Skip to content

Latest commit

 

History

History
444 lines (333 loc) · 34.3 KB

File metadata and controls

444 lines (333 loc) · 34.3 KB

الأسئلة الشائعة حول أدوات تحليل وفحص أمان المواقع

المطور: Saudi Crackers
البريد الإلكتروني: SaudiLinux7@gmail.com

أسئلة عامة

ما هي أدوات تحليل وفحص أمان المواقع؟

هي مجموعة من الأدوات المطورة بلغة Python تهدف إلى مساعدة مختبري الاختراق الأخلاقي ومتخصصي أمن المعلومات في تحليل المواقع واكتشاف الثغرات الأمنية واستغلالها بطريقة آمنة وأخلاقية. تتكون المجموعة حالياً من أداتين رئيسيتين:

  1. أداة تحليل المواقع (Site Analyzer): تقوم بتحليل المواقع واستخراج البيانات الوصفية والروابط واكتشاف الثغرات الأمنية.
  2. أداة استغلال الثغرات (Vulnerability Exploiter): تقوم باستغلال الثغرات المكتشفة بواسطة أداة تحليل المواقع وتوفير تقارير مفصلة عن عملية الاستغلال.

هل استخدام هذه الأدوات قانوني؟

يجب استخدام هذه الأدوات فقط على المواقع التي لديك إذن قانوني كتابي لفحصها. استخدام الأدوات على مواقع بدون إذن قد يكون غير قانوني في معظم البلدان ويمكن أن يؤدي إلى عواقب قانونية خطيرة. المطور غير مسؤول عن أي استخدام غير قانوني للأدوات. يرجى قراءة ملف SECURITY_GUIDELINES للحصول على معلومات مفصلة حول الاستخدام القانوني والأخلاقي.

هل الأدوات مجانية للاستخدام؟

نعم، الأدوات مفتوحة المصدر ومجانية للاستخدام بموجب ترخيص MIT. يمكنك استخدامها وتعديلها وتوزيعها بحرية، مع الالتزام بشروط الترخيص.

التثبيت والإعداد

ما هي متطلبات تشغيل الأدوات؟

تتطلب الأدوات Python 3.6 أو أحدث، بالإضافة إلى عدة مكتبات Python مذكورة في ملف requirements.txt. يمكن تثبيت هذه المكتبات باستخدام الأمر pip install -r requirements.txt.

كيف يمكنني تثبيت الأدوات؟

  1. قم بتنزيل المشروع أو استنساخه من GitHub
  2. انتقل إلى مجلد المشروع
  3. قم بتثبيت المتطلبات باستخدام الأمر pip install -r requirements.txt
  4. يمكنك الآن استخدام الأدوات عن طريق تشغيل:
    • أداة تحليل المواقع: python site_analyzer.py -t example.com
    • أداة استغلال الثغرات: python vuln_exploiter.py -t example.com

هل يمكنني تثبيت الأدوات على نظام التشغيل Windows؟

نعم، الأدوات متوافقة مع أنظمة التشغيل Windows وLinux وmacOS. تأكد من تثبيت Python 3.6 أو أحدث والمكتبات المطلوبة.

هل أحتاج إلى صلاحيات مدير النظام لتثبيت الأدوات؟

قد تحتاج إلى صلاحيات مدير النظام لتثبيت بعض المكتبات، خاصة على أنظمة Linux وmacOS. على Windows، قد تحتاج إلى تشغيل موجه الأوامر كمسؤول.

هل يمكنني تثبيت كل أداة بشكل منفصل؟

نعم، يمكنك تثبيت كل أداة بشكل منفصل إذا كنت ترغب في استخدام أداة واحدة فقط. كل أداة لها مجلد خاص بها مع ملف requirements.txt خاص بها. ومع ذلك، نوصي بتثبيت المشروع بالكامل للاستفادة من التكامل بين الأدوات.

الاستخدام

كيف يمكنني استخدام أداة تحليل المواقع (Site Analyzer)؟

يمكنك استخدام أداة تحليل المواقع عن طريق تشغيل الأمر التالي في موجه الأوامر:

python site_analyzer.py -t example.com

حيث example.com هو الموقع المستهدف الذي تريد فحصه.

