اختبار الاختراق| تحميل وتفعيل آخر إصدار عملاق الاختراق Burp Suite Professional وتوفير مبلغ 400$ مجانا | 2020

القائمة الرئيسية

الصفحات

اختبار الاختراق| تحميل وتفعيل آخر إصدار عملاق الاختراق Burp Suite Professional وتوفير مبلغ 400$ مجانا | 2020

الأمجد | Al AMJAD

25 يونيو 2020

(0)

اختبار اختراق | تحميل وتفعيل آخر إصدار عملاق الاختراق Burp Suite Professional وتوفير مبلغ 400$ مجانا | 2020

اختبار الاختراق| تحميل وتفعيل آخر إصدار عملاق الاختراق Burp Suite Professional وتوفير مبلغ 400$ مجانا | 2020

عزيزي المتابع، كبداية في المدونة وكأول مشاركة لنا معك، ستكون باقي مشاركاتنا إن شاء الله مثلها قوية المضمون والمحتوى ويبحث

عنها الجميع ويحتاجها

مجال اختبار الاختراق هو من المجالات الواسعة الانتشار والتي يرغب الجميع باتقانها وتعلمها

اليوم أقدم لك أداة Burp Suite Professional التي تعتبر واحدة من أقوى أدوات الإختراق الموجودة في عدة أنظمة إختراق أشهرها: نظام الـ Kali Linux

و سنقوم في هذا المقال بشرح كل خصائصها و ميزاتها و إستخداماتها أيضا مع توفير فيديو في الأخير يشرح لك تحميل الأداة وتفعيلها وبآخر إصداراتها عام 2020 | علما عزيزي المتابع أن هذه الأداة سعراها 400$ بنسختها الاحترافية

لكن إن شاء الله في مدونتي المدفوع سيكون لك مجانا أي أنها بدلا من 400$ ستصبح $0.00

ما هي أداة Burp suite ؟؟

أداة ال Burp Suite Professional هي أداة اختراق وحماية متاحة لنظامي ويندوز واللينكس والماك، تم تطويرها من طرف شركة Portswigger، و هي برمجية متاحة بـ 3 نسخ منها الـ Professional و الـ Enterprise و الـ Community، كل من نسخة Pro و Enterprise مدفوعتين و يمكن تجربتهما بالمجان لفترة محدودة.

لكن، سأجعلها لك فترة للأبد وبصفر دولار !

إستخدامات أداة الـ Burp Suite :

تستطيع هذه الأداة كشف أي لبس في المواقع او أي مشكلة في الإتصال و الوصول للموقع من طرف المستخدم، والتنصت واعتراض أي إتصالات عابرة للمواقع، و يمكنها عمل فحص شامل لأي موقع او تطبيق ويب و إستخراج أهم نقاط الضعف الخاصة به ( مثل شهادات الأمان SSL، تقنيات الكوكيز إن كانت تسبب أي ضرر للمستخدم ... )

حتى انها تكشف الثغرات الموجودة في المواقع أيضا، و تستطيع أداة Burp Suite محاكاة هجوم على مواقع و تطبيقات الويب عبر عدة تقنيات من أجل كشف قوة مواقع الويب.

بل و الأداة أكثر تطورا و ذكاءً أيضا إذ انه يمكن إستخراج كل الملفات الموجودة في أي تطبيق ويب من صور، فيديوهات، ملفات ميديا او حتى سكربتات.

( ملفات كتابية سواء كانت كود او أي نوع آخر من الملفات ).

و لأنه في تطبيقات الويب يتم الإعتماد على التشفير كثيرا، يوجد تقنيات في الـ Burp Suite تمكنك من فك تشفير هذه الأكواد،

( خصوصا أكواد الجافاسكربت ) كما يمكنها إستخراج ملفات الـ Session و الـ Cookies احيانا في المواقع التي تطبق عليها برمجية Burp Suite.

: أهم الأدوات المكونة لبرمجية Burp Suite و إستخداماتها

ما يجعل أداة الـ Burp Suite اداة قوية حقا هو مجموعة الأدوات و التقنيات الثانوية الموجودة في الأداة، نفسها الأدوات التي تفرق بين النسخة المجانية و النسخ المدفوعة من الأداة كذلك، في هذه الفقرة سنقوم بشرح معظم هذه الأدوات بعضها قد تجده في النسخة المجانية و البعض الآخر متاح فقط في النسخ المدفوعة

أداة Scanner:

وسط الـ Burp Suite و تعتبر الأكثر فتكا في أداة Burp Suite بشكل عام، غير متوفرة في النسخة المجانية. تسمح لك هذه الأداة بالبحث الشامل في الموقع عن أي نوع من الأخطاء و الثغرات التي يمكن إستخدامها و يبقى الفحص لمدة طويلة حسب نوع و تفرع الموقع.

