المطور: Saudi Crackers
البريد الإلكتروني: SaudiLinux7@gmail.com
هي مجموعة من الأدوات المطورة بلغة Python تهدف إلى مساعدة مختبري الاختراق الأخلاقي ومتخصصي أمن المعلومات في تحليل المواقع واكتشاف الثغرات الأمنية واستغلالها بطريقة آمنة وأخلاقية. تتكون المجموعة حالياً من أداتين رئيسيتين:
- أداة تحليل المواقع (Site Analyzer): تقوم بتحليل المواقع واستخراج البيانات الوصفية والروابط واكتشاف الثغرات الأمنية.
- أداة استغلال الثغرات (Vulnerability Exploiter): تقوم باستغلال الثغرات المكتشفة بواسطة أداة تحليل المواقع وتوفير تقارير مفصلة عن عملية الاستغلال.
يجب استخدام هذه الأدوات فقط على المواقع التي لديك إذن قانوني كتابي لفحصها. استخدام الأدوات على مواقع بدون إذن قد يكون غير قانوني في معظم البلدان ويمكن أن يؤدي إلى عواقب قانونية خطيرة. المطور غير مسؤول عن أي استخدام غير قانوني للأدوات. يرجى قراءة ملف SECURITY_GUIDELINES للحصول على معلومات مفصلة حول الاستخدام القانوني والأخلاقي.
نعم، الأدوات مفتوحة المصدر ومجانية للاستخدام بموجب ترخيص MIT. يمكنك استخدامها وتعديلها وتوزيعها بحرية، مع الالتزام بشروط الترخيص.
تتطلب الأدوات Python 3.6 أو أحدث، بالإضافة إلى عدة مكتبات Python مذكورة في ملف requirements.txt. يمكن تثبيت هذه المكتبات باستخدام الأمر pip install -r requirements.txt.
- قم بتنزيل المشروع أو استنساخه من GitHub
- انتقل إلى مجلد المشروع
- قم بتثبيت المتطلبات باستخدام الأمر
pip install -r requirements.txt - يمكنك الآن استخدام الأدوات عن طريق تشغيل:
- أداة تحليل المواقع:
python site_analyzer.py -t example.com - أداة استغلال الثغرات:
python vuln_exploiter.py -t example.com
- أداة تحليل المواقع:
نعم، الأدوات متوافقة مع أنظمة التشغيل Windows وLinux وmacOS. تأكد من تثبيت Python 3.6 أو أحدث والمكتبات المطلوبة.
قد تحتاج إلى صلاحيات مدير النظام لتثبيت بعض المكتبات، خاصة على أنظمة Linux وmacOS. على Windows، قد تحتاج إلى تشغيل موجه الأوامر كمسؤول.
نعم، يمكنك تثبيت كل أداة بشكل منفصل إذا كنت ترغب في استخدام أداة واحدة فقط. كل أداة لها مجلد خاص بها مع ملف requirements.txt خاص بها. ومع ذلك، نوصي بتثبيت المشروع بالكامل للاستفادة من التكامل بين الأدوات.
يمكنك استخدام أداة تحليل المواقع عن طريق تشغيل الأمر التالي في موجه الأوامر:
python site_analyzer.py -t example.comحيث example.com هو الموقع المستهدف الذي تريد فحصه.
يمكنك استخدام أداة استغلال الثغرات بإحدى الطريقتين التاليتين:
- استخدام مباشر مع تحديد الثغرات يدوياً:
python vuln_exploiter.py -t example.com -v xss,sqliحيث example.com هو الموقع المستهدف و xss,sqli هي أنواع الثغرات التي تريد استغلالها.
- استخدام نتائج أداة تحليل المواقع:
python vuln_exploiter.py -r reports/example.com_report.jsonحيث reports/example.com_report.json هو ملف التقرير الناتج من أداة تحليل المواقع.
أداة تحليل المواقع توفر عدة خيارات:
-t, --target: عنوان URL المستهدف أو اسم النطاق (مطلوب)-o, --output: مجلد الإخراج للتقارير (الافتراضي: reports)-d, --depth: عمق الزحف (الافتراضي: 1)-v, --verbose: تمكين الإخراج المفصل--no-color: تعطيل الإخراج الملون--timeout: مهلة الطلب بالثواني (الافتراضي: 10)--threads: عدد مسارات التنفيذ للعمليات المتزامنة (الافتراضي: 5)
أداة استغلال الثغرات توفر عدة خيارات:
-t, --target: عنوان URL المستهدف أو اسم النطاق-r, --report: مسار ملف تقرير أداة تحليل المواقع-v, --vulns: قائمة بأنواع الثغرات المراد استغلالها (مفصولة بفواصل)-o, --output: مجلد الإخراج للتقارير (الافتراضي: exploit_reports)--verbose: تمكين الإخراج المفصل--no-color: تعطيل الإخراج الملون--timeout: مهلة الطلب بالثواني (الافتراضي: 15)--threads: عدد مسارات التنفيذ للعمليات المتزامنة (الافتراضي: 3)--safe-mode: تشغيل في الوضع الآمن (بدون استغلال فعلي للثغرات)
يعتمد وقت الفحص والاستغلال على عدة عوامل:
لأداة تحليل المواقع (Site Analyzer):
- يعتمد وقت الفحص على حجم الموقع وعمق الزحف وعدد الروابط.
- قد يستغرق فحص موقع صغير بضع ثوانٍ، بينما قد يستغرق فحص موقع كبير مع عمق زحف عالٍ عدة دقائق أو ساعات.
لأداة استغلال الثغرات (Vulnerability Exploiter):
- يعتمد وقت الاستغلال على عدد الثغرات المكتشفة وتعقيدها.
- قد يستغرق استغلال ثغرة واحدة بضع ثوانٍ، بينما قد يستغرق استغلال عدة ثغرات في موقع كبير عدة دقائق.
- الوضع الآمن (safe-mode) يكون أسرع لأنه لا يقوم بالاستغلال الفعلي للثغرات.
أداة تحليل المواقع (Site Analyzer): الإصدار الحالي لا يدعم المصادقة بشكل كامل. يمكنك فقط فحص الصفحات العامة أو التي لا تتطلب تسجيل دخول. سيتم إضافة دعم المصادقة الكامل في الإصدار 2.0 (انظر ملف FUTURE_DEVELOPMENT.md).
أداة استغلال الثغرات (Vulnerability Exploiter):
تدعم الأداة المصادقة الأساسية عن طريق تمرير بيانات الاعتماد باستخدام الخيار --auth-data. يمكنك تحديد اسم المستخدم وكلمة المرور ونوع المصادقة (Basic أو Form). على سبيل المثال:
python vuln_exploiter.py -t example.com -v xss --auth-data "username:password:form"أداة تحليل المواقع (Site Analyzer):
نعم، يمكنك فحص موقع محلي عن طريق تحديد عنوان URL المحلي، مثل http://localhost:8000. هذا مفيد جداً للمطورين الذين يرغبون في فحص تطبيقاتهم قبل نشرها.
أداة استغلال الثغرات (Vulnerability Exploiter):
نعم، يمكنك استغلال ثغرات موقع محلي بنفس الطريقة. هذا مفيد لاختبار مدى تأثير الثغرات المكتشفة في بيئة آمنة قبل إصلاحها في البيئة الإنتاجية. ننصح باستخدام الخيار --safe-mode عند اختبار المواقع المحلية لتجنب أي تأثير غير مقصود على قاعدة البيانات المحلية.
أداة تحليل المواقع (Site Analyzer): يمكن لأداة تحليل المواقع اكتشاف عدة أنواع من الثغرات، بما في ذلك:
- مشاكل SSL/TLS
- رؤوس الأمان المفقودة
- الإفصاح عن المعلومات في رؤوس HTTP
- قائمة الدليل المفعلة
- معلومات حساسة في ملف robots.txt
- تعرض مستودع Git
- تعرض ملفات التكوين والبيئة
- تعرض معلومات PHP
- تعرض ملفات النسخ الاحتياطي
أداة استغلال الثغرات (Vulnerability Exploiter): يمكن لأداة استغلال الثغرات استغلال عدة أنواع من الثغرات، بما في ذلك:
- ثغرات حقن SQL (SQL Injection)
- ثغرات XSS (Cross-Site Scripting)
- ثغرات CSRF (Cross-Site Request Forgery)
- ثغرات تضمين الملفات (File Inclusion)
- ثغرات حقن الأوامر (Command Injection)
- ثغرات XXE (XML External Entity)
- ثغرات SSRF (Server-Side Request Forgery)
- ثغرات التحكم في الوصول (Access Control)
- ثغرات تجاوز المسار (Path Traversal)
أداة تحليل المواقع (Site Analyzer): الإصدار الحالي من أداة تحليل المواقع لا يتضمن فحصاً نشطاً لثغرات XSS أو SQL Injection. يمكنه فقط اكتشاف الثغرات السلبية مثل مشاكل التكوين ورؤوس الأمان المفقودة. سيتم إضافة فحص نشط لهذه الثغرات في الإصدار 2.0 (انظر ملف FUTURE_DEVELOPMENT.md).
أداة استغلال الثغرات (Vulnerability Exploiter):
نعم، أداة استغلال الثغرات مصممة خصيصاً لاستغلال ثغرات XSS وSQL Injection وغيرها من الثغرات النشطة. تستخدم الأداة مجموعة متنوعة من تقنيات الاستغلال لاختبار وجود هذه الثغرات واستغلالها بطريقة آمنة. يمكنك تحديد نوع الثغرة المراد استغلالها باستخدام الخيار -v أو --vulns.
أداة تحليل المواقع (Site Analyzer): الإصدار الحالي من أداة تحليل المواقع قد يواجه صعوبة في تحليل تطبيقات الصفحة الواحدة (SPA) التي تعتمد بشكل كبير على JavaScript. سيتم تحسين دعم هذه التطبيقات في الإصدار 2.0 من خلال إضافة محرك تحليل JavaScript ودعم لمحاكاة المتصفح (انظر ملف FUTURE_DEVELOPMENT.md).
أداة استغلال الثغرات (Vulnerability Exploiter): توفر أداة استغلال الثغرات دعماً أفضل لتطبيقات الصفحة الواحدة من خلال استخدام محرك محاكاة المتصفح الأساسي. يمكنها استغلال بعض الثغرات في تطبيقات SPA، خاصة ثغرات XSS وCSRF. ومع ذلك، قد تواجه بعض القيود مع التطبيقات المعقدة جداً. سيتم تحسين هذا الدعم في الإصدارات المستقبلية.
أداة تحليل المواقع (Site Analyzer): الإصدار الحالي من أداة تحليل المواقع مصمم بشكل أساسي لفحص مواقع الويب التقليدية. يمكنه اكتشاف نقاط نهاية API بشكل أساسي، لكنه لا يوفر تحليلاً متعمقاً لها. سيتم إضافة دعم كامل لفحص واجهات API في الإصدار 3.0 (انظر ملف FUTURE_DEVELOPMENT.md).
أداة استغلال الثغرات (Vulnerability Exploiter): توفر أداة استغلال الثغرات دعماً أساسياً لاستغلال ثغرات API. يمكنها اختبار نقاط نهاية API للتحقق من وجود ثغرات مثل حقن SQL وXSS وضعف التحكم في الوصول. ومع ذلك، فإن الدعم الكامل لتحليل واستغلال واجهات API المعقدة (مثل GraphQL وgRPC) سيتم إضافته في الإصدارات المستقبلية.
أداة تحليل المواقع (Site Analyzer): تنتج أداة تحليل المواقع تقارير بتنسيق JSON تحتوي على معلومات مفصلة عن الموقع المستهدف، بما في ذلك:
- البيانات الوصفية للموقع
- الروابط المكتشفة
- الثغرات المكتشفة
- الأخطاء في الإعدادات
- معلومات عن رؤوس HTTP
- معلومات عن شهادات SSL/TLS
أداة استغلال الثغرات (Vulnerability Exploiter): تنتج أداة استغلال الثغرات تقارير أكثر تفصيلاً عن عمليات الاستغلال، بما في ذلك:
- تفاصيل الثغرات المستغلة
- نتائج محاولات الاستغلال (ناجحة أو فاشلة)
- أدلة على وجود الثغرات (لقطات شاشة، استجابات HTTP)
- توصيات للإصلاح
- مستوى خطورة كل ثغرة
- تأثير الثغرة على النظام
أداة تحليل المواقع (Site Analyzer):
يتم حفظ تقارير أداة تحليل المواقع في مجلد reports بشكل افتراضي. يمكنك تغيير مجلد الإخراج باستخدام الخيار -o أو --output.
أداة استغلال الثغرات (Vulnerability Exploiter):
يتم حفظ تقارير أداة استغلال الثغرات في مجلد exploit_reports بشكل افتراضي. يمكنك تغيير مجلد الإخراج باستخدام الخيار -o أو --output.
أداة تحليل المواقع (Site Analyzer): الإصدار الحالي من أداة تحليل المواقع يدعم فقط تنسيق JSON. سيتم إضافة دعم لتنسيقات أخرى مثل HTML وPDF في الإصدار 2.0.
أداة استغلال الثغرات (Vulnerability Exploiter):
تدعم أداة استغلال الثغرات تنسيقات JSON وHTML. يمكنك تحديد تنسيق التقرير باستخدام الخيار --report-format. سيتم إضافة دعم لتنسيقات أخرى مثل PDF وCSV في الإصدارات المستقبلية.
أداة تحليل المواقع (Site Analyzer): تصنف أداة تحليل المواقع الثغرات والأخطاء في الإعدادات حسب مستوى الخطورة (Critical, High, Medium, Low). يتم توفير المعلومات التالية لكل ثغرة:
- وصف الثغرة ومخاطرها
- المسار أو العنصر المتأثر
- توصيات للإصلاح
- مراجع ومصادر إضافية للمعلومات
يمكنك استخدام هذه المعلومات لتحديد أولويات الإصلاح، حيث يجب معالجة الثغرات ذات التصنيف Critical وHigh أولاً.
أداة استغلال الثغرات (Vulnerability Exploiter): توفر أداة استغلال الثغرات تقارير أكثر تفصيلاً تتضمن:
- نتيجة محاولة الاستغلال (نجاح/فشل)
- الأدلة على نجاح الاستغلال (مثل البيانات المستخرجة)
- تفاصيل تقنية عن كيفية استغلال الثغرة
- تقييم الخطورة (CVSS Score)
- تأثير الثغرة على النظام
- خطوات مفصلة للإصلاح
- سيناريوهات الهجوم المحتملة
عند استخدام وضع الأمان (--safe-mode)، ستحصل على تقارير افتراضية توضح كيف يمكن استغلال الثغرة دون تنفيذ الاستغلال الفعلي.
أداة تحليل المواقع (Site Analyzer):
نعم، إذا قمت بإجراء عدد كبير من الطلبات في وقت قصير، قد تحظر بعض المواقع عنوان IP الخاص بك. تستخدم الأداة آلية تدوير User-Agent وتأخير بين الطلبات لتقليل هذا الخطر، ولكن لا يمكن ضمان عدم حدوث الحظر. يمكنك استخدام الخيار --delay لزيادة الفترة الزمنية بين الطلبات.
أداة استغلال الثغرات (Vulnerability Exploiter): تشكل أداة استغلال الثغرات خطراً أكبر للحظر لأنها تقوم بمحاولات استغلال نشطة. تستخدم الأداة تقنيات متقدمة لتجنب الكشف مثل:
- تدوير عناوين IP (عند استخدام الخيار
--proxy-rotate) - تأخير ذكي يتكيف مع استجابة الخادم
- محاكاة سلوك المتصفح البشري
للتقليل من خطر الحظر، استخدم الخيارات --stealth-mode و--delay-factor معاً.
أداة تحليل المواقع (Site Analyzer): يعتمد استهلاك الموارد على حجم الموقع وعمق الزحف وعدد مسارات التنفيذ المتزامنة. قد تستهلك الأداة كمية كبيرة من الذاكرة عند فحص مواقع كبيرة مع عمق زحف عالٍ. المتطلبات النموذجية:
- وحدة المعالجة المركزية: متوسطة (يمكن أن ترتفع عند تحليل مواقع كبيرة)
- الذاكرة: 200-500 ميجابايت للمواقع الصغيرة، وقد تصل إلى عدة جيجابايت للمواقع الكبيرة
- القرص: مساحة قليلة مطلوبة فقط لتخزين التقارير
أداة استغلال الثغرات (Vulnerability Exploiter): تستهلك أداة استغلال الثغرات موارد أكثر بسبب طبيعة عملها التي تتطلب محاكاة هجمات متعددة. المتطلبات النموذجية:
- وحدة المعالجة المركزية: عالية (خاصة عند تشغيل عمليات استغلال متزامنة)
- الذاكرة: 500 ميجابايت إلى 1 جيجابايت كحد أدنى، وقد تصل إلى 4 جيجابايت عند استخدام خيارات متقدمة
- القرص: قد تحتاج إلى مساحة أكبر لتخزين الأدلة والبيانات المستخرجة
يمكنك استخدام الخيار --threads في كلتا الأداتين للتحكم في عدد العمليات المتزامنة وبالتالي استهلاك الموارد.
