مقال : تطبيق عملي على ثغرة Unrestricted File Upload في أحد برامج مُكافئات...
في عام 2015 وحين كنت اشارك في برامج الجوائز كانت شركة فيس بوك قد أدخلت نطاقات شركة Oculus في برامج الجوائز وكان نطاق الرئيسي للشركة هو https://developer.oculusvr.com دخلت للموقع وحين بحثت وجدت نطاق اخر...
View Articleمقال : هجوم تجاوز المسار Path Traversal Attack
عدم استخدام طرق للتحقق من دخل المستخدم الغير مسموح به يمكن أن يؤدي إلى استغلال النظام ويتيح لمختبر الاختراق قراءة وكتابة الملفات الغير مصرح له بالوصول إليها وعندها يمكنه تنفيذ كود خبيث على السيرفر أو...
View Articleفيديو : الدرس الثالث من دورة إستخدام python في إختبار الإختراق
هذا الدرس هو تكملة لدروس الدورة التي سبق وطرحنا درسين منها ، في هذا الدرس سوف نقوم بشرح جُملة الشرط if بشكل موسع داخل Python ونقوم ببرمجة سكربت بسيط يقوم على تبسيط العملية لنا ويساعدنا على فهم جُملة...
View Articleمقال : إختبار إدارة الجلسات الخاصة بتطبيقات الويب – Session Management Test
إستخدام بروتوكول http بدون استخدام الكوكيز cookies يمكن أن يطلب منك إعادة تسجيل الدخول خلال كل خطوة أو كل عمل تقوم به وهذا أمر غير عملي لذلك تم إيجاد مفهوم إدارة الجلسة session management حيث يقوم...
View Articleمقال : شرح هجمات SSRF – Server Side Request Forgery
اليوم بإذن الله سوف نشرح أحد أهم “أنواع الهجمات” الموجودة في تطبيقات الويب حيث كما هو واضح من العنوان سوف نتكلم عن SSRF حيث يتم إعتبار SSRF عبارة عن أحد أنواع الهجمات وليس ثغرة بحد ذاتها لكن سنشرحها...
View Articleمقال : ثغرات DOM based XSS الجزء الأول
ثغرات DOM based XSS هي احد انواع ثغرة XSS قد تجد العديد من الشروحات حولها لكن في الشرح الحالي سيتم التطرُق إلى أمور أخرى من حيث العمل والاكتشاف بإذن الله. ما هي DOM XSS ؟ ثغرة DOM XSS هو هجوم XSS يتم...
View Articleمقال : ما هو تشفير End to end encryption – E2EE
هو نظام اتصال مشفر يسمح فقط لطرفي الاتصال برؤية وقراءة الرسائل المشفرة ولا يمكن التنصت على المراسلة ولا يمكن رؤيتها إلا بعد القيام بعملية فك التشفير باستخدام مفتاح التشفير المستخدم في هذه العملية حيث...
View Articleتحدي : ثغرة XSS المستوى المُبتدئ –التحدي الثالث
قبل فترة قصيرة قمنا كفريق isecur1ty بعمل تحديات لجعل المنافسة والتعلم اسرع بالنسبة لمتابعين المجتمع ، وإستكمالاً للمهمة هذه نطرح لكم اليوم تحدي جديد للمستوى المُبتدئ. يمكنك زيارة التحدي من خلال هذا...
View Articleمقال : إستطلاع الشبكة وجمع المعلومات باستخدام لغة البرمجة Python
أول خطوة في أي عملية اختبار اختراق هي مرحلة الاستطلاع وجمع المعلومات عن الشبكة الهدف لتحديد الأجهزة الموجودة في الشبكة ومعرفة نظام التشغيل المستخدم وتحديد البورتات المفتوحة والخدمات التي تعمل على كل...
View Articleمقال : شرح إستخدام أداة Sublist3r لإكتشاف النطاقات الفرعية
في مرحلة أختبار الأختراق يجب على الباحث ان يستكف الموقع من سكربتات منصبة عليه او مواقع فرعية مصابة بثغرة معينة ولهذا من أجل عملية “جمع المعلومات” ستحتاج الى ادوات البحث التي تستعمل من قبل أمهر...
