- بواسطة x32x01 ||
لو بتبدأ تتعلم الأمن السيبراني واختبار الاختراق (Ethical Hacking) فمهم جدًا تتعلم إزاي تكتشف الثغرات البسيطة في المواقع 🌐🔐
البوست ده بيشرح فكرة تعليمية عن نوع من الأخطاء البرمجية اللي كانت موجودة في بعض الأنظمة القديمة.
المشكلة إن هذه الملفات كانت أحيانًا:
مثال على استعلام بحث:
هذا البحث قد يظهر مواقع تستخدم نظام تسجيل دخول معين.
هذا الملف قد يحتوي على بيانات مثل:
الجزء الأول هو اسم المستخدم، والجزء الثاني هو كلمة المرور المشفرة.
مثال باستخدام خوارزمية MD5:
المشكلة أن خوارزمية MD5 أصبحت ضعيفة ويمكن كسرها باستخدام قواعد بيانات جاهزة.
تعلم اكتشاف هذه الأخطاء يساعدك على:
البوست ده بيشرح فكرة تعليمية عن نوع من الأخطاء البرمجية اللي كانت موجودة في بعض الأنظمة القديمة.
فكرة الثغرة باختصار
بعض أنظمة تسجيل الدخول القديمة كانت تخزن بيانات المستخدمين في ملفات نصية داخل السيرفر.المشكلة إن هذه الملفات كانت أحيانًا:
⚠️ مكشوفة للزوار
⚠️ يمكن الوصول إليها مباشرة عبر الرابط
⚠️ تحتوي على أسماء المستخدمين وكلمات المرور
وهذا يعتبر خطأ برمجي خطير.مثال على البحث عن أنظمة قديمة
بعض الباحثين الأمنيين يستخدمون ما يسمى Google Dorks للعثور على صفحات معينة في المواقع.مثال على استعلام بحث:
intext:"Micro Login System v 1.0"هذا البحث قد يظهر مواقع تستخدم نظام تسجيل دخول معين.
كيف كان الخطأ يحدث؟
في بعض الأنظمة القديمة كان يتم حفظ بيانات المستخدمين داخل ملف مثل:userpwd.txtهذا الملف قد يحتوي على بيانات مثل:
Code:
user1:7fd5838d304500a212ce6e348ea81583ما هي عملية Hash لكلمة المرور؟
كلمات المرور لا يتم تخزينها عادة كنص واضح، بل يتم تحويلها إلى قيمة تسمى: Hashمثال باستخدام خوارزمية MD5:
7fd5838d304500a212ce6e348ea81583المشكلة أن خوارزمية MD5 أصبحت ضعيفة ويمكن كسرها باستخدام قواعد بيانات جاهزة.
لماذا تعتبر هذه مشكلة أمنية؟
لو تمكن شخص من الوصول إلى ملف كلمات المرور قد يستطيع:⚠️ تحليل كلمات المرور
⚠️ تسجيل الدخول إلى لوحة التحكم
⚠️ تعديل بيانات الموقع
وهذا يحدث بسبب خطأ في إعدادات الأمان.كيف يتم حماية المواقع من هذه المشكلة؟
لحماية المواقع من هذه الأخطاء يجب اتباع عدة ممارسات أمنية.🔐 منع الوصول المباشر إلى الملفات الحساسة
🔐 استخدام خوارزميات تشفير قوية مثل bcrypt
🔐 تحديث أنظمة الموقع باستمرار
🔐 استخدام أنظمة إدارة مستخدمين آمنة
نصيحة للمبتدئين في الأمن السيبراني
لو حابب تبدأ تعلم اختبار الاختراق بشكل قانوني فالأفضل استخدام مواقع التدريب مثل:🧪 PortSwigger Web Security Academy
🧪 Hack The Box
🧪 TryHackMe
هذه المنصات توفر بيئات آمنة لتعلم اكتشاف الثغرات.خلاصة
الأخطاء البسيطة في برمجة المواقع قد تؤدي إلى ثغرات خطيرة مثل كشف ملفات كلمات المرور.تعلم اكتشاف هذه الأخطاء يساعدك على:
👨💻 فهم أمن المواقع
🔐 حماية التطبيقات
🧠 تطوير مهاراتك في الأمن السيبراني
لكن يجب دائمًا استخدام هذه المعرفة بشكل قانوني وأخلاقي. التعديل الأخير:
