يسرنا اليوم أن نتحدث عن إطلاق أداة #WebPwn3r لفحص المواقع من الثغرات الخطيرة
والتي صممت خصيصا لمساعدة الباحثين الأمنين الذين يشاركون في مسابقات اكتشاف الثغرات التي تسمي ب Bug Bounty Programs
دعونا نشرح الأداة وطريقة عملها ..
الأداة تم برمجتها بلغة البايثون لتقوم بفحص المواقع من ثغرات Remote Code Injection و Remote Code Execution و XSS وكذلك ثغرات SQL Injection
الأداة تم برمجتها بواسطة كاتب الموضوع وهي حاليا تحت التطوير المستمر.
حيث يمكنك من خلال الأداة فحص رابط واحد أو عدة روابط .. رابط كمثال:
http:///site.com/namer/news.php?id=1&page=2&action=load
يمكنك انشاء ملف باسم list.txt ووضع روابط من مواقع مختلفه كالرابط بالأعلي ومن ثم تشغيل الأداة من خلال الأمر python scan.py واختيار رقم 2 لفحص جميع الروابط الموجوده داخل الملف من الثغرات الموضحه أعلاه.
المميزات الحالية في الأداة:
- 1- فحص رابط واحد او عدد ﻻ محدود من الروابط
- 2- اكتشاف واستغلال الثغرات من نوع Remote Code Injection
- 3- إكتشاف وإستغلال الثغرات من نوع Remote Command Execution
- 4- إكتشاف وإستغلال ثغرات الـ SQL Injection
- 5- إكتشاف وإستغلال الثغرات من نوع XSS
- 6- الكشف عن ال WebKnight الذي يستخدم كجدار ناري للمواقع – WAF ومحاولة تخطيه
- 7- طرق إكتشاف وإستغلال الثغرات تم تطويرها بحيث تعمل علي أغلب انظمة التشغيل وكذلك لتتخطي الكثير من الجدران النارية المستخدمة في حماية المواقع من إكتشاف وإستغلال ثغراتها.
- 8- إستخراج بيانات عن البرمجيات المستخدمه داخل السرفر وكذلك إصداراتها.
https://www.youtube.com/watch?v=B6kDUk-ehOE
أحد التجارب الناجحة للأداة هي إكتشاف ثغرة Remote Code Injection في موقع الياهو:
او من خلال الرابط المباشر:
| روابط هذه التدوينة قابلة للنسخ واللصق | |
| URL | |
| HTML | |
| BBCode | |
شاهد ايضا اخر مواضيع الجيش العرقي الالكتروني
kamindoz
