صديقي، نتفق على أن بيئة نظم لينكس هي الأكثر أمانًا والأكثر ملاءمة لعلماء الاختراق والمهتمين بحديث المجال. كذلك، نتفق على أن نظام Kali Linux هو الأشهر. لا يجب أن ندخل في حروب التعليقات، حيث توجد أنظمة لينكس أخرى مصمَّمة للاختبارات بضعف تلك. سوف نشارك روابط هذه الأنظمة في المستقبل. تحتوي هذه المسألة على معلومات إضافية في حال الرغبة في الاطلاع عليها.
عزيزي المتابع، في هذا المقال الإخباري قمنا باختيار مجموعة من التطبيقات والبرامج والأدوات الفعالة جدًا للإختراق الموجودة في نظام الكالي لينكس. اخترنا هذا النظام لأنه يستخدمه عشاق مجال الإختراق والحماية بكثرة، كما يضم الكثير من الأدوات المفيدة. بعد التحديث الأخير للنسخة 2017، والذي أضيفت إليه أدوات جديدة، بات ذلك خاصة ملحوظًا.
استخدمنا في هذه القائمة معيار شهرة الأداة، وقوتها، بالإضافة إلى آراء الخبراء الأمنيين. استثنينا أي أدوات مكررة أو ضعيفة. وسردنا لك اسم العشرة أدوات. نأمل لك قراءةً ممتعة.
1 - SQLmap :
القمر يُظهر نفسه دائما، وعلى الصعيد التقني أداة SQLmap هي أداة مفتوحة المصدر وتم تصميمها بلغة البايثون. تستخدم هذه الأداة لفحص ثغرات SQLInjection والتحكم في المواقع التي تضرب بهذه الثغرات. كما يُستخدَم هذه الأداة للوصول إلى قوائم جديده من المعلومات في قــــــBادات اسك اور كشف هذه المعلومات بشكل غير مُشابْهِ لاغلاق بالجافاسكربّت (Blind SQLInjection). وإضافة إلى ذلك، فإنَّ هذه الأداة تقارن بهامش عديدي من الإِضافات مثل قابِلية فتح قائِده لبرامج التزود بالبطارية. تتضمن المهام المتعلقة بـ إدارة قواعد البيانات الوصول إلى ملفات الموقع الرئيسية وجلب البيانات من قاعدة البيانات والمستخدمين. ويعتبر استخدام أحدث الأدوات لإدارة قواعد البيانات من أكثر الطرق استخدامًا. وحسب التحليلات، فإن أكثر من 27% من المواقع التي تتم اختراقها يتم ذلك باستغلال ثغرات SQLInjection.
يمكنك الاطلاع على أكثر من 10 توزيعات لينكس مخصصة للاختبارات الأمنية واختراق النظام.
القمر يُظهر نفسه دائما، وعلى الصعيد التقني أداة SQLmap هي أداة مفتوحة المصدر وتم تصميمها بلغة البايثون. تستخدم هذه الأداة لفحص ثغرات SQLInjection والتحكم في المواقع التي تضرب بهذه الثغرات. كما يُستخدَم هذه الأداة للوصول إلى قوائم جديده من المعلومات في قــــــBادات اسك اور كشف هذه المعلومات بشكل غير مُشابْهِ لاغلاق بالجافاسكربّت (Blind SQLInjection). وإضافة إلى ذلك، فإنَّ هذه الأداة تقارن بهامش عديدي من الإِضافات مثل قابِلية فتح قائِده لبرامج التزود بالبطارية. تتضمن المهام المتعلقة بـ إدارة قواعد البيانات الوصول إلى ملفات الموقع الرئيسية وجلب البيانات من قاعدة البيانات والمستخدمين. ويعتبر استخدام أحدث الأدوات لإدارة قواعد البيانات من أكثر الطرق استخدامًا. وحسب التحليلات، فإن أكثر من 27% من المواقع التي تتم اختراقها يتم ذلك باستغلال ثغرات SQLInjection.
يمكنك الاطلاع على أكثر من 10 توزيعات لينكس مخصصة للاختبارات الأمنية واختراق النظام.