أداة تحليل المواقع (Site Analyzer):
لا يوفر الإصدار الحالي من أداة تحليل المواقع خياراً مباشراً لتحديد عدد الطلبات في الثانية، ولكن يمكنك استخدام الخيار --delay لتعيين التأخير بين الطلبات بالثواني. على سبيل المثال، --delay 0.5 سيؤدي إلى تأخير نصف ثانية بين كل طلب، مما يعني تقريباً طلبين في الثانية لكل مسار تنفيذ. سيتم إضافة خيار مباشر لتحديد عدد الطلبات في الثانية في الإصدار 2.0.
لا يمكن إيقاف الفحص مؤقتاً في الإصدار الحالي، ولكن يمكنك إلغاء الفحص بالضغط على Ctrl+C وإعادة تشغيله لاحقاً.
أداة استغلال الثغرات (Vulnerability Exploiter): توفر أداة استغلال الثغرات تحكماً أفضل في معدل الطلبات من خلال الخيارات التالية:
--rate-limit: لتحديد عدد الطلبات في الثانية بشكل مباشر--delay-factor: لتعيين عامل تأخير ديناميكي يتكيف مع استجابة الخادم--burst-mode: للسماح بدفعات من الطلبات المتزامنة متبوعة بفترات راحة
كما توفر الأداة إمكانية إيقاف الاستغلال مؤقتاً باستخدام الإشارة SIGTSTP (Ctrl+Z في Linux/macOS) ثم استئنافه باستخدام الأمر fg.
يمكنك المساهمة في تطوير أدوات تحليل المواقع واستغلال الثغرات عن طريق:
للمساهمة في كلتا الأداتين:
- الإبلاغ عن الأخطاء أو اقتراح ميزات جديدة عبر نظام تتبع المشكلات (Issues)
- إرسال طلبات السحب (Pull Requests) مع إصلاحات أو ميزات جديدة
- تحسين التوثيق أو إضافة أمثلة جديدة
- مشاركة الأدوات مع الآخرين ونشر الوعي حول أهمية أمن المواقع
- المشاركة في اختبارات الإصدارات التجريبية
للمساهمة في أداة تحليل المواقع (Site Analyzer):
- إضافة قواعد كشف جديدة للثغرات
- تحسين خوارزميات الزحف والاكتشاف
- تطوير واجهات مستخدم جديدة (CLI أو GUI)
للمساهمة في أداة استغلال الثغرات (Vulnerability Exploiter):
- إضافة وحدات استغلال جديدة للثغرات
- تحسين تقنيات تجنب الكشف
- تطوير آليات استغلال أكثر أماناً
نعم، يمكنك الاطلاع على خطط التطوير المستقبلية في ملفات:
ROADMAP-ANALYZER.mdلأداة تحليل المواقعROADMAP-EXPLOITER.mdلأداة استغلال الثغرات
تتضمن الخطط المستقبلية:
لأداة تحليل المواقع (Site Analyzer):
- الإصدار 2.0: دعم تحليل تطبيقات الصفحة الواحدة (SPA) وكشف نشط للثغرات
- الإصدار 3.0: دعم كامل لتحليل واجهات برمجة التطبيقات (APIs) وتكامل مع أدوات CI/CD
لأداة استغلال الثغرات (Vulnerability Exploiter):
- الإصدار 2.0: دعم أنواع إضافية من الثغرات وتحسين آليات الاستغلال الآمن
- الإصدار 3.0: دعم الاستغلال الآلي والتكامل مع أنظمة الاختراق الأخلاقي
يمكنك الإبلاغ عن الأخطاء أو اقتراح ميزات جديدة عن طريق فتح مشكلة (Issue) في مستودعات GitHub الخاصة بالأدوات:
- لأداة تحليل المواقع (Site Analyzer): استخدم مستودع
site-analyzerوضع علامة[analyzer]في عنوان المشكلة - لأداة استغلال الثغرات (Vulnerability Exploiter): استخدم مستودع
vuln-exploiterوضع علامة[exploiter]في عنوان المشكلة
عند الإبلاغ عن خطأ، يرجى تضمين المعلومات التالية:
- إصدار الأداة المستخدمة
- نظام التشغيل والبيئة
- خطوات إعادة إنتاج المشكلة
- السلوك المتوقع والسلوك الفعلي
- أي رسائل خطأ أو سجلات ذات صلة
نعم، يمكنك استخدام كلتا الأداتين في مشروعك الخاص بموجب ترخيص MIT. تأكد من الالتزام بشروط الترخيص، بما في ذلك الإشارة إلى حقوق النشر الأصلية.
