سبع أدوات ممتازة مفتوحة المصدر لفحص الثغرات الأمنية عبر الويب

تقنية فحص الثغرات الأمنية عبر الويب هي تقنية اختبار آلية تستخدم للكشف عن نقاط الضعف المحتملة أو المخاطر الأمنية في تطبيقات الويب.

ويمكن لأدوات فحص أمان الويب محاكاة سلوك القرصنة واكتشاف نقاط الضعف الشائعة مثل حقن SQL  وXSS  وتحميلات الملفات واجتياز الدليل والمزيد.

ويمكن استخدام أدوات فحص الثغرات الأمنية عبر الويب لاكتشاف نقاط الضعف المحتملة في تطبيقات الويب؛ مثل حقن التعليمات البرمجية وتسريبات التعليمات البرمجية والبرمجة النصية عبر المواقع وتزوير الطلبات عبر المواقع واختطاف الجلسة، ونقل الملفات.

قد يهمك أيضًا دليل شامل لتعلم الهاكر الأخلاقي من الصفر حتى الإحتراف

خطوات البحث عن الثغرات الأمنية عبر الويب

تتضمن خطوات الفحص بحثًا عن الثغرات الأمنية عبر الويب عمومًا ما يأتي:

جمع المعلومات

جمع معلومات عن موقع الويب المستهدف، مثل عنوان (IP) وهيكل موقع الويب وما إلى ذلك.

إنشاء سياسة أمان

استنادًا إلى موقع الويب المستهدف، وجنبًا إلى جنب مع معلومات موقع الويب صغ سياسات الفحص والعزل اللازمة.

أجر فحصًا وأكِّد النتائج

استخدم الماسح الضوئي لمسح موقع الويب المستهدف وتحليل الصفحات والمدخلات والمخرجات ومراجعة نتائج الفحص يدويًّا، وتأكيد نقاط الضعف.

صياغة خطة إصلاح

وفقًا لنتائج الفحص صغ خطة إصلاح مقابلة وتكنولوجيا وآلية الإصلاح.

إصلاح الثغرات الأمنية والحفاظ على الويب

التعامل مع نقاط الضعف والعيوب لضمان أمان وموثوقية تطبيقات الويب.

في الوقت الحاضر توجد برامج عدة فحص الثغرات الأمنية عبر الويب في السوق، بعضها تجاري وبعضها مفتوح المصدر مجاني، فعلى سبيل المثال (AppScan) هو أداة فحص أمان الويب التجارية الشائعة.

في هذا المقال أدرج بعضًا من أفضل برامج فحص الثغرات الأمنية لتطبيقات الويب المجانية والمفتوحة المصدر.

قد يهمك أيضًا أمن المعلومات والحماية السيبرانية.. المعنى والمكونات

سبع أدوات ممتازة مفتوحة المصدر لفحص الثغرات الأمنية عبر الويب

OWASP ZAP  وكيل هجوم Zed)

عنوان شفرة المصدرhttps://github.com/zaproxy/zaproxy

هو إحدى أكثر أدوات اختبار أمان تطبيقات الويب مفتوحة المصدر شيوعًا، طورته (OWASP) للكشف تلقائيًا عن الثغرات الأمنية في تطبيقات الويب عند تطوير التطبيقات واختبارها، والتقارير التي تنتجها (ZAP) بدهية جدًّا، وتعطي علامات واضحة على نقاط الضعف ما يمكن من جمع مزيد من المعلومات بعمق، ويسمح للمطورين (مهندسي الجودة) بأتمتة اختبار انحدار أمان التطبيقات في خطوط أنابيب (CI / CD).

W3af إطار تدقيق تطبيقات الويب

الموقع الرسميhttps://w3af.org

عنوان التعليمات البرمجية المصدر لـ:

GitHub: https://github.com/andresri

W3af، إطار تدقيق تطبيقات الويب

W3af  هو هجوم قوي مفتوح المصدر على تطبيقات الويب وإطار التدقيق، فهو يعد منصة اختبار اختراق لتطبيقات الويب بهدف تحديد أكثر من 200 نقطة ضعف في تطبيقات الويب بما في ذلك حقن SQL والبرمجة النصية عبر المواقع وما إلى ذلك، إضافة إلى ذلك فقد طوره (Python)، وتأتي الأداة بواجهة رسومية ووحدة تحكم، وهي سهلة الاستخدام.