View Articleمقال : التجسس على طلبات HTTP للهواتف بإستخدام Wireshark
اليوم سوف نتعرف على كيفية التجسس وكشف طلبات HTTP بإستعمال خدمة في نظام تشغيل Windows وأداة Wireshark وكيفية الإستفادة منها. الشرح هناك خدمة متوفرة في بعض كروت الاتصال بالإنترنت التي تدعم إمكانية جعل...
View Articleمقال : حل التحدي الثالث وأسماء الفائزين
قبل ما يُقارب أسبوعين من الأن تم نشر تحدي ثغرة XSS من قبلنا ومع الشروط هنا ، اليوم سنشرح كيفية الحل وفهم التحدي وأسماء الفائزين . الشرح أولاً يجب عليك ان تعرف اين يتم الحقن وهو موضح في التحدي الحقن...
View Articleمقال : حصري نوع جديد من ثغرات TLS -SSL ثغرة DROWN attack
في بداية العام الحالي تم أكتشاف نوع جديد من الثغرات المشابهة لثغرة heartbleed . والتي تهاجم بروتكول HTTPS الذي يستعمل في انشاء الاتصالات المشفرة . لقد نشرنا موضوع سابق حول ثغرة heartbleed يمكنك...
View Articleمقال : شرح موسع حول ثغرة Shellshock
السلام عليكم , في عام 2014 ظهرت ثغرة بعنوان Shellshock سيكون شرح اليوم مفصل لها للاغراض الاكاديمية . ما هي ثغرة Shellshock ؟ ثغرة Shellshock هي عبارة عن خطأ برمجي في مُفسر الأوامر bash هو اختصار...
View Articleمقال : إستخدام Python لبرمجة سكربت للتشويش على الشبكات اللاسلكية
في الفترات الأخيرة تكلمنا عن العديد والعديد من الأمور التي يُمكن أن نقوم ببرمجتها بلغة Python والتي بالطبع تتعلق في مجال أمن المعلومات وإختبار الإختراق بشكل مُباشر ، حيث أننا نؤمن بضرورة قيام مُختبر...
View Articleمقال : أساليب التخفي والتشفير لحفظ الخصوصية في الإنترنت
في هذا المقال الحصري في العالم العربي سنقوم بكشف النقاب عن أعظم أسرار التاريخ التي لطالما كانت وما زالت في قعر الإنترنت المظلم (Darkweb) وهو عالم افتراضي آخر غير العالم الذي تعرفون. سنتحدث في هذا...
View Articleمقال : الهندسة الاجتماعية باستخدام Social Engineering Toolkit – SET
الهندسة الاجتماعية هي فن التلاعب في البشر من أجل خداعهم وإقناعهم بالقيام بأعمال تؤدي لكشف معلوماتهم السرية. العديد من الهجمات في جانب المستخدم تتم بالاعتماد على خداع المستخدم من أجل كشف المعلومات...
View Articleمقال : تثبيت الاستغلال والمحافظة على الوصول Maintaining Access
أي عملية اختبار الاختراق تمر عبر المراحل التالية: الاستطلاع Reconnaissance البحث عن الثغرات Scanning الإستغلال Exploitation تثبيت الاستغلال والمحافظة على الوصول Maintain access مسح الآثار Covering...
View Articleمقال : نظرة على التحليل الجنائي الرقمي Digital Forensics
التحليل الجنائي الرقمي Digital Forensics هو دمج بين العلوم الجنائية التقليديه وعلوم الحاسب والشبكات بهدف استخراج الأدلة الرقمية “digital evidences” من أجهزة الحاسب وأجهزة الشبكة والأجهزة والوسائط...
View Articleمقال : برمجة Reverse TCP Shell بلغة البرمجة python
مختبري الإختراق يجب أن يكونوا مبرمجين محترفين قادرين على اكتشاف الثغرات وكتابة برامج لاستغلال الثغرات ، لكي تصل لهذه المرحلة وتتجاوز مرحلة استخدام أدوات الاختراق الجاهزة يجب أن تكون مبرمج محترف قادر...
View Article