التواصل المباشر مع الادارة والاعضاء القدامى من خلال قناة التلغرام



العودة   :: vBspiders Professional Network :: > [ ::. قـسم الأختراق المتقدم .:: Advanced Hacking Section .:: ] > Penteration Testing Training

إضافة رد
 
LinkBack أدوات الموضوع انواع عرض الموضوع
قديم 06-24-2009, 09:27 PM   رقم المشاركة : 1 (permalink)
معلومات العضو
 
الصورة الرمزية KΛiSЄЯ-J
 

 

 
إحصائية العضو







KΛiSЄЯ-J غير متواجد حالياً

إرسال رسالة عبر MSN إلى KΛiSЄЯ-J

 

 

إحصائية الترشيح

عدد النقاط : 10
KΛiSЄЯ-J is on a distinguished road

.... Penetration Testing ما هو؟ وكيف تبدأ طريقك به!



يستخدم الـ Penetration Test في اختبار مستوى حماية الشركات واكتشاف الثغرات ونقاط الضعف الموجودة بها. ببساطة أكثر تقوم الشركة بالاتفاق مع Ethical Hacker ليقوم بفحص مستوى الحماية واكتشاف الثغرات ونقاط الضعف التي قد تشكل خطورة على الشركة ويقدم بعد الانتهاء من عمله تقرير مفصّل عن أماكن نقاط الضعف والثغرات التي وجدها بالاضافة الى الأسباب واقتراح الحلول المناسبة لها. أثبتت هذه الطريقة أنها أكثر الطرق فعالية للحماية لأن هذا الهاكر سيستخدم نفس الأساليب والأدوات التي يستخدمها المخترقين لكن بشكل أخلاقي هذه المرة ولصالح الشركة!
شخصيا أجد أن العمل كـ Penetration Tester أمر جميل جدا وممتع بنفس الوقت فأنت ستحاول اختراق الشركة وتتحدى الأنظمة ومدراء السيرفرات وتقوم بعمل أي هاكر يريد اختراق الشركة وتستعمل نفس الطرق والأدوات التي يستخدمها لكن الفرق أنك تفعلها هذه المرة بطريقة شرعية بعد موافقة الشركة ولصالحها وفي النهاية ستحصل على مقابل مادي أيضا! هذا العمل موجود ومنتشر في الدول المتقدمة والشركات التي تهتم بالحماية وتهتم بأمن المعلومات الموجودة عندها أما الشركات العربية لا أتوقع أنها تعلم بوجود هذا العمل أساسا! (في الوقت الحالي على الأقل) لأن هذه الشركات تكتفي على الأغلب بوضع شخص واحد مسؤول عن جميع الأمور التي تخص السيرفر أو الشبكة من ادارة, صيانة, تحديث, حماية… حاليا لا يوجد مشكلة طالما الوضع متكافئ (لا يوجد حماية قوية وبالمقابل لا يوجد هاكرز عرب أقوياء!) فللأسف في عالمنا العربي أكثر من 95% من الأشخاص الذين يطلقون على أنفسهم Hackers لا يعلمون سوى استغلال أبسط الثغرات المكتشفة في السكريبتات المبرمجة بلغة php بغرض اختراق المواقع فقط! أو اختراق الأجهزة باستخدام احدى البرامج أو القيام بسرقة الايميل عن طريق صفحة تسجيل دخول مزورة!! وهذا بكل تأكيد لا يمكنهم من اختراق أي شركة! أما بالنسبة للهاكرز الذين يقومون بعمل Penetration Test لشركة ما يمكننا القول أنهم Hackers حقيقيين لكنهم يستغلون مهاراتهم بطريقة صحيحة ولحماية الشركة. وللعمل بهذا المجال يجب أن تكون على علم بكثير من الأمور والمجالات المختلفة فبكل تأكيد ستحتاج لمعرفة بالشبكات وأدق تفاصيلها, ادارة السيرفرات والتعامل مع أنظمة التشغيل المختلفة, قواعد البيانات, التشفير وقد تحتاج لمعرفة بلغات البرمجة أيضا وكثير من الأمور الأخرى بجانب معرفتك بالهاكر وأساليبه ومن الضروري الحصول على شهادات تثبت خبرتك في المجالات السابقة مثل: MCP , CCNA , CISSP , RHCE , C|EH , CPTS , OPST وغيرهم الكثير طبعا ليس من الضروري الحصول عليهم جميعا لتعمل بهذا المجال لكن كلما ازداد عدد شهاداتك وارتفعت مستوياتها ازادت معرفتك وارتفع الأجر معها. فمثلا قد تحتاج لأن تتعامل مع شركة تستخدم أنظمة Linux و Windows وتستخدم راوترات Cisco فاذا لم تكن على معرفة بجميع الأمور السابقة لن تتمكن من القيام بعملك! تخيل أنك تريد اختراق نظام لا تعرف كيف تتعامل معه؟! الموضوع هنا ليس اختراق فقط بل كتابة تقرير مفصل واقتراح الحلول المناسبة أيضا. باختصار يجب أن تكون هاكر حقيقي بنى علمه على معرفة وليس شخص تعلم استخدام بضعة أدوات!
أما طريقة العمل تتم بعد الاتفاق مع الشركة وأخذ موافقة خطيّة منهم لأن القيام بمحاولة اختراق أمر غير شرعي ويعرضك للمسألة القانونية بعد ذلك يتم الاتفاق على التفاصيل مثل المدة المحددة, الأجر, عدد السيرفرات, الأسلوب المتبع, نوعية الثغرات التي ستقوم بتجربتها… بعد ذلك يتم تحديد الأسلوب المتبع Black Box أم White Box في الاسلوب الأول لن تقوم الشركة بتزويدك بأي معلومات وعليك أن تبدأ عملك بجمع المعلومات وعمل Information Gathering عن الشركة كأن تقوم بمعرفة أيبيات السيرفرات التي تستخدمها الشركة, معرفة الأنظمة التي تعمل عليها, تحديد اصدارات البرامج والسيرفرات التي تستخدمها الشركة, أساليب الحماية التي تتبعها… أو الاسلوب الثاني White Box وبهذه الحالة تقوم الشركة بتزويدك بجميع المعلومات التي تحتاجها كأن تخبرك بوجود سيرفر قواعد بيانات Oracle يعمل بنظام لينوكس يستخدم الأيبي xxx.xx.xx.x متصل مع Webserver يعمل بنظام Windows يوجد عليه موقع مبرمج بلغة ASP ويوجد فايروول على سيرفر قواعد البينات يسمح بالاتصال بآيبيات محددة… وطبعا يتم تحديد بعض الشروط أيضا مثل نوعية الثغرات التي قد تقوم بتجربتها حيث بعض أنواع هذه الثغرات من الممكن أن تؤدي لتوقف السيرفر عن العمل مما يسبب خسائر للشركة!
بعد الاتفاق على كل شيء تبدأ عملك وفق خطة منظمة كما هو موضح بالصورة التالية:

طبعا الصورة السابقة لاتوضح كل شيء بل تعطي مجرد فكرة عامة عن تسلسل العمليات التي يجب علينا القيام بها. يتم استخدام جميع الأساليب والبرامج التي يستخدمها المخترقين وشركات الحماية في اكتشاف الثغرات ونقاط الضعف وكما نعلم تختلف هذه الأدوات في قوتها ودرجة احترافيتها فبعضها مجاني ومفتوح المصدر أو مجاني فقط أو حتى تجاري ويحتاج لشراء (غالبا تكون أسعار هذه النوعية من البرامج مرتفعة!) وطبعا بالنسبة لعمل يجب أن تستخدم أدوات احترافية وحديثة لتضمن لك نتائج صحيحة ولا يجب عليك استخدام أي برامج مقرصنة ولاتنسى أيضا أنك هاكر أخلاقي ولست مخترق وقد تتمكن من اختراق الشركة بشكل فعلي ومن الممكن أن تصل لمعلومات حساسة أيضا, يجب عليك الحفاظ عليها وعدم نسخها, تعديلها أو تسريبها لأي جهة ثالثة ومن ثم القيام بكتابة تقرير مفصّل يوضح الطريقة التي مكنتك من الوصول لهذه المعلومات واقتراح الحلول المناسبة لها!
يوجد الكثير من المعلومات والتفاصيل الأخرى أنصحكم بالبحث عنها في Google وموسوعة Wikipedia. عالم الحماية والاختراق عالم جميل وممتع جدا مليئ بالصعوبات والتحديات وبكل تأكيد يمكننا تعلمه واستخدامه في الحماية وبطريقة شرعية (ليس للتخريب فقط كما يظن البعض) وان شاء الله سأحاول أن أركز في المدونة على هذه النوعية من المواضيع وسأحاول أيضا الكتابة عن مواضيع أخرى متقدمة ستتعرفون عليها قريبا ان شاء الله.
ملاحظة: جميع ماكتب سابقا من جهدي الشخصي وهو تلخيص للعديد من المقالات والكتب التي قرأتها سابقا.. هذا الموضوع ليس منقول أو مترجم من أي مصدر آخر وهو خاص بهذه المدونة فقط! لذلك أتمنى عدم نقله كاملا دون حفظ الحقوق والاشارة للمصدر!


منقول للإفادة من
Br4v3-H34r7



Penetration Testing lh i,? ,;dt jf]H 'vdr; fi!

التوقيع

Email:// 8f4@w.cn

- D0Nt L34rN T0 H4x, H4x T0 L34rn

- L1f3 1s 4 B1n4rY u r 31th3r 1 0r 0,.. S0 d'0nt B3 th3 0

http://img196.imageshack.us/img196/4402/sighti.png

W4nn4 R34L H4x1ng ??
De-Ice Pentest Disks
G0tmi1k Blog
VBSPIDERS 1s C00l1nG 1N My Bl00d

 


التعديل الأخير تم بواسطة KΛiSЄЯ-J ; 06-24-2009 الساعة 09:36 PM.

