مهتم في تعلم #اختبار_الاختراق #penetrationtesting؟
حاب تجرب (بشكل أخلاقي) اختراق صفحات الويب المرتبطة بقاعدة معلومات في غضون خمس دقائق؟
إذاً، هذا الثريد مناسب لك ?
|
هنالك موقع من قوقل مصمم لهذا الغرض، اسمه Gruyere
google-gruyere.appspot.com
|
#الامن_السيبراني #cybersecurity
حاب تجرب (بشكل أخلاقي) اختراق صفحات الويب المرتبطة بقاعدة معلومات في غضون خمس دقائق؟
إذاً، هذا الثريد مناسب لك ?
|
هنالك موقع من قوقل مصمم لهذا الغرض، اسمه Gruyere
google-gruyere.appspot.com
|
#الامن_السيبراني #cybersecurity
حصل خطأ أثناء إرسال الثريد واضطررت لإعادته
وانتبهت أن هنالك أكثر من 65 تفضيل وريتويت وتعليقات في خلال 5 دقائق قبل استكمال الثريد.. شكراً لثقتكم ?❤️
الثريد فيما يلي...
وانتبهت أن هنالك أكثر من 65 تفضيل وريتويت وتعليقات في خلال 5 دقائق قبل استكمال الثريد.. شكراً لثقتكم ?❤️
الثريد فيما يلي...
بداية من المهم فهم تعريف الـ Cookies أو ملف تعريف الارتباط
كما ينص الاسم، هو عبارة عن ملف يتم من خلاله توثيق ارتباط المستخدم بالموقع الإلكتروني (اثبات هويته)
يتم حفظه على جهاز المستخدم
ويقوم الموقع بالتوثيق/التحقق منه في كل مرة يتم فيها تسجيل الدخول للموقع
كما ينص الاسم، هو عبارة عن ملف يتم من خلاله توثيق ارتباط المستخدم بالموقع الإلكتروني (اثبات هويته)
يتم حفظه على جهاز المستخدم
ويقوم الموقع بالتوثيق/التحقق منه في كل مرة يتم فيها تسجيل الدخول للموقع
ماذا لو تم سرقة ملف تعريف الارتباط Cookies؟
بالطبع هذا سيسهل عملية اختراق الحساب الإلكتروني للمستخدم وسيسهل
Impersonation attack, cookies hijacking, session hijacking...
and a lot more
|
نطبق هذا عملياً؟
بالطبع هذا سيسهل عملية اختراق الحساب الإلكتروني للمستخدم وسيسهل
Impersonation attack, cookies hijacking, session hijacking...
and a lot more
|
نطبق هذا عملياً؟
(1) سجل حساب جديد في الموقع Sign up
(2) قم بتسجيل الدخول لحسابك Sign in
(3) انسخ الـ Cookies من خلال الخطوات التالية
انقر بالزر اليمين على الصفحة واختار Inspection
ثم انقر على السهمين في أعلى يمين الشاشة، ثم اختار Application
ستجد معلومات الـ Cookies تحت Storage
(2) قم بتسجيل الدخول لحسابك Sign in
(3) انسخ الـ Cookies من خلال الخطوات التالية
انقر بالزر اليمين على الصفحة واختار Inspection
ثم انقر على السهمين في أعلى يمين الشاشة، ثم اختار Application
ستجد معلومات الـ Cookies تحت Storage
ستكون صيغة الـ Cookies كالتالي
<numbers>|dalalharthi|author
|
الآن حمل أداة EditThisCookies والتي تتيح لك إدارة وتعديل الـ Cookies
|
ماذا لو استخدمنا هذه الأداة لتعديل الـ author إلى admin في صيغة الـ Cookies، وعملنا تحديث؟
ستصبح لديك صلاحيات الإدارة، وستجد خيار Manage Server
<numbers>|dalalharthi|author
|
الآن حمل أداة EditThisCookies والتي تتيح لك إدارة وتعديل الـ Cookies
|
ماذا لو استخدمنا هذه الأداة لتعديل الـ author إلى admin في صيغة الـ Cookies، وعملنا تحديث؟
ستصبح لديك صلاحيات الإدارة، وستجد خيار Manage Server
الآن قم بتسجيل الخروج من حسابك، وقم بإنشاء حساب مختلف
بعد إتمام عملية التسجيل سيظهر رابط الصفحة كما هو في الصورة المرفقة
ماذا لو تم تعديل هذا الرابط
admin instead of author
update instead of new
هذه طريقة أخرى لعمل privilege escalation أو لترقية الصلاحيات واكتساب صلاحيات أعلى
بعد إتمام عملية التسجيل سيظهر رابط الصفحة كما هو في الصورة المرفقة
ماذا لو تم تعديل هذا الرابط
admin instead of author
update instead of new
هذه طريقة أخرى لعمل privilege escalation أو لترقية الصلاحيات واكتساب صلاحيات أعلى
الآن أصبح لديك حسابين
يمكن نسخ الـ Cookies للحساب الآول
وتسجيل الدخول في الحساب الثاني
ومن ثم استخدام أداة EditThisCookies للصق الـ Cookies للحساب الأول
ستجد أنك تمكنت من الدخول في الحساب الآول بدون كلمة مرور
يمكن نسخ الـ Cookies للحساب الآول
وتسجيل الدخول في الحساب الثاني
ومن ثم استخدام أداة EditThisCookies للصق الـ Cookies للحساب الأول
ستجد أنك تمكنت من الدخول في الحساب الآول بدون كلمة مرور
إذا كنت ترغب في الانضمام إلى Red Team في أحد الجهات
فكر كيف يمكنك استخدام أدوات/طرق مماثلة لغرض #pentesting #ethicalhacking
أما بالنسبة للـ Blue Team
فكر كيف يمكنك حماية الموقع من هذه الهجمات، والطريقة الأمثل هي Input Validation
ينبغي فلترة مدخلات المستخدم قبل إرسالها للخادم
فكر كيف يمكنك استخدام أدوات/طرق مماثلة لغرض #pentesting #ethicalhacking
أما بالنسبة للـ Blue Team
فكر كيف يمكنك حماية الموقع من هذه الهجمات، والطريقة الأمثل هي Input Validation
ينبغي فلترة مدخلات المستخدم قبل إرسالها للخادم
Loading suggestions...