أداة Burp Intruder:

من الأدوات التي ستعجبك كذلك، هذه الأداة تقوم بتنفيذ هجمات محتملة على الموقع من هجمات Brute Force لتخمين كلمات السر الى هجمات الـ SQL Injection على روابط تطبيق الويب، و تعمل الاداة بشكل أدق في تغيير تكوينية الـ HTTP Request بحيث تقوم بإضافة و التعديل على روابط الـ HTTP Requests الى حين إيجاد نوع محدد من الأخطاء او الثغرات.

أداة Target:

هي أداة متاحة في النسخة المجانية من البرمجية و توفر لك هذه الأداة كل المعلومات التي تحتاج حول تطبيق الويب او الموقع الذي تريد إستهدافه بحيث تجلب لك كل المعلومات التي تحتاج من خوادم الـ DNS، معلومات حول النطاق، معلومات حول المنصة المستخدمة في تطبيق الويب و معلومات كثيرة، يمكننا تعريف هذه الأداة كأداة جمع المعلومات حول هدف محدد.

أداة Decoder:

و كما يشير الإسم الخاص بها فالهدف منها هو فك تشفير النتائج او الـ Responses التي يتم تحصيلها أثناء إرسال طلب (Request) محدد و التوصل بالنتائج بشكل مشفر، لا تتعب نفسك في محاولة فك تشفيرها فقط قم بإستخدام أداة Decoder الموجودة مسبقا في الـ Burp Suite و ستؤدي العمل.

أداة Proxy:

و تعتبر أشهر أداة في الـ Burp Suite بصفة عامة، يمكننا تعريفها كبرمجية Man in the Middle بين المتصفح و الخادم بحيث تقوم بالتجسس على كل البيانات التي يتم إرسالها و إستقبالها و تبادلها بين كل من المتصفح و الخادوم، أي عندما تنقر على الدخول لموقع معين يتم إرسال و إستقبال طلبات، تقوم أداة Proxy بإظهارها لك كلها في البرمجية.

أداة Repeater:

هي أداة تسمح لك بالتلاعب بالقيم الموجودة في الروابط الخاصة بالمواقع عند القيام بعمليات الـ GET، مثلا بإفتراض ان رابط موقع مثلا website.com/user/1 يجلب لنا المستخدم رقم 1 فإن هذه الاداة ستبدأ بالتلاعب بالأرقام الى ان تصل مثلا الى نتيجة محددة مثلا /user/256 و هنا نعرف ان عدد المستخدمين هو 256 مستخدم في الموقع. يمكن بالطبع التلاعب بها بميزات هائلة و كثيرة.

أداة Sequencer:

هذه الاداة معقدة قليلا في الإستخدام و تحتاج الى بعض الوقت من أجل فهم نمطية عملها، الهدف من الأداة هو محاولة فهم التشفير الموجودة في الـ Tokens التي يتم توليدها في موقع محدد، إليك مثال يشرح الأمر أكثر : مثلا في فيسبوك يتم تحديد Token مخصص أثناء إستخدام تطبيق ويب محدد للمرة الأولى قد تجده عشوائي لكن يوجد حتما نمط يتبعه مثلا ربما يقوم بتجميع تاريخ اليوم مثلا : 21012020748 ( يبدو عشوائيا في البداية لكن إن قسمته قد يعطيك تاريخ اليوم و الساعة ) ...، أداة Sequencer تحاول تجريد الـ Tokens العشوائية و محاولة فهم نمطية تجسيدها.

أداة Clickbandit:

تعتمد هذه التقنية على توليد أكواد يمكن إدراجها في الموقع من أجل تحصيل عمليات الـ Clickjacking، إن لم تكن لديك فكرة عن الـ Clickjacking فهي إضافات يتم إضافتها في موقع محدد بشكل خفي بحيث تتبع تحركات المستخدم و عندما ينقر في الصفحة تقوم بعمل محدد، إشتهرت كثيرا بين مستخدمي المواقع لجلب لايكات لصفحاتهم على فيسبوك بحيث يتم إضافة زر لايك للصفحة بشكل خفي يلاحق سهم الفأرة و فور النقر يقوم المستخدم بعمل لايك للصفحة دون ان يدري.

فيديو الدرس على القناة وشرح آلية التحميل والتفعيل (كدعم لنا قم بالاشتراك في القناة والإعجاب بالفيديو ومشاركتها مع زملائك)