
يلزم تحديد هذا الخيار لتتمكن من إجراء الفحص عن طريق المتصفح ( كما سيتم التوضيح بعد قليل )
وأخيرا ً إنقر ليتم تثبيت البرنامج بما حددت من إعدادات ,
قد إكتمل التثبيت , حدد الخيار لتشغيل البرنامج مباشرة بعد الإنهاء بالنقر علي زرFinish .
وستظهر الواجهة التالية ,
يمكنك إدخال عنوان الموقع الذي تري فحصه أو ترك ذلك العنوان الذي تم إنشاءه بغرض تجربة البرنامج , أيضا يمكنك تحديد ثغرة معينة ترجح إصابة الموقع بها أو ترك الإختيار كما هو لإجراء الفحص الشامل , أيضا يمكنك تحديد ثغرة معينة ترجح إصابة الموقع بها أو ترك الإختيار كما هو لإجراء الفحص الشامل ,
في الصورة السابقة , قمت بإدخال موقع عرب فيوتشر ليتم فحصه , للفت الإنتباه أن الموقع مستضاف علي Blogger التابعة لشركةGoogle الشهيرة لذا من الصعب إختراق المدونة لأن هذا يتطلب إختراق Blogger بالكامل وبوجود ثغرة ما سيتم الوصول لكافة المدونات وليس مدونة عرب فيوتشر علي وجه التحديد , إذا ً فنحن علي علم بنتائج هذا الفحص قبل أن نشرع بإجراءه , وتلاحظ في نتائج الفحص الذي لازال يعمل ولم ينقضي منه الكثير أن كل ما حصل عليه البرنامج ما هو إلا بضع معلومات ولا جدوي من الإستمرار في عملية الفحص , فيجب أن تأخذ هذا الأمر بعين الإعتبار توفيرا ً للجهد والوقت .
- من خلال المتصفح ( Fire-Fox ) : -
بعد تحميل وتثبيت البرنامج , لا داعي لإستدعاء البرنامج لإجراء عمليات الفحص علي مواقع الويب خاصة إن كنت تجري العديد منها مرارا ً وتكرارا ً , إذ ْ يمكنك إستخدام الإضافة الخاصة بالبرنامج علي المتصفح إن كنت من مستخدمي Fire-Fox المشهور بكثرة إضافات إختبار الإختراق للويب عليه كثرة مفرطة , ولتثبيت الإضافة عليك تحديد الخيار الخاص بها أثناء تثبيت البرنامج كما وضحنا فيما سبق , وبعد تثبيت البرنامج ستلاحظ ظهور رسالة تأكيد لتثبيت الإضافة من المتصفح وبالنقر علي Install وإعادة تشغيل المتصفح ستجد شريط أعلي المتصفح يحمل أزرار عمل البرنامج وهذا ما تمثله الإضافة
وكما تري بمجرد زيارة موقع ما وليكن عرب فيوتشر فإنه بإمكانك إجراء الفحص علي إحدي الثغرات أو جميعها كما هو الحال في البرنامج , ويظهر شريط تقدم حالة الفحص مباشرة كالتالي ,
وقد علمنا فيما سبق أنه لن يتم العثور علي ثغرات وإنما هذا مجرد فحص تجيربي لا أكثر , وعندما ترغب في مراجعة نتائج الفحص بشكل أفضل يمكنك تحديد ذلك الخيار بالأسفل وإغلاق هذه النافذة لتتمكن من معاينة النتائج في علامة تبويب جديدة بالمتصفح حيث الرؤية الأكثر وضوحا ً والأدق في الرؤية , وكذلك يمكنك تصدير نتائج الفحص علي هيئة ملف Xhtml للإحتفاظ به علي الحاسوب إذا ما كان يهمك التطلع عليه فيما بعد .
- فحص الثغرات علي الإنترنت : -
يمكنك إجراء الفحص مباشرة عن طريق الإنترنت دون تحميل البرنامج وتثبيته إذا كان معدل فحصك لمواقع الويب ضئيل ومراته معدودة , فكل ما عليك فعله هو التوجه إلي هذا الرابط acunetix وبعد ملئ الحقول المطلوبة إنقر علي زر التسجيل ,
وستصلك رسالة تأكيد علي بريدك الإلكتروني , وبعد التأكيد سيتم تحويلك علي هذا الرابط acunetix والذي ينبغي عليك التوجه إليه كلما أردت فحص موقع ما ,
يمكنك إدخال رابط موقع معين ترغب في فحصه أو إختيار أحد المواقع المعدة بغرض التجربة ثم إنتقل للخطوة التالية وهي بدء الفحص ,
وقد قمت بإضافة موقعين من خلال الخطوة الأولي , الأول هو موقع عرب فيوتشر والثاني هو أحد المواقع التجريبية التي سبق إدراجها في الموقع , وهذا للفت الإنتباه إلي أمر هام ألا وهو أنه بإمكانك فحص المواقع فقط التي هي ملك لك , فكما تري موقع عرب فيوتشر غير مفعل ولا يمكن فحصه علي عكس الموقع الثاني , ولتأكيد ملكية الموقع إضغط علي إسمه ثم قم بتحميل الملف الموجود بالصفحة وقم برفعه علي موقعك علي الصفحة الرئيسية بحيث يكون رابط ذلك الملف النصي بعد الرفع علي موقع عرب فيوتشر -علي سبيل المثال لا الحصر- كالتالي
" http://www.3rabfuture.com/9342aec3ae0699414210b87f9ac7dc2e0177aec77d8d7a06d5833c988.txt"
وبعد الرفع قم بالضغط علي زر التأكيد , وحينها ستتمكن من فحص الموقع الخاص بك ويمكنك إجراء فحص كامل أو مخصص كالتالي ,
وعليك أن تنتظر ريثما يتم الفحص , وحين ينتهي سيتم تنبيهك عن طريق البريد وكل ما عليك فعله هو التوجه للخطوة الثالثة حيث تعرض النتائج وإذا أردت عمل تقرير فيمكنك ذلك في الخطوة الرابعة .
ومن الجدير بالذكر أن عدم العثور علي ثغرات بموقع ما لا يعني بالضرورة أنه خالي من الثغرات ويستحيل إختراقه فتلك الأنظمة من صنع البشر ولا يوجد نظام متكامل ومؤمن بدرجة 100% حتي إن الأنظمة الأمنية لشركات كبري قد تعرضت للإختراق من قبل ولازال يحدث هذا وسيظل .
وستصلك رسالة تأكيد علي بريدك الإلكتروني , وبعد التأكيد سيتم تحويلك علي هذا الرابط acunetix والذي ينبغي عليك التوجه إليه كلما أردت فحص موقع ما ,
لإجراء الفحص ستمر بأربع خطوات مرتبة كما تري , الأولي هي تحديد الهدف
يمكنك إدخال رابط موقع معين ترغب في فحصه أو إختيار أحد المواقع المعدة بغرض التجربة ثم إنتقل للخطوة التالية وهي بدء الفحص ,
وقد قمت بإضافة موقعين من خلال الخطوة الأولي , الأول هو موقع عرب فيوتشر والثاني هو أحد المواقع التجريبية التي سبق إدراجها في الموقع , وهذا للفت الإنتباه إلي أمر هام ألا وهو أنه بإمكانك فحص المواقع فقط التي هي ملك لك , فكما تري موقع عرب فيوتشر غير مفعل ولا يمكن فحصه علي عكس الموقع الثاني , ولتأكيد ملكية الموقع إضغط علي إسمه ثم قم بتحميل الملف الموجود بالصفحة وقم برفعه علي موقعك علي الصفحة الرئيسية بحيث يكون رابط ذلك الملف النصي بعد الرفع علي موقع عرب فيوتشر -علي سبيل المثال لا الحصر- كالتالي
" http://www.3rabfuture.com/9342aec3ae0699414210b87f9ac7dc2e0177aec77d8d7a06d5833c988.txt"
وبعد الرفع قم بالضغط علي زر التأكيد , وحينها ستتمكن من فحص الموقع الخاص بك ويمكنك إجراء فحص كامل أو مخصص كالتالي ,
وعليك أن تنتظر ريثما يتم الفحص , وحين ينتهي سيتم تنبيهك عن طريق البريد وكل ما عليك فعله هو التوجه للخطوة الثالثة حيث تعرض النتائج وإذا أردت عمل تقرير فيمكنك ذلك في الخطوة الرابعة .
ومن الجدير بالذكر أن عدم العثور علي ثغرات بموقع ما لا يعني بالضرورة أنه خالي من الثغرات ويستحيل إختراقه فتلك الأنظمة من صنع البشر ولا يوجد نظام متكامل ومؤمن بدرجة 100% حتي إن الأنظمة الأمنية لشركات كبري قد تعرضت للإختراق من قبل ولازال يحدث هذا وسيظل .
والسلام عليكم ورحمة الله وبركاته
أزال أحد مشرفي المدونة هذا التعليق.
ردحذف