أداة تحليل المواقع (Site Analyzer): يمكن دمج أداة تحليل المواقع في مشاريعك الخاصة كمكتبة Python. استخدم:
from site_analyzer import Analyzer
analyzer = Analyzer(url="https://example.com", depth=2)
results = analyzer.scan()أداة استغلال الثغرات (Vulnerability Exploiter): يمكن دمج أداة استغلال الثغرات في مشاريعك الخاصة كمكتبة Python أو استخدامها كأداة مستقلة. استخدم:
from vuln_exploiter import Exploiter
exploiter = Exploiter(target="https://example.com", vulns=["sqli", "xss"])
results = exploiter.run(safe_mode=True)كلتا الأداتين توفران واجهة برمجة تطبيقات (API) موثقة بشكل كامل للمطورين في ملفات API-ANALYZER.md وAPI-EXPLOITER.md.
أداة تحليل المواقع (Site Analyzer): تأكد من تثبيت Python 3.6 أو أحدث وجميع المكتبات المطلوبة. إذا واجهت مشاكل مع مكتبة معينة، حاول تثبيتها بشكل منفصل. الأخطاء الشائعة تشمل:
- خطأ في تثبيت
beautifulsoup4: جربpip install beautifulsoup4 --ignore-installed - خطأ في تثبيت
requests: تأكد من تحديث pip باستخدامpip install --upgrade pip - مشاكل مع
lxml: قد تحتاج إلى تثبيت أدوات تطوير C++ على نظامك
أداة استغلال الثغرات (Vulnerability Exploiter): تتطلب أداة استغلال الثغرات مكتبات إضافية ومتطلبات نظام أكثر. الأخطاء الشائعة تشمل:
- خطأ في تثبيت
selenium: تأكد من تثبيت متصفح Chrome أو Firefox ومشغلات WebDriver المناسبة - مشاكل مع
cryptography: قد تحتاج إلى تثبيت حزم تطوير OpenSSL - خطأ في تثبيت
pycurl: تأكد من تثبيت libcurl-dev على نظامك
إذا استمرت المشاكل، جرب تثبيت الأدوات في بيئة افتراضية جديدة باستخدام virtualenv.
أداة تحليل المواقع (Site Analyzer): إذا كانت أداة تحليل المواقع تستغرق وقتاً طويلاً، جرب:
- تقليل عمق الزحف باستخدام الخيار
-dأو--depth - زيادة عدد مسارات التنفيذ المتزامنة باستخدام الخيار
--threads - استخدام الخيار
--no-check-sslلتخطي التحقق من شهادات SSL (مع الحذر) - تحديد نطاق الفحص باستخدام الخيار
--scopeللتركيز على أجزاء معينة من الموقع
أداة استغلال الثغرات (Vulnerability Exploiter): إذا كانت أداة استغلال الثغرات تستغرق وقتاً طويلاً، جرب:
- تحديد أنواع الثغرات المستهدفة باستخدام الخيار
-vأو--vulnsبدلاً من فحص جميع الثغرات - استخدام الخيار
--fast-modeللتركيز على الاستغلال السريع (مع تقليل الدقة) - زيادة عدد العمليات المتزامنة باستخدام الخيار
--threads - استخدام الخيار
--timeoutلتعيين مهلة أقصر للطلبات
أداة تحليل المواقع (Site Analyzer): إذا كانت أداة تحليل المواقع لا تكتشف جميع الروابط، قد يكون ذلك بسبب:
- الروابط التي يتم إنشاؤها ديناميكياً بواسطة JavaScript: حاول استخدام الخيار
--js-rendering(متوفر في الإصدار 1.5+) - الروابط المخفية خلف نماذج المصادقة: استخدم الخيار
--auth-dataلتوفير بيانات المصادقة - الروابط في إطارات iframe: تأكد من تفعيل الخيار
--follow-iframes - الروابط المحمية بواسطة CSRF: جرب استخدام الخيار
--handle-csrf
أداة استغلال الثغرات (Vulnerability Exploiter): إذا كانت أداة استغلال الثغرات لا تكتشف أو تستغل جميع الثغرات، قد يكون ذلك بسبب:
- آليات الحماية المتقدمة: استخدم الخيار
--bypass-wafلمحاولة تجاوز جدران الحماية - تقنيات الكشف غير كافية: جرب استخدام الخيار
--deep-scanللكشف العميق - الثغرات المعقدة: استخدم الخيار
--advanced-payloadsلاستخدام حمولات أكثر تعقيداً - مشاكل في التوقيت: جرب ضبط الخيار
--timing-attack-sensitivityلتحسين كشف ثغرات التوقيت
أداة تحليل المواقع (Site Analyzer):
إذا كنت تواجه أخطاء في التحقق من شهادات SSL، يمكنك استخدام الخيار --no-check-ssl لتجاوز التحقق من الشهادات. لكن استخدم هذا الخيار بحذر لأنه قد يعرضك لهجمات Man-in-the-Middle.
أداة استغلال الثغرات (Vulnerability Exploiter): توفر أداة استغلال الثغرات خيارات أكثر تفصيلاً للتعامل مع مشاكل SSL:
--no-check-ssl: لتجاوز التحقق من الشهادات تماماً--custom-ca-bundle: لتحديد حزمة شهادات CA مخصصة--ssl-version: لتحديد إصدار SSL/TLS المستخدم
أداة تحليل المواقع (Site Analyzer): قد تظهر نتائج إيجابية خاطئة في بعض الأحيان. للتقليل منها:
- استخدم الخيار
--verify-vulnerabilitiesللتحقق من الثغرات المكتشفة - قم بتحديث الأداة للحصول على أحدث قواعد الكشف
- استخدم الخيار
--confidence-level highللتركيز على النتائج ذات الثقة العالية فقط
أداة استغلال الثغرات (Vulnerability Exploiter): للتقليل من النتائج الإيجابية الخاطئة في أداة استغلال الثغرات:
- استخدم الخيار
--verify-exploitsللتحقق من نجاح الاستغلال - استخدم الخيار
--evidence-requiredلطلب أدلة على نجاح الاستغلال - استخدم الخيار
--strict-modeللتشغيل في الوضع الصارم الذي يقلل من النتائج الإيجابية الخاطئة
للمساعدة العامة:
- راجع التوثيق الكامل في ملفات
DOCS-ANALYZER.mdوDOCS-EXPLOITER.md - تحقق من أمثلة الاستخدام في مجلد
examples - راجع الأسئلة الشائعة في هذا الملف
للمساعدة التقنية:
- افتح مشكلة (Issue) في مستودع GitHub المناسب
- انضم إلى مجتمع المطورين على Discord:
https://discord.gg/securitytools - راسلنا على البريد الإلكتروني:
support@saudicrackers.com
نعم، نقدم دورات تدريبية منتظمة وندوات عبر الإنترنت حول استخدام أدوات تحليل المواقع واستغلال الثغرات. تحقق من موقعنا الإلكتروني للحصول على جدول الفعاليات القادمة أو اشترك في نشرتنا الإخبارية للبقاء على اطلاع.
نعم، نرحب باقتراحات الميزات الجديدة. يمكنك طلب ميزات جديدة عن طريق فتح مشكلة (Issue) في مستودع GitHub المناسب مع وضع علامة [feature request] في العنوان. نحن نراجع طلبات الميزات بانتظام ونضيفها إلى خطة التطوير المستقبلية بناءً على الطلب والجدوى.