#الامن_السيبراني
ماهو الموقع الالكتروني Web Application؟
ماهى لغات البرمجة المستخدمه في انشاء المواقع الالكترونيه؟
ماهو الـ Architecture الخاص بالـ Web Application؟
ماهي Web Application Threats؟
ماهو الخطوات المتبعه الخاصة بالـ Web Application Hacking؟
في هذه السلسه سنجيب عنها👍
ماهو الموقع الالكتروني Web Application؟
ماهى لغات البرمجة المستخدمه في انشاء المواقع الالكترونيه؟
ماهو الـ Architecture الخاص بالـ Web Application؟
ماهي Web Application Threats؟
ماهو الخطوات المتبعه الخاصة بالـ Web Application Hacking؟
في هذه السلسه سنجيب عنها👍
فى البدايه ماهو الموقع الالكتروني Web Application؟
هو تطبيق يمكن الوصول إليه واستخدامه من خلال متصفح الويب، أو عبر شبكة الإنترنت
وتبرمج تطبيقات الويب بواسطة لغات برمجة معينه
هو تطبيق يمكن الوصول إليه واستخدامه من خلال متصفح الويب، أو عبر شبكة الإنترنت
وتبرمج تطبيقات الويب بواسطة لغات برمجة معينه
ماهى لغات البرمجة المستخدمه فى انشاء المواقع الالكترونيه؟
يوجد الكثير والكثير من لغات البرمجه التي تستطيع من خلالها برمجه تطبيقات الويب مثل
PHP , Java Script , Java , Python , Ruby, C#
يوجد الكثير والكثير من لغات البرمجه التي تستطيع من خلالها برمجه تطبيقات الويب مثل
PHP , Java Script , Java , Python , Ruby, C#
ما هو الـ Architecture الخاص بالـ Web Application؟
يوجد نوعين من الـ Architecture الخاص بالـ Web Servers
والذى بدوره يستضيف الـ Web Application:
1- IIS Architecture
2- Open Source Architecture
يوجد نوعين من الـ Architecture الخاص بالـ Web Servers
والذى بدوره يستضيف الـ Web Application:
1- IIS Architecture
2- Open Source Architecture
الثانى : استخدام الـ Open Source Architecture وبذلك يتم استخدام برامج المصادر المفتوحه للتشغيل مثل الـ Apache و يتم استخدام الـ DB مثل Mysql و يكون ربط الـ Web Application عن طريق الـ PHP
وترتيبها طبقا للـ Top 10:
A1: Injection
بكل انواعه و اشهرهم الـ SQl injection ولكن يوجد ايضا الـ Command Injection والـ LDAP Injection
A2: Broken Authentication
A3: Sensitive Data Exposure
A4: XML External Entity (XXE)
A5: Broken Access Control
A6: Security Misconfiguration
A1: Injection
بكل انواعه و اشهرهم الـ SQl injection ولكن يوجد ايضا الـ Command Injection والـ LDAP Injection
A2: Broken Authentication
A3: Sensitive Data Exposure
A4: XML External Entity (XXE)
A5: Broken Access Control
A6: Security Misconfiguration
A7: Cross Site Scripting
A8:Insecure Deserialization
A9:Using Components With Known Vulnerabilities
A10:insufficient Logging and Monitoring
A8:Insecure Deserialization
A9:Using Components With Known Vulnerabilities
A10:insufficient Logging and Monitoring
ويوجد العديد الـ Threats الاخرى مثل:
Directory Traversal , Denial of Services , Cookie Snopping , Capthca Attacks , Cross Site Request Forgery ,
Directory Traversal , Denial of Services , Cookie Snopping , Capthca Attacks , Cross Site Request Forgery ,
ما هو الخطوات المتبعه بالـ Web Application Hacking ؟
نتحدث عن الـ Hacking بانواعه سواء Black Hat hacking وهو غير المصرح له او الـ Penetration Testing
ولكن فى النهاية الخطوات متشابهه ولكن الغير مصرح يعتمد بشكل كبير على الـ Anti-Forensics Tools and Techniques حتى لا يتم الكشف عنه
نتحدث عن الـ Hacking بانواعه سواء Black Hat hacking وهو غير المصرح له او الـ Penetration Testing
ولكن فى النهاية الخطوات متشابهه ولكن الغير مصرح يعتمد بشكل كبير على الـ Anti-Forensics Tools and Techniques حتى لا يتم الكشف عنه
الخطوات تتمثل فى محاولة الكشف عن الـ Vulnerabilities الخاصة بهذا الموقع بشكل كامل و استغلالها :
1- Web Application Foot Printing and Scanning :
اسخلاص كافة المعلومات عن الموقع و ايضا اكتشاف كافة المعلومات الـ Service و Server Discovery
1- Web Application Foot Printing and Scanning :
اسخلاص كافة المعلومات عن الموقع و ايضا اكتشاف كافة المعلومات الـ Service و Server Discovery
و قد يصل الامر الى إكتشاف الحماية الخاصة للموقع مثل وجود WAF او لا وايضاً الـ Content Discovery
الادوات المستخدمه : NMAP و WAFW00F و Burp Suite و WPscan و W3af
الادوات المستخدمه : NMAP و WAFW00F و Burp Suite و WPscan و W3af
2- تعريف Vulnerabilities الخاصة بالموقع و كيفيه استغلالها
وهنا يبرز الـ Scanner الخاصة بالـ Web Application مثل
Acunetix , BurpSuite , OWASP ZAP , NETSparker , Appscan ,Nikto , nessus
وهنا يبرز الـ Scanner الخاصة بالـ Web Application مثل
Acunetix , BurpSuite , OWASP ZAP , NETSparker , Appscan ,Nikto , nessus
3- الاستغلال Exploitation وهنا بعد فترة الاكتشاف يبدا الاتجاه الى اتخاذ مسار الـ Attack ويمكن اتخاذه على مستوى اكثر من مسار:
Bybass Client Side Controls
Authentication Mechanism
Authorization Schemes
وغيرها
ويبرز هنا قدرات الـ Penetration tester في كيفية اسغلال المعلومات السابقه
Bybass Client Side Controls
Authentication Mechanism
Authorization Schemes
وغيرها
ويبرز هنا قدرات الـ Penetration tester في كيفية اسغلال المعلومات السابقه
هناك العديد من Frameworks و الـ Tools التى تساعد فى ذلك مثل ال Metaspliot , powerSpliot ,BeEF ,Webspliot ,
وفي النهايه يوجد الكثير والكثير من الاساليب في اختبار اختراق تطبيقات الويب تجدها ع اليوتيوب او عند المهتمين بالامن السيبراني
المرجع او المصدر
spectrum-it.org
وفي النهايه يوجد الكثير والكثير من الاساليب في اختبار اختراق تطبيقات الويب تجدها ع اليوتيوب او عند المهتمين بالامن السيبراني
المرجع او المصدر
spectrum-it.org
جاري تحميل الاقتراحات...