   

رد مع اقتباس
قديم 06-24-2009, 11:20 PM   رقم المشاركة : 2 (permalink)
معلومات العضو
 
الصورة الرمزية BoM AtTaCk
 

 

 
إحصائية العضو






BoM AtTaCk غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
BoM AtTaCk is on a distinguished road

افتراضي


مشكور اخوي علىآ التوضيح ~ لاهنت علىآ الطرح ~

التوقيع

BoM AtTaCk

o_l8@hot
mail.com

respect me so i can respect you

:666:

 

   

رد مع اقتباس
قديم 06-25-2009, 02:40 PM   رقم المشاركة : 3 (permalink)
معلومات العضو
 
الصورة الرمزية data$hack
 

 

 
إحصائية العضو







data$hack غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
data$hack is on a distinguished road

افتراضي


مشكور اخوي

التوقيع


data$hack : EIP HUNTER


Ninja-security team
http://Pentest101.blogspot.com

 

   

رد مع اقتباس
قديم 06-29-2009, 03:02 AM   رقم المشاركة : 4 (permalink)
معلومات العضو
 
الصورة الرمزية KΛiSЄЯ-J
 

 

 
إحصائية العضو







KΛiSЄЯ-J غير متواجد حالياً

إرسال رسالة عبر MSN إلى KΛiSЄЯ-J

 

 

إحصائية الترشيح

عدد النقاط : 10
KΛiSЄЯ-J is on a distinguished road

افتراضي


شكرا لمروركما

التوقيع

Email:// 8f4@w.cn

- D0Nt L34rN T0 H4x, H4x T0 L34rn

- L1f3 1s 4 B1n4rY u r 31th3r 1 0r 0,.. S0 d'0nt B3 th3 0

http://img196.imageshack.us/img196/4402/sighti.png

W4nn4 R34L H4x1ng ??
De-Ice Pentest Disks
G0tmi1k Blog
VBSPIDERS 1s C00l1nG 1N My Bl00d

 

   

رد مع اقتباس
قديم 06-30-2009, 09:05 AM   رقم المشاركة : 5 (permalink)
معلومات العضو
 
إحصائية العضو







ابو بدر غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 11
ابو بدر is on a distinguished road

افتراضي


مشكووووور اخوي

موضوع رائع

التوقيع

تم إعتزال الهكر نهائي
Skype:omar_28

 

   

رد مع اقتباس
قديم 07-29-2009, 09:12 PM   رقم المشاركة : 6 (permalink)
معلومات العضو
 
الصورة الرمزية mr:lonly
 

 

 
إحصائية العضو





mr:lonly غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
mr:lonly is on a distinguished road

افتراضي


مشكور على الموضوع يالذيب بس انا قريتها قبل كده في مذكرة عبد المهيمن

   

رد مع اقتباس
قديم 08-05-2009, 07:42 PM   رقم المشاركة : 7 (permalink)
معلومات العضو
 
الصورة الرمزية DON'T CRY
 

 

 
إحصائية العضو





DON'T CRY غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
DON'T CRY is on a distinguished road

افتراضي


يعطيك العافيه اخوي وبارك الله فيك

   

رد مع اقتباس
قديم 02-05-2010, 06:52 AM   رقم المشاركة : 8 (permalink)
معلومات العضو
 
الصورة الرمزية punisher77
 

 

 
إحصائية العضو





punisher77 غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
punisher77 is on a distinguished road

افتراضي


صحيح و من يريد بعمل تجارب أنا جاهز للمساعدة والتطوير قبل أن تطبيق لابد أن تجرب لتعرف ما سبب المشكلات ولماذا الثغرة لم تنجح

التوقيع

http://www.vbspiders.com/vb/members/...1-user7796.jpg

 

   

رد مع اقتباس
إضافة رد

مواقع النشر (المفضلة)


تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة
Trackbacks are متاحة
Pingbacks are متاحة
Refbacks are متاحة

الانتقال السريع

المواضيع المتشابهه
الموضوع كاتب الموضوع المنتدى مشاركات آخر مشاركة
Penetration Testing ما هو؟ وكيف تبدأ طريقك به! D-GhosT s3cur!Ty-Z Penteration Testing Training 13 08-06-2016 06:36 PM
شرح ثغرة جوملآ اليوم كيف تعرف الدورك وكيف تعرف الثغرة وكيف تستغل وجرب HaKoReY قـسـم إخـتـراق الـمـواقـع والـسـيرفـرات 47 12-15-2014 06:19 PM
طريقك لاحتراف penetration testings punisher77 Penteration Testing Training 6 02-01-2014 12:48 PM
كل كتب ال Penetration Testing (متجدد). data$hack Penteration Testing Training 17 03-08-2011 10:02 AM
Metasploit Toolkit, For Penetration Testing,Exploit Develpoment,and Vulnerability Research Br.l!nc MetaSploit 5 09-01-2010 11:50 PM


الساعة الآن 03:29 PM


[ vBspiders.Com Network ]

SEO by vBSEO 3.6.0