قد يهمك أيضًا أساليب التهديد السيبراني الجديدة وكيفية مواجهتها

العناكب

عنوان الكود المصدرhttps://github.com/Arachni/arachni

 (Arachni) هي أداة مفتوحة المصدر عالية الأداء لتطبيقات الويب الحديثة، وتحدد مجموعة متنوعة من مشكلات الأمان مثل: حقن (SQL) و(XSS) وتضمين الملفات المحلية وتضمين الملفات عن بعد وعمليات إعادة التوجيه غير المصادق عليها وغيرها كثير.

نيكتو

عنوان التعليمات البرمجية المصدر https://github.com/sullo/nikto

Nikto)) هو ماسح ضوئي شهير لخادم الويب مفتوح المصدر يجري اختبارًا شاملًا لخوادم الويب للتحقق من الملفات الخطرة وبرامج الخادم القديمة ونقاط الضعف المحتملة الأخرى.

سكيبفيش

عنوان التعليمات البرمجية المصدرhttps://code.google.com/archive/p/skipfish/source

عنوان التحميلhttps://code.google.com/archive/p/skipfish/downloads

Skipfish  هي أداة فحص أمان الويب مفتوحة المصدر من (Google)، إنها تعمل بكشط موقع الويب والتحقق من كل صفحة بحثًا عن تهديدات أمنية مختلفة، وبعد ذلك تكتب تقريرًا نهائيًا بذلك.

ولقد طورت هذه الأداة باستخدام (C) لمعالجة (HTTP) وتقليل وحدة المعالجة المركزية، وتدعي أنها يمكنها بسهولة التعامل مع (2000) طلب في الثانية دون زيادة الحمل على وحدة المعالجة المركزية.

تدعم هذه الأداة (Linux) و(FreeBSD) و(MacOS X) و(Windows).

قد يهمك أيضًا أهمية تعلم الأمن السيبراني في عصر التكنولوجيا

سكل ماب

عنوان شفرة المصدرhttps://github.com/sqlmapproject/sqlmap

 (SQLMap) هي أداة شائعة لاختبار اختراق مواقع الويب مفتوحة المصدر، ويمكنها العثور تلقائيًا على ثغرات حقن SQL في قاعدة بيانات موقع الويب، مع محرك كشف قوي وعدد من الميزات المفيدة.

وهي تدعم مجموعة من خوادم قواعد البيانات بما في ذلك (MySQL) و(Oracle) و(PostgreSQL) و(Microsoft SQL Server) و(Microsoft Access) وIBM DB2)) و(SQLite) و(Firebird) و(MySQL) و(SAP MaxDB)، وهي تدعم دعمًا كاملًا ست تقنيات حقن SQL)) بما في ذلك: الاختبار الأعمى المستند إلى الوقت والاختبار الأعمى المستند إلى القيمة المنطقية والاستعلامات المستندة إلى الأخطاء واستعلامات UNION واستعلامات المكدس والبيانات خارج النطاق.

وفز

عنوان التعليمات البرمجية المصدرhttps://github.com/xmendez/wfuzz

wfuzz

Wfuzz  هي أداة مجانية ومفتوحة المصدر لاختبار اختراق تطبيقات الويب، ويمكن استخدامها لإجراء اختبارات القوة الغاشمة (GET) و(POST) مع معلمات للكشف عن الحقن المختلفة مثل (SQL) و(XSS) و(LDAP) وما إلى ذلك، وهي تدعم بيئات الويب مثل تشويش ملفات تعريف الارتباط وتعدد مؤشرات الترابط  و(SOCK) والوكيل والمصادقة واختبار القوة الغاشمة البارامترية والوكلاء المتعددين وغير ذلك.

ويوجد جانب سلبي هو أن هذه الأداة لا توفر واجهة المستخدم الرسمية، وعليك استخدام واجهة سطر الأوامر.

ملاحظة: المقالات والمشاركات والتعليقات المنشورة بأسماء أصحابها أو بأسماء مستعارة لا تمثل الرأي الرسمي لجوَّك بل تمثل وجهة نظر كاتبها ونحن لا نتحمل أي مسؤولية أو ضرر بسبب هذا المحتوى.

ما رأيك بما قرأت؟
إذا أعجبك المقال اضغط زر متابعة الكاتب وشارك المقال مع أصدقائك على مواقع التواصل الاجتماعي حتى يتسنى للكاتب نشر المزيد من المقالات الجديدة والمفيدة والإيجابية..

تعليقات

يجب عليك تسجيل الدخول أولاً لإضافة تعليق.

هل تحب القراءة؟ كن على اطلاع دائم بآخر الأخبار من خلال الانضمام مجاناً إلى نشرة جوَّك الإلكترونية

مقالات ذات صلة
نبذة عن الكاتب