2 - Hydra :
الـ Hydra بتنفيذ هجوم Password Attack المتمثل في تخمين كلمات السر للمواقع والإيميلات ولوحات التحكم في المواقع وغيرها، ويمكن استخدام إصداري الكونسول أو الجرافيكية GUI من هذه الأداة، لتسهيل عملية التخمين على المبتدئين. "يتم استخدام تقنية Bruteforce لاختراق وكشف كلمات السر، ويمكن استخدامها للعمل على العديد من البروتوكولات، مثل خدمة SMTP لإيجاد كلمات السر المستخدمة في حسابات البريد الإلكتروني، أو HTTP لإكتشاف كلمات المرور المستخدمة في المواقع والأنظمة الأساسية، بالإضافة إلى لوحات التحكم وغيرها. هذه الأداة حقًا واحدة من أقوى أدوات اختراق كلمات المرور التي تتوفر في نظام Kali." لينكس.
3 - Nmap :
عربات الشبكات، حيث تستخدم في مجموعة واسعة من المهام التي تتعلق بأمن الشبكات والاختراق. تستفيد Nmap من مجموعة كبيرة من الخيارات التي يمكن استخدامها للحصول على تقارير شاملة وفحوص للشبكات، كما يستفاد أيضًا منها لتحديد فتحات الشبكة المعروضة والأجهزة المختلفة الموجودة على هذه الشبكات. تُمكِّن هذه الأداة المستخدمين والأجهزة المتصلة بالشبكة من البحث عن البورتات المفتوحة، كما تسمح أيضًا للمستخدم بقطع الاتصال بأي جهاز متصل على الشبكة. وعلاوةً على ذلك، يوجد واجهة رسومية خاصَّة بهذه الأداة تُدعى "Zenmap". إنَّ هذه الأداة في الحقيقة تُمكِّنك من التحكُّم في شبكات مختلفَة ترغب في استخدامها.
4 - Aircrack-ng :
تم إصدارها لنظام iOS الذي يستخدم في أجهزة Apple. تعتبر Aircrack-ng من الأدوات المهمة للقراصنة الأخلاقيين والأمنيين في إعداد وتحليل اختبارات الاختراق. يمكنك الاستفادة منها على هاتفك المحمول بنظام أندرويد، فقد ثبتت قوتها في اختراق شبكات الإنترنت من النوع WPA/WAP-PSK2. ولا شكَّ أنها تستحق الاهتمام والانضمام لهذه القائمة.
5 - Burp Suite :
تعدّ أداة Burp Suite أداة فعّالة جدًّا في الكشف اليدوي عن ثغرات التطبيقات ومواقع الويب، حيث صُمِّمت بلغة جافا من قِبَل فريق PortSwigger Security. تتضمّن هذه الأداة اثنين من الإصدارات، وهما الإصدار المجاني، والإصدار المدفوع بسعر 349 دولارًا.
تتضمن النسخة المدفوعة بالتأكيد العديد من المزايا المهنية، كما يجب الإشارة إلى أنه تم اكتشاف العديد من نقاط الضعف في مواقع شهيرة مثل غوغل و تويتر وفيسبوك باستخدام هذه الأداة.
6 - Metasploit Framework :
الميتا سبلويت على مجموعة كبيرة من الأدوات والتطبيقات التي تستخدم في مجال حماية الأنظمة واختبار الثغرات، وهي منصة مفتوحة المصدر ذات شهرة كبيرة في عالم الإختراق. تم برمجته باستخدام لغة Ruby سنة 2014، وهو مشروع ضخم يضِمُّ مجَمُوعَةً من الأدوات والبرامجِ المستخدَمَة في تحديث أنظْمَتِكَ، فضْلاً عن فحص أثقل نقطَ Using ofu التطبيق.' يتضمن المشروع أكثر من 1577 أداة قادرة على اكتشاف الثغرات في أنظمة التشغيل والمواقع والأجهزة المختلفة، كما يحتوي على مجموعة من الأدوات التي تساعد في اختراق الأجهزة باستخدام Payload، ببساطة فهو مجموعة شاملة للقرصنة والاختراق.