كيف يمكنني استخدام أداة استغلال الثغرات (Vulnerability Exploiter)؟

يمكنك استخدام أداة استغلال الثغرات بإحدى الطريقتين التاليتين:

  1. استخدام مباشر مع تحديد الثغرات يدوياً:
python vuln_exploiter.py -t example.com -v xss,sqli

حيث example.com هو الموقع المستهدف و xss,sqli هي أنواع الثغرات التي تريد استغلالها.

  1. استخدام نتائج أداة تحليل المواقع:
python vuln_exploiter.py -r reports/example.com_report.json

حيث reports/example.com_report.json هو ملف التقرير الناتج من أداة تحليل المواقع.

ما هي الخيارات المتاحة في أداة تحليل المواقع؟

أداة تحليل المواقع توفر عدة خيارات:

  • -t, --target: عنوان URL المستهدف أو اسم النطاق (مطلوب)
  • -o, --output: مجلد الإخراج للتقارير (الافتراضي: reports)
  • -d, --depth: عمق الزحف (الافتراضي: 1)
  • -v, --verbose: تمكين الإخراج المفصل
  • --no-color: تعطيل الإخراج الملون
  • --timeout: مهلة الطلب بالثواني (الافتراضي: 10)
  • --threads: عدد مسارات التنفيذ للعمليات المتزامنة (الافتراضي: 5)

ما هي الخيارات المتاحة في أداة استغلال الثغرات؟

أداة استغلال الثغرات توفر عدة خيارات:

  • -t, --target: عنوان URL المستهدف أو اسم النطاق
  • -r, --report: مسار ملف تقرير أداة تحليل المواقع
  • -v, --vulns: قائمة بأنواع الثغرات المراد استغلالها (مفصولة بفواصل)
  • -o, --output: مجلد الإخراج للتقارير (الافتراضي: exploit_reports)
  • --verbose: تمكين الإخراج المفصل
  • --no-color: تعطيل الإخراج الملون
  • --timeout: مهلة الطلب بالثواني (الافتراضي: 15)
  • --threads: عدد مسارات التنفيذ للعمليات المتزامنة (الافتراضي: 3)
  • --safe-mode: تشغيل في الوضع الآمن (بدون استغلال فعلي للثغرات)

كم من الوقت يستغرق فحص واستغلال موقع؟

يعتمد وقت الفحص والاستغلال على عدة عوامل:

لأداة تحليل المواقع (Site Analyzer):

  • يعتمد وقت الفحص على حجم الموقع وعمق الزحف وعدد الروابط.
  • قد يستغرق فحص موقع صغير بضع ثوانٍ، بينما قد يستغرق فحص موقع كبير مع عمق زحف عالٍ عدة دقائق أو ساعات.

لأداة استغلال الثغرات (Vulnerability Exploiter):

  • يعتمد وقت الاستغلال على عدد الثغرات المكتشفة وتعقيدها.
  • قد يستغرق استغلال ثغرة واحدة بضع ثوانٍ، بينما قد يستغرق استغلال عدة ثغرات في موقع كبير عدة دقائق.
  • الوضع الآمن (safe-mode) يكون أسرع لأنه لا يقوم بالاستغلال الفعلي للثغرات.

هل يمكنني فحص واستغلال موقع محمي بكلمة مرور؟

أداة تحليل المواقع (Site Analyzer): الإصدار الحالي لا يدعم المصادقة بشكل كامل. يمكنك فقط فحص الصفحات العامة أو التي لا تتطلب تسجيل دخول. سيتم إضافة دعم المصادقة الكامل في الإصدار 2.0 (انظر ملف FUTURE_DEVELOPMENT.md).

