كيف تتربح ماديا من خلال إكتشاف ثغرات المواقع
السلام عليكم ورحمة الله وبركاته,
منذ فترة ليست بالقصيرة, بدأنا بشرح كورس مفصل عن إختبار إختراق تطبيقات الويب باللغة العربية. الكورس شمل أساسيات كثيرة جدا مثل ال Networking, Linux, Protocols, How things works (i.e. DNS, HTTP, HTTPS) وكذلك شمل شروحات لثغرات تطبيقات الويب. إضغط هنا لتفاصيل أكثر عن الكورس.
الكورس لم ينتهي بعد ولا زلنا في مرحلة إٍستكماله. لكن قمنا بإضافة درسين مهمين جدا توجب علينا كتابتهم في مقال منفصل, وهما عن كيفية التربح ماديا من إكتشاف ثغرات المواقع.
الدرسين يشملان أشهر ال bug bounty platforms وما هي فكرة ال bug bounty وما هي الطريقة الأنسب لكتابة تقرير بالثغرة التي قمت بإكتشافها. كذلك الدروس شملت أيضا الحديث عن ال CVSS scoring system وكيف يعمل وإنتهاءا بطرق الحصول علي المكفآت المادية من منصة Hackerone.
إنطلاق كورس إختبار إختراق تطبيقات الويب باللغة العربية مجانا
السلام عليكم ورحمة الله وبركاته أحبتي في الله.
يسر مدونة مجتمع الحماية العربي أن تعلن عن إطلاق كورس إختبار إختراق تطبيقات الويب باللغة العربية
Web Applications Penetration Testing Course
واللذي يشرح بالتفصيل ثغرات المواقع مع أمثلة عمليه علي شركات عالمية عن كيفية حدوث الثغرات وكيف يتم إستغلالها.
تم التركيز في الكورس علي وضع أساسيات مهمه جدا لابد وأن يفهمها كل مختبر إختراق قبل البدأ في إكتشاف وإستغلال الثغرات.
ما اللذي سيتم شرحه في الكورس:
Introduction Day:
1. Course Requirements:
Installing necessary browser plugins (Wappalyzer, FlagFox, FoxyProxy)
Virtualbox + Ubuntu
Java & Burp Suite
سرقة الصلاحيات من جهاز ويندوز مغلق باستخدام USB Armory
USB Armory
موضوعنا اليوم هو موضوع جميل ومهم جدا لل pentester و ال red teamer ويصنف تحت ال Physical Social Engineering Attack. اليوم سنتعلم كيفية سرقة ال NTLM hashes من جهاز ويندوز حتى لو كان الجهاز في Locked باستخدام USB Armory device.
نستفيد من هاشات ال NTLM في سيناريوهات كثيرة منها على سبيل الذكر لا الحصر
- الدخول على ال Shared folders
- أو في هجمات ال PTH على الجهاز أو على الخوادم التي قد يدخلها المستخدم من جهازه المستهدف
- تنفيذ أوامر عن بعد على الجهاز المستهدف باستخدام psexec
- محاول كسر الهاش و الحصول على كلمة المرور الحقيقة باستخدام أداة hashcat (قد تستغرق وقت طويل جدا)
- إلخ
الجدير بالذكر هنا أنه لن تعيقنا أي Group policy تمنع استخدام ال USB storage لان الكمبوتر المستهدف سيتعرف عليه على أنه USB Ethernet device.
فيروس الفدية WannaCry وكيف تنقذ مؤسستك منه قبل فوات الأوان.
السلام عليكم إخواني الكرام,
انتشر وبشدة فيروس WannaCry منذ البارحه كالنار في الهشيم وأصاب اكثر من 40000 الف جهاز كمبيوتر في حوالي 74 دولة حول العالم ما بين مؤسسات حكومية و ما يقرب من 16 مستشفي في إنجلترا ومن المؤسف تعليق أحد الدكاترة بأحد المستشفيات التي اصيبت انظمتها بهذا الفيروس علي موقع الجارديان قائلا بأن جميع العمليات توقفت في المستشفي منذ الواحده مساء وتم حذف جميع سجلات المرضي ونتائج الفحص وأن حياة أشخاص كثيرون علي المحك بسب هذه الكارثه وبالتأكيد سيكون هناك موتي جراء إنتشار هذا الفيروس!!!
كيف تكتب الـ CV الخاص بك في مجال تكنولوجيا المعلومات
السلام عليكم ورحمة الله وبركاته,
واجهتني مشاكل كثيرة في بداية حياتي العملية بسبب كتابة ال CV ولم أملك الخبرة الكافية وقتها لكتابته بشكل احترافي, أما وبعد سنوات من الأسئلة والتجربة والتعديلات, أحببت أن اشارك معكم الطريقه الأفضل لكتابة ال CV الخاص بك في مجال تكنولوجيا المعلومات بشكل عام سواء كنت مبرمج او مختبر اختراق او مكتشف ثغرات او مهندس شبكات إلي آخره.
سأقوم إن شاء الله في نهاية المقال بإرفاق نسخة معدة مسبقا ويمكنكم التعديل عليها وإستخدامها لكتابة سيرتكم الذاتية.
عهد جديد من الهجمات الإلكترونية يدفعنا إلى الاهتمام بأمن المعلومات
أصبحت قضايا أمن المعلومات من الخطورة بالمكان الذي يحتم علينا الاهتمام بكل ما هو جديد فيها،، فبعد توسع التقنيات الحديثة التوسع الذي جعلها تطال معظم مناحي الحياة الأصلية منها و الفرعية، الضرورية منها و الترفيهية، و دخول عالم الانترنت و الأجيال المتلاحقة من التكنولوجيا علي حياتنا اليومية تزداد الحاجة الماسة للاهتمام بجميع الموضوعات التى تخص أمن المعلومات.
لعلنا في السطور القادمة سنقوم بعرض بسيط لخطورة الوضع الحالي،،
أداة Sublist3r للبحث عن الدومينات الفرعية في محركات البحث
من أهم مراحل عملية إختبار الاختراق هي عملية جمع المعلومات عن الهدف , فمختبر الاختراق المحترف هو من يقوم بإجادة هذة المرحلة و يقوم بجمع المعلومات عن الهدف بشكل دقيق حتى يستطيع ان يقوم بإختراقه بعد ذلك بنجاح . و من مراحل جمع المعلومات هي تحديد الدومنيات الفرعية الخاصة بالهدف , مثلا اذا كان الهدف هو إختراق google.com فلابد ان يقوم مختبر الاختراق بالبحث عن جميع ما يخص شركة جوجل و يبحث عن نقاط الضعف بها , فمثلا سوف يقوم بالبحث عن الثغرات في mail.google.com و plus.google.com و translate.google.com و غيرها من خدمات جوجل.
انطلاق مشروع كتاب Rubyfu للغة Ruby لمختبري الاختراق
نبذة عن الكتاب
اليوم نعلن رسميا عن انطلاق مشروع الكتاب المفتوح Rubyfu والمختص بالمهارات البرمجية في لغة الـ Ruby لمختبري الاختراق. فكرة الكتاب تختلف عن الكتب الأخرى من حيث عرض المحتوى والفئة المستهدفة وطريقة تطوير الكتاب. هذا الكتاب يستهدف المختصين في الختبار الاختراق (Hackers) بشكل عام والمُلمين بلغة Ruby حيث يضع بين يديك كل ما تحتاجه يوميا من مهارات برمجية لتوفير وقت وجهد البحث عن كيفية عمل سكريبت يقوم بمهمة خاصة بلغة ال Ruby. يتميز الكتاب بقلة الكلام و الدخول في الطبيق مباشرة مع وضع بعض التوضيح إن لزم الأمر. من جانب خبرة, لا يحتاج الهاكر لكتاب 200 صفحة لفهم ماهو الـ Socket لكي يقوم بكتابة سكريبت طوله 20 سطر لينجز عمله. هذا الكتاب يسمح لك بالتركيز على الهدف الذي تريد اختراقه ويوفر لك البداية السريعة لكتابة السكريبت الذي يحقق الهدف. نعم فهذا الكتاب لا يعطيك معلومة بل يعطيك خبرة.
تعريفات هامة بأشهر مصطلحات أمن المعلومات والفرق بينها
السلام عليكم ورحمة الله وبركاته
كثيرا ما يكون لدي البعض إلتباس حول مصطلحات مثل Phishing و Spear Phishing او حول Targeted Attack و APT وغيرها
لذا إن شاء الله في هذه التدوينة سأشرح أهم مصطلحات أمن المعلومات لكي يكون المعني واضح تجاهها.
ملحوظة: تعمدت كتابة المصطلحات باللغة الإنجليزية لأنها لابد أن تحفظ كما هي 🙂
1- ما الفرق بين Phishing, Vishing, Spear Phishing, Spam؟
Spam: هي رسائل دعائية يتم إرسالها بكميات كبيرة أو إلي عدد كبير من ال Emails بغرض دعائي, مثلا دعايه لبرمجيات معينه او منتجات معينه إلخ.
كيف إستطاعت المخابرات الروسية إختراق وزارة الدفاع الأمريكية منذ عام 2008
Defense Information Systems Agency – DISA
أو ما يعرف ب وكالة نظم المعلومات التابعة لوزارة الدفاع الأمريكية, والتي تعمل بمثابة منظومة الإتصالات ونظم المعلومات الخاصة بوزارة الدفاع والتي تقوم بتجميع البيانات الهامة والحساسة من مصادر مختلفة لهدف واحد, هو توفير الدعم للقوة العسكرية الأمريكية في صورة متخذي القرار بدأ من الرئيس الأمريكي, مرورا بمستشاريه ووزير الدفاع حتي الجنود في ساحة المعركة.
لكي تقوم هذه الوكالة بعملها من تجميع هذا الكم الهائل من البيانات وتقديمة بشكل مناسب لكل الجهات السابق ذكرها, فإنهم بالطبع يحتاجون لمشاريع برمجية عملاقة لكي تقوم بتجميع البيانات بشكل أوتوماتيكي من كل المصادر المتاحة ثم تقوم عن طريق الذكاء الإصطناعي أو عن طريق برمجيات معدة مسبقا من إستخراج المعلومات المهمه وتقديمها للجهات المعنية السابق ذكرها,