7 - John the Ripper :
يتعلق بكلمات السر، بما في ذلك الملفات والأنظمة والبرامج. ويستخدمها خبراء أمن المعلومات لاختبار قوة كلمات السر لديهم وحماية البيانات الحساسة من عمليات الاختراق. تستند جودة هذه الأداة إلى قوتها في تحديد التشفير وكسره، مع حفاظها على سرية المعلومات. استخدام John Tool يعطي صورة فورية عن مدى قوى أو ضعف كلمات السر، مما يجعله مفيدًا لأي شخص يقوم بإدارة أجزاء من شبكات الإنترنت. يتم التعرف على نوعية التشفير بالقيام بالتحقق من جميع أنواع التشفير بترتيب معين حتى يتم العثور على النوع الملائم لاستخدامه في فك شفرة الكود المشفَّر، والجدير بالذكر أن أداة John the Ripper تأتي كذلك بواجهة رسومية تسهِّل على المستخدِم عملية البحث.
8 - Webscarab :
تم برمجة أداة webscarab باستخدام لغة جافا، وتم إطلاقها في عام 2013. تعد هذه الأداة مفتوحة المصدر، ويمكن للمبرمجين تعديلها أو تطويرها. صُنعت هذه الأداة من قِبل فريق OWASP وبسيطة في استخدام بحيث يقوم بإنشاء بروكسي بين المستخدم والموقع، كما يتيح تعديل البيانات التي يتَّصَلُ بها، وكذلك تسجيل جميع المعاملات. يمكن توجيه حركتك في المتصفح وربطها بعدة متصفحات، منها فايرفوكس، كروم وغيرها.
9 - Maltego :
التي يمكن الحصول عليها عن طريق هذه الأداة. تعتمد Maltego على التقنية المعروفة باسم OSINT (Open Source Intelligence) للحصول على المعلومات من مصادر مفتوحة، مثل وسائط التواصل الاجتماعي والإنترنت. بالإضافة إلى ذلك، تستخدم Maltego بشكل كبير في أغراض الأمن السيبراني والجرائم الإلكترونية، حيث يستخدمها المحققون والخبراء في جمع المعلومات عن المشتبه بهم والضحايا. يمكن لأداة Maltego توفير عنصرًا قيمًا لك، ويتمثل في معلومات حول أماكن زيارة شخص ما وحساباته على وسائل التواصل الاجتماعي. يعتمد هذا الأساس على مبدأ البيانات الضخمة، وتُعَدُّ أقوى أداة لجمع المعلومات وإستخلاصه حتى الآن.
10 - Wireshark :
Wireshark هي أداة تم تطويرها بلغة C C في عام 1998 من قبل المبرمج جيرالد كومبز، حيث كان اسمها الأصلي Ethereal. وقد طورت لتسهيل التحليل والتحقق من شبكات الحاسوب. تعد Wireshark أداة قوية للاستخدام في الإختراقات الداخلية، أي إختراق شبكة محلية، بأنه يستطيع كشف وتحديد المشكلات في سير الشبكة. في عام 2006 تم تغيير اسمها بسبب مشاكل دائرة التجارية ولا يزال هذه الاداة هى المفضَّلَة ُ لدي لأغراض التحقُّق من سير شبكاتى . الرئيسية هو الإستماع و التجسس على البيانات المارة في الشبكة، إذا استخدمت Wireshark وكنت متصلاً بشبكة Wifi، يمكن لي التنصت على جميع المواقع والملفات وكل ما ينتقل داخل تلك الشبكة. رغم أن كل شيء سيرى من خلال عيني مشفر، إلا أنه في وقت لاحق يمكن فك تشفيره. هذه الأداة متوفرة أيضًا في نظام آخر. أنا آسف، ولكن لم يتم توفير فقرة ليتم إعادة صياغتها باللغة العربية. يرجى تقديم النص الذي يحتاج إلى ترجمته أو إعادة صياغته.