أداة استغلال الثغرات (Vulnerability Exploiter): تدعم الأداة المصادقة الأساسية عن طريق تمرير بيانات الاعتماد باستخدام الخيار --auth-data. يمكنك تحديد اسم المستخدم وكلمة المرور ونوع المصادقة (Basic أو Form). على سبيل المثال:

python vuln_exploiter.py -t example.com -v xss --auth-data "username:password:form"

هل يمكنني فحص واستغلال موقع محلي؟

أداة تحليل المواقع (Site Analyzer): نعم، يمكنك فحص موقع محلي عن طريق تحديد عنوان URL المحلي، مثل http://localhost:8000. هذا مفيد جداً للمطورين الذين يرغبون في فحص تطبيقاتهم قبل نشرها.

أداة استغلال الثغرات (Vulnerability Exploiter): نعم، يمكنك استغلال ثغرات موقع محلي بنفس الطريقة. هذا مفيد لاختبار مدى تأثير الثغرات المكتشفة في بيئة آمنة قبل إصلاحها في البيئة الإنتاجية. ننصح باستخدام الخيار --safe-mode عند اختبار المواقع المحلية لتجنب أي تأثير غير مقصود على قاعدة البيانات المحلية.

الميزات والقدرات

ما هي أنواع الثغرات التي يمكن للأدوات اكتشافها واستغلالها؟

أداة تحليل المواقع (Site Analyzer): يمكن لأداة تحليل المواقع اكتشاف عدة أنواع من الثغرات، بما في ذلك:

  • مشاكل SSL/TLS
  • رؤوس الأمان المفقودة
  • الإفصاح عن المعلومات في رؤوس HTTP
  • قائمة الدليل المفعلة
  • معلومات حساسة في ملف robots.txt
  • تعرض مستودع Git
  • تعرض ملفات التكوين والبيئة
  • تعرض معلومات PHP
  • تعرض ملفات النسخ الاحتياطي

أداة استغلال الثغرات (Vulnerability Exploiter): يمكن لأداة استغلال الثغرات استغلال عدة أنواع من الثغرات، بما في ذلك:

  • ثغرات حقن SQL (SQL Injection)
  • ثغرات XSS (Cross-Site Scripting)
  • ثغرات CSRF (Cross-Site Request Forgery)
  • ثغرات تضمين الملفات (File Inclusion)
  • ثغرات حقن الأوامر (Command Injection)
  • ثغرات XXE (XML External Entity)
  • ثغرات SSRF (Server-Side Request Forgery)
  • ثغرات التحكم في الوصول (Access Control)
  • ثغرات تجاوز المسار (Path Traversal)

هل يمكن للأدوات اكتشاف واستغلال ثغرات XSS أو SQL Injection؟

أداة تحليل المواقع (Site Analyzer): الإصدار الحالي من أداة تحليل المواقع لا يتضمن فحصاً نشطاً لثغرات XSS أو SQL Injection. يمكنه فقط اكتشاف الثغرات السلبية مثل مشاكل التكوين ورؤوس الأمان المفقودة. سيتم إضافة فحص نشط لهذه الثغرات في الإصدار 2.0 (انظر ملف FUTURE_DEVELOPMENT.md).

أداة استغلال الثغرات (Vulnerability Exploiter): نعم، أداة استغلال الثغرات مصممة خصيصاً لاستغلال ثغرات XSS وSQL Injection وغيرها من الثغرات النشطة. تستخدم الأداة مجموعة متنوعة من تقنيات الاستغلال لاختبار وجود هذه الثغرات واستغلالها بطريقة آمنة. يمكنك تحديد نوع الثغرة المراد استغلالها باستخدام الخيار -v أو --vulns.

هل يمكن للأدوات فحص واستغلال تطبيقات الويب أحادية الصفحة (SPA)؟

أداة تحليل المواقع (Site Analyzer): الإصدار الحالي من أداة تحليل المواقع قد يواجه صعوبة في تحليل تطبيقات الصفحة الواحدة (SPA) التي تعتمد بشكل كبير على JavaScript. سيتم تحسين دعم هذه التطبيقات في الإصدار 2.0 من خلال إضافة محرك تحليل JavaScript ودعم لمحاكاة المتصفح (انظر ملف FUTURE_DEVELOPMENT.md).

أداة استغلال الثغرات (Vulnerability Exploiter): توفر أداة استغلال الثغرات دعماً أفضل لتطبيقات الصفحة الواحدة من خلال استخدام محرك محاكاة المتصفح الأساسي. يمكنها استغلال بعض الثغرات في تطبيقات SPA، خاصة ثغرات XSS وCSRF. ومع ذلك، قد تواجه بعض القيود مع التطبيقات المعقدة جداً. سيتم تحسين هذا الدعم في الإصدارات المستقبلية.

هل يمكن للأدوات فحص واستغلال واجهات API؟

أداة تحليل المواقع (Site Analyzer): الإصدار الحالي من أداة تحليل المواقع مصمم بشكل أساسي لفحص مواقع الويب التقليدية. يمكنه اكتشاف نقاط نهاية API بشكل أساسي، لكنه لا يوفر تحليلاً متعمقاً لها. سيتم إضافة دعم كامل لفحص واجهات API في الإصدار 3.0 (انظر ملف FUTURE_DEVELOPMENT.md).

أداة استغلال الثغرات (Vulnerability Exploiter): توفر أداة استغلال الثغرات دعماً أساسياً لاستغلال ثغرات API. يمكنها اختبار نقاط نهاية API للتحقق من وجود ثغرات مثل حقن SQL وXSS وضعف التحكم في الوصول. ومع ذلك، فإن الدعم الكامل لتحليل واستغلال واجهات API المعقدة (مثل GraphQL وgRPC) سيتم إضافته في الإصدارات المستقبلية.

التقارير والمخرجات

ما هي أنواع التقارير التي تنتجها الأدوات؟

أداة تحليل المواقع (Site Analyzer): تنتج أداة تحليل المواقع تقارير بتنسيق JSON تحتوي على معلومات مفصلة عن الموقع المستهدف، بما في ذلك:

  • البيانات الوصفية للموقع
  • الروابط المكتشفة
  • الثغرات المكتشفة
  • الأخطاء في الإعدادات
  • معلومات عن رؤوس HTTP
  • معلومات عن شهادات SSL/TLS

أداة استغلال الثغرات (Vulnerability Exploiter): تنتج أداة استغلال الثغرات تقارير أكثر تفصيلاً عن عمليات الاستغلال، بما في ذلك:

  • تفاصيل الثغرات المستغلة
  • نتائج محاولات الاستغلال (ناجحة أو فاشلة)
  • أدلة على وجود الثغرات (لقطات شاشة، استجابات HTTP)
  • توصيات للإصلاح
  • مستوى خطورة كل ثغرة
  • تأثير الثغرة على النظام

أين يتم حفظ التقارير؟

أداة تحليل المواقع (Site Analyzer): يتم حفظ تقارير أداة تحليل المواقع في مجلد reports بشكل افتراضي. يمكنك تغيير مجلد الإخراج باستخدام الخيار -o أو --output.

أداة استغلال الثغرات (Vulnerability Exploiter): يتم حفظ تقارير أداة استغلال الثغرات في مجلد exploit_reports بشكل افتراضي. يمكنك تغيير مجلد الإخراج باستخدام الخيار -o أو --output.

هل يمكنني تصدير التقارير بتنسيقات أخرى؟

أداة تحليل المواقع (Site Analyzer): الإصدار الحالي من أداة تحليل المواقع يدعم فقط تنسيق JSON. سيتم إضافة دعم لتنسيقات أخرى مثل HTML وPDF في الإصدار 2.0.

أداة استغلال الثغرات (Vulnerability Exploiter): تدعم أداة استغلال الثغرات تنسيقات JSON وHTML. يمكنك تحديد تنسيق التقرير باستخدام الخيار --report-format. سيتم إضافة دعم لتنسيقات أخرى مثل PDF وCSV في الإصدارات المستقبلية.

كيف يمكنني تفسير نتائج الفحص والاستغلال؟

أداة تحليل المواقع (Site Analyzer): تصنف أداة تحليل المواقع الثغرات والأخطاء في الإعدادات حسب مستوى الخطورة (Critical, High, Medium, Low). يتم توفير المعلومات التالية لكل ثغرة:

  • وصف الثغرة ومخاطرها
  • المسار أو العنصر المتأثر
  • توصيات للإصلاح
  • مراجع ومصادر إضافية للمعلومات

يمكنك استخدام هذه المعلومات لتحديد أولويات الإصلاح، حيث يجب معالجة الثغرات ذات التصنيف Critical وHigh أولاً.

أداة استغلال الثغرات (Vulnerability Exploiter): توفر أداة استغلال الثغرات تقارير أكثر تفصيلاً تتضمن:

  • نتيجة محاولة الاستغلال (نجاح/فشل)
  • الأدلة على نجاح الاستغلال (مثل البيانات المستخرجة)
  • تفاصيل تقنية عن كيفية استغلال الثغرة
  • تقييم الخطورة (CVSS Score)
  • تأثير الثغرة على النظام
  • خطوات مفصلة للإصلاح
  • سيناريوهات الهجوم المحتملة

عند استخدام وضع الأمان (--safe-mode)، ستحصل على تقارير افتراضية توضح كيف يمكن استغلال الثغرة دون تنفيذ الاستغلال الفعلي.

الأداء والموارد

هل يمكن للأدوات التسبب في حظر عنوان IP الخاص بي؟

أداة تحليل المواقع (Site Analyzer): نعم، إذا قمت بإجراء عدد كبير من الطلبات في وقت قصير، قد تحظر بعض المواقع عنوان IP الخاص بك. تستخدم الأداة آلية تدوير User-Agent وتأخير بين الطلبات لتقليل هذا الخطر، ولكن لا يمكن ضمان عدم حدوث الحظر. يمكنك استخدام الخيار --delay لزيادة الفترة الزمنية بين الطلبات.

أداة استغلال الثغرات (Vulnerability Exploiter): تشكل أداة استغلال الثغرات خطراً أكبر للحظر لأنها تقوم بمحاولات استغلال نشطة. تستخدم الأداة تقنيات متقدمة لتجنب الكشف مثل:

  • تدوير عناوين IP (عند استخدام الخيار --proxy-rotate)
  • تأخير ذكي يتكيف مع استجابة الخادم
  • محاكاة سلوك المتصفح البشري

للتقليل من خطر الحظر، استخدم الخيارات --stealth-mode و--delay-factor معاً.

كم من الموارد تستهلك الأدوات؟

أداة تحليل المواقع (Site Analyzer): يعتمد استهلاك الموارد على حجم الموقع وعمق الزحف وعدد مسارات التنفيذ المتزامنة. قد تستهلك الأداة كمية كبيرة من الذاكرة عند فحص مواقع كبيرة مع عمق زحف عالٍ. المتطلبات النموذجية:

  • وحدة المعالجة المركزية: متوسطة (يمكن أن ترتفع عند تحليل مواقع كبيرة)
  • الذاكرة: 200-500 ميجابايت للمواقع الصغيرة، وقد تصل إلى عدة جيجابايت للمواقع الكبيرة
  • القرص: مساحة قليلة مطلوبة فقط لتخزين التقارير

أداة استغلال الثغرات (Vulnerability Exploiter): تستهلك أداة استغلال الثغرات موارد أكثر بسبب طبيعة عملها التي تتطلب محاكاة هجمات متعددة. المتطلبات النموذجية:

  • وحدة المعالجة المركزية: عالية (خاصة عند تشغيل عمليات استغلال متزامنة)
  • الذاكرة: 500 ميجابايت إلى 1 جيجابايت كحد أدنى، وقد تصل إلى 4 جيجابايت عند استخدام خيارات متقدمة
  • القرص: قد تحتاج إلى مساحة أكبر لتخزين الأدلة والبيانات المستخرجة

يمكنك استخدام الخيار --threads في كلتا الأداتين للتحكم في عدد العمليات المتزامنة وبالتالي استهلاك الموارد.

هل يمكنني تحديد عدد الطلبات في الثانية أو إيقاف الفحص مؤقتاً؟

أداة تحليل المواقع (Site Analyzer): لا يوفر الإصدار الحالي من أداة تحليل المواقع خياراً مباشراً لتحديد عدد الطلبات في الثانية، ولكن يمكنك استخدام الخيار --delay لتعيين التأخير بين الطلبات بالثواني. على سبيل المثال، --delay 0.5 سيؤدي إلى تأخير نصف ثانية بين كل طلب، مما يعني تقريباً طلبين في الثانية لكل مسار تنفيذ. سيتم إضافة خيار مباشر لتحديد عدد الطلبات في الثانية في الإصدار 2.0.

لا يمكن إيقاف الفحص مؤقتاً في الإصدار الحالي، ولكن يمكنك إلغاء الفحص بالضغط على Ctrl+C وإعادة تشغيله لاحقاً.

أداة استغلال الثغرات (Vulnerability Exploiter): توفر أداة استغلال الثغرات تحكماً أفضل في معدل الطلبات من خلال الخيارات التالية:

  • --rate-limit: لتحديد عدد الطلبات في الثانية بشكل مباشر
  • --delay-factor: لتعيين عامل تأخير ديناميكي يتكيف مع استجابة الخادم
  • --burst-mode: للسماح بدفعات من الطلبات المتزامنة متبوعة بفترات راحة

كما توفر الأداة إمكانية إيقاف الاستغلال مؤقتاً باستخدام الإشارة SIGTSTP (Ctrl+Z في Linux/macOS) ثم استئنافه باستخدام الأمر fg.

المساهمة والتطوير

كيف يمكنني المساهمة في تطوير الأدوات؟

يمكنك المساهمة في تطوير أدوات تحليل المواقع واستغلال الثغرات عن طريق:

للمساهمة في كلتا الأداتين:

  1. الإبلاغ عن الأخطاء أو اقتراح ميزات جديدة عبر نظام تتبع المشكلات (Issues)
  2. إرسال طلبات السحب (Pull Requests) مع إصلاحات أو ميزات جديدة
  3. تحسين التوثيق أو إضافة أمثلة جديدة
  4. مشاركة الأدوات مع الآخرين ونشر الوعي حول أهمية أمن المواقع
  5. المشاركة في اختبارات الإصدارات التجريبية

للمساهمة في أداة تحليل المواقع (Site Analyzer):

  • إضافة قواعد كشف جديدة للثغرات
  • تحسين خوارزميات الزحف والاكتشاف
  • تطوير واجهات مستخدم جديدة (CLI أو GUI)

للمساهمة في أداة استغلال الثغرات (Vulnerability Exploiter):

  • إضافة وحدات استغلال جديدة للثغرات
  • تحسين تقنيات تجنب الكشف
  • تطوير آليات استغلال أكثر أماناً

هل هناك خطة تطوير للأدوات؟

نعم، يمكنك الاطلاع على خطط التطوير المستقبلية في ملفات:

  • ROADMAP-ANALYZER.md لأداة تحليل المواقع
  • ROADMAP-EXPLOITER.md لأداة استغلال الثغرات

تتضمن الخطط المستقبلية:

لأداة تحليل المواقع (Site Analyzer):

  • الإصدار 2.0: دعم تحليل تطبيقات الصفحة الواحدة (SPA) وكشف نشط للثغرات
  • الإصدار 3.0: دعم كامل لتحليل واجهات برمجة التطبيقات (APIs) وتكامل مع أدوات CI/CD

لأداة استغلال الثغرات (Vulnerability Exploiter):

  • الإصدار 2.0: دعم أنواع إضافية من الثغرات وتحسين آليات الاستغلال الآمن
  • الإصدار 3.0: دعم الاستغلال الآلي والتكامل مع أنظمة الاختراق الأخلاقي

كيف يمكنني الإبلاغ عن خطأ أو اقتراح ميزة جديدة؟

يمكنك الإبلاغ عن الأخطاء أو اقتراح ميزات جديدة عن طريق فتح مشكلة (Issue) في مستودعات GitHub الخاصة بالأدوات:

  • لأداة تحليل المواقع (Site Analyzer): استخدم مستودع site-analyzer وضع علامة [analyzer] في عنوان المشكلة
  • لأداة استغلال الثغرات (Vulnerability Exploiter): استخدم مستودع vuln-exploiter وضع علامة [exploiter] في عنوان المشكلة

عند الإبلاغ عن خطأ، يرجى تضمين المعلومات التالية:

  1. إصدار الأداة المستخدمة
  2. نظام التشغيل والبيئة
  3. خطوات إعادة إنتاج المشكلة
  4. السلوك المتوقع والسلوك الفعلي
  5. أي رسائل خطأ أو سجلات ذات صلة

هل يمكنني استخدام الأدوات في مشروعي الخاص؟

نعم، يمكنك استخدام كلتا الأداتين في مشروعك الخاص بموجب ترخيص MIT. تأكد من الالتزام بشروط الترخيص، بما في ذلك الإشارة إلى حقوق النشر الأصلية.

أداة تحليل المواقع (Site Analyzer): يمكن دمج أداة تحليل المواقع في مشاريعك الخاصة كمكتبة Python. استخدم:

from site_analyzer import Analyzer

analyzer = Analyzer(url="https://example.com", depth=2)
results = analyzer.scan()

أداة استغلال الثغرات (Vulnerability Exploiter): يمكن دمج أداة استغلال الثغرات في مشاريعك الخاصة كمكتبة Python أو استخدامها كأداة مستقلة. استخدم:

from vuln_exploiter import Exploiter

exploiter = Exploiter(target="https://example.com", vulns=["sqli", "xss"])
results = exploiter.run(safe_mode=True)

كلتا الأداتين توفران واجهة برمجة تطبيقات (API) موثقة بشكل كامل للمطورين في ملفات API-ANALYZER.md وAPI-EXPLOITER.md.

استكشاف الأخطاء وإصلاحها

الأدوات تعطي خطأ عند التثبيت

أداة تحليل المواقع (Site Analyzer): تأكد من تثبيت Python 3.6 أو أحدث وجميع المكتبات المطلوبة. إذا واجهت مشاكل مع مكتبة معينة، حاول تثبيتها بشكل منفصل. الأخطاء الشائعة تشمل:

  • خطأ في تثبيت beautifulsoup4: جرب pip install beautifulsoup4 --ignore-installed
  • خطأ في تثبيت requests: تأكد من تحديث pip باستخدام pip install --upgrade pip
  • مشاكل مع lxml: قد تحتاج إلى تثبيت أدوات تطوير C++ على نظامك

أداة استغلال الثغرات (Vulnerability Exploiter): تتطلب أداة استغلال الثغرات مكتبات إضافية ومتطلبات نظام أكثر. الأخطاء الشائعة تشمل:

  • خطأ في تثبيت selenium: تأكد من تثبيت متصفح Chrome أو Firefox ومشغلات WebDriver المناسبة
  • مشاكل مع cryptography: قد تحتاج إلى تثبيت حزم تطوير OpenSSL
  • خطأ في تثبيت pycurl: تأكد من تثبيت libcurl-dev على نظامك

إذا استمرت المشاكل، جرب تثبيت الأدوات في بيئة افتراضية جديدة باستخدام virtualenv.

الأدوات تستغرق وقتاً طويلاً للغاية

أداة تحليل المواقع (Site Analyzer): إذا كانت أداة تحليل المواقع تستغرق وقتاً طويلاً، جرب:

  • تقليل عمق الزحف باستخدام الخيار -d أو --depth
  • زيادة عدد مسارات التنفيذ المتزامنة باستخدام الخيار --threads
  • استخدام الخيار --no-check-ssl لتخطي التحقق من شهادات SSL (مع الحذر)
  • تحديد نطاق الفحص باستخدام الخيار --scope للتركيز على أجزاء معينة من الموقع

أداة استغلال الثغرات (Vulnerability Exploiter): إذا كانت أداة استغلال الثغرات تستغرق وقتاً طويلاً، جرب:

  