التكنولوجيا
أمن المعلومات
تطوير الويب
تطوير البرمجيات
اختبار الاختراق
أمان تطبيقات الويب
الأمن السيبراني
#ثريد
بسم الله الرحمن الرحيم
بتكلم بهذا الثريد عن اداة Nikto👽
وهي اداة مهمة لكل مختبر إختراق لتطبيقات الويب 🛠💻
بسم الله الرحمن الرحيم
بتكلم بهذا الثريد عن اداة Nikto👽
وهي اداة مهمة لكل مختبر إختراق لتطبيقات الويب 🛠💻
ماهي اداة Nikto 👽:
أداة nikto هي أداة مفتوحة المصدر مكتوبة بلغة perl و تستخدم أيضا بما يسمى بتقييم نقاط الضعف.
هي من احد الادوات المهمة جدا لاي مطور تطبيقات الويب او اي مدير خوادم الويب.
أداة nikto هي أداة مفتوحة المصدر مكتوبة بلغة perl و تستخدم أيضا بما يسمى بتقييم نقاط الضعف.
هي من احد الادوات المهمة جدا لاي مطور تطبيقات الويب او اي مدير خوادم الويب.
تقوم هذه الأداة بفحص خوادم الويب من الثغرات الأمنية و تقوم أيضاً بفحص البرمجيات التي تعمل على هذه البرامج فيما اذا كانت هذه البرمجيات منتهية الصلاحية وغيرها من نقاط الضعف بالموقع.
انظمة تشغيل تعمل عليها اداة Nikto👽:
1- Windows
2- Linux
3- Unix
4- Mac OSX
1- Windows
2- Linux
3- Unix
4- Mac OSX
مميزات اداة Nikto👽:
1- تقوم بفحص المواقع على العديد من المنافذ ( Ports ).
2- تحفظ تقارير بانواع مختلفه (html, CSV و XML)
وغيرها من المزايا تكتشها اثناء استخدام الاداة 🛠
1- تقوم بفحص المواقع على العديد من المنافذ ( Ports ).
2- تحفظ تقارير بانواع مختلفه (html, CSV و XML)
وغيرها من المزايا تكتشها اثناء استخدام الاداة 🛠
الشرح العملي 💻:
اولا نطلع على تعليمات الاداة وهو بكتابة امر
nikto -h
^ للتعليمات بطريقة مختصره
ونستخدم الامر
nikto -H
^ لاستعراض التعليمات بطريقة تفصيلية.
اولا نطلع على تعليمات الاداة وهو بكتابة امر
nikto -h
^ للتعليمات بطريقة مختصره
ونستخدم الامر
nikto -H
^ لاستعراض التعليمات بطريقة تفصيلية.
بعد كتابة الامر nikto -H لاستعراض التعليمات بالتفصيل تظهر مثل الصورة التالية ، ونرى من ضمن التعليمات يوجد الكثير من الطرق لحفظ نتائج الفحص على جهازك:
وفي هذا الجزء تعليمات لاستخدام فحص لثغرة محدده مثل SQL injection او XSS وغيرها من الثغرات.
لبدء فحص موقع نكتب الامر التالي:
ومثل مانشوف بكتابة الامر
-h
^ لتحديد الرابط او عنوان الـ IP .
--output
^ لحفظ ملف نتائج الفحص ( اسم الملف ومكان الحفظ ) .
-Format
^ لصيغة الملف المحفوظ مثل htm او XML وغيرها.
-Tuning
لانواع الفحص عن الثغرات ( تم شرحها بتعليمات الاداة 👆🏻)
ومثل مانشوف بكتابة الامر
-h
^ لتحديد الرابط او عنوان الـ IP .
--output
^ لحفظ ملف نتائج الفحص ( اسم الملف ومكان الحفظ ) .
-Format
^ لصيغة الملف المحفوظ مثل htm او XML وغيرها.
-Tuning
لانواع الفحص عن الثغرات ( تم شرحها بتعليمات الاداة 👆🏻)
بعد الفحص ظهرت لنا نتائج مثل ماتشوفون بالصورة السابقة اولاً ظهر عنوان الـ IP للموقع وتم الفحص من منفذ 80 ( Port ) وهو المنفذ الافتراضي لاننا لم نحدد منفذ للفحص.
وظهر لنا نوع السيرفر وهو سيرفر Nginx ونستنتج انه صعب جدا نستخدم ضده هجمات DDOS لانه سريع جداً ، عكس سيرفر apache.
وظهر لنا نوع السيرفر وهو سيرفر Nginx ونستنتج انه صعب جدا نستخدم ضده هجمات DDOS لانه سريع جداً ، عكس سيرفر apache.
وظهر ايضاً ان الموقع مصاب بثغرات كثيره ومن ضمنها:
Clickjacking
SQL injection
XSS
وغيرها من الثغرات ولتفاصيل اكثر نذهب لملف نتائج الفحص الذي حفظناه على سطح المكتب من خلال امر الفحص
Clickjacking
SQL injection
XSS
وغيرها من الثغرات ولتفاصيل اكثر نذهب لملف نتائج الفحص الذي حفظناه على سطح المكتب من خلال امر الفحص
نجد بملف النتائج تفاصيل عن الثغرات وبطريقة مرتبه كملف HTML
محاولة فحص اخرى :
نبي نحاول نفحص الموقع من خلال منفذ 443 ( port ).
ومثل مانشوف الموقع مقفل منفذ 443 ومايستخدمه.
نبي نحاول نفحص الموقع من خلال منفذ 443 ( port ).
ومثل مانشوف الموقع مقفل منفذ 443 ومايستخدمه.
الهدف من شرحي للاداة هو تعليمي عشان تفحص موقعك وتعرف الثغرات فيه وتحميه من اي شخص يحاول يخترقه🛠💻
اتمنى ان شرحي كان سهل وبسيط واتمنى اني افدتكم حتى لو بمعلومات بسيطة 💛.
اتمنى ان شرحي كان سهل وبسيط واتمنى اني افدتكم حتى لو بمعلومات بسيطة 💛.
جاري تحميل الاقتراحات...