بسم الله الرحمن الرحيم
تحتوي المواقع والمنتديات العربية على الكثير من الشروحات التي تبين طريقة استغلال ثغرات المواقع التي يكتشفها اشخاص هم على دراية وعلم كبير بأمور البرمجة والأخطاء التي قد تسمح بوجود ثغرة, ويقوم الكثير منا بتعلم استغلال هذه الثغرات من احد الشروحات الى أنه لا يمكنه اكتشافها بنفسه لعدم وجود خبرة كافية, فالأمر ليس سهل كما يتخيله البعض .. لكن يوجد بعض أدوات مسح المواقع والتي تساعدنا على اكتشاف بعض الثغرات من المستوى المتوسط وحتى المستوى الخطير, لنتابع ...
VEGA SCANNER هي عبارة عن أداة مفتوحة المصدر تعمل على فحص تطبيقات الويب واستخراج الثغرات الموجودة بها مثل (SQL Injection - Cross-Site Scripting (XSS تعمل على عدة أنظمة وتمتاز بأنها مجانية وقوية وسهلة الإستعمال, تم تطويرها من قبل SubGraph في مونتريال - كندا .
- الموقع الرسمي : Subgraph
- متوفرة : ويندوز / لينكس / ماك
- لغة البرمجة : جافا Java
- الحجم : 27.2 ميغا
تنصيب الأداة :
نتجه الى الموقع الرسمي وتحديدا الى Dwonload ثم نقوم بالضغط على
بعد ذلك سوف تظهر لنا الصفحة التالية ومنها يمكننا تحميل لانظمة ويندوز لينكس ماك ونأخذ بعين الإعتبار اذا كان 32 أو 64 :
تنصيب الأداة على نظام ويندوز هو مثل تنصيب أي برنامج عادي بفتح ملف التنصيب والضغط على Next التالي حتى يتم التنصيب وستظهر ايقونتها ضمن البرامج.
أما لنظامي كالي لينكس وباك تراك فإن الاداة موجودة بشكل افتراضي ولا تحتاج أي تنصيب ويمكننا فتح الأداةكما يلي في الصورتين :
او يمكن تشغيلها من الطرفية Terminal كالصورة التالية :
وستظهر لنا نفذة جديدة نكتب فيها اسم الموقع وثم نضغط Next كما يلي :
ثم ستظهر لنا نفذة فيها أنواع الثغرات التي سيفحص بها البرنامج وينكنك تحديد أو الغاء تحديد أي ثغرة تريد البحث عنها ثم نضغط Next :
النافذه التالية يظهر لك الــ cookie الكوكز اذا اردت استخدامها ثم نضغط Finish , طبعا يوجد المزيد من الخيارات لكن لن نتطرق لها كلها :
سس
سسس
الان يتم فحص الموقع واسكشاف ثغراتع وستلاحظ ظهور ثلاث مستويات للثغرات كما في الصورة ثغرات شديدة الخطورة ومتوسطة وضعيفة :
بعد انتهاء الاداة من الفحص نتوجه الى Scan Alerts لتصفح الثغرات المكتشفة وكما نلاحظ الصورة التالية تم اكتشاف التالي :
صورة أخرى تظهر الثغرات المكتشفة في موقع اخر :
وطرق استغلال هذه الثغرات معروفة ومشروحة في الكثير من المواقع مثل SQL .
تحتوي المواقع والمنتديات العربية على الكثير من الشروحات التي تبين طريقة استغلال ثغرات المواقع التي يكتشفها اشخاص هم على دراية وعلم كبير بأمور البرمجة والأخطاء التي قد تسمح بوجود ثغرة, ويقوم الكثير منا بتعلم استغلال هذه الثغرات من احد الشروحات الى أنه لا يمكنه اكتشافها بنفسه لعدم وجود خبرة كافية, فالأمر ليس سهل كما يتخيله البعض .. لكن يوجد بعض أدوات مسح المواقع والتي تساعدنا على اكتشاف بعض الثغرات من المستوى المتوسط وحتى المستوى الخطير, لنتابع ...
VEGA SCANNER هي عبارة عن أداة مفتوحة المصدر تعمل على فحص تطبيقات الويب واستخراج الثغرات الموجودة بها مثل (SQL Injection - Cross-Site Scripting (XSS تعمل على عدة أنظمة وتمتاز بأنها مجانية وقوية وسهلة الإستعمال, تم تطويرها من قبل SubGraph في مونتريال - كندا .
- الموقع الرسمي : Subgraph
- متوفرة : ويندوز / لينكس / ماك
- لغة البرمجة : جافا Java
- الحجم : 27.2 ميغا
تنصيب الأداة :
نتجه الى الموقع الرسمي وتحديدا الى Dwonload ثم نقوم بالضغط على
بعد ذلك سوف تظهر لنا الصفحة التالية ومنها يمكننا تحميل لانظمة ويندوز لينكس ماك ونأخذ بعين الإعتبار اذا كان 32 أو 64 :
أما لنظامي كالي لينكس وباك تراك فإن الاداة موجودة بشكل افتراضي ولا تحتاج أي تنصيب ويمكننا فتح الأداةكما يلي في الصورتين :
او يمكن تشغيلها من الطرفية Terminal كالصورة التالية :
بعد تشغيل الأداة ستظهر لنا بواجهتها البسيطة, ولإدخال الموقع المستهدف نتبع الصورة :
وستظهر لنا نفذة جديدة نكتب فيها اسم الموقع وثم نضغط Next كما يلي :
ثم ستظهر لنا نفذة فيها أنواع الثغرات التي سيفحص بها البرنامج وينكنك تحديد أو الغاء تحديد أي ثغرة تريد البحث عنها ثم نضغط Next :
النافذه التالية يظهر لك الــ cookie الكوكز اذا اردت استخدامها ثم نضغط Finish , طبعا يوجد المزيد من الخيارات لكن لن نتطرق لها كلها :
سس
سسس
الان يتم فحص الموقع واسكشاف ثغراتع وستلاحظ ظهور ثلاث مستويات للثغرات كما في الصورة ثغرات شديدة الخطورة ومتوسطة وضعيفة :
بعد انتهاء الاداة من الفحص نتوجه الى Scan Alerts لتصفح الثغرات المكتشفة وكما نلاحظ الصورة التالية تم اكتشاف التالي :
صورة أخرى تظهر الثغرات المكتشفة في موقع اخر :
وطرق استغلال هذه الثغرات معروفة ومشروحة في الكثير من المواقع مثل SQL .
طلع لي هذه الرساله علماً انني منصب الجافا
ردحذفA Java Runtime Environment (JRE) or Java Development Kit (JDK)
must be available in order to run Vega. No Java virtual machine
was found after searching the following locations:
/usr/share/vega/jre/bin/java
java in your current PATH
يجب تنصيبه على مسار
حذف/usr/share/vega/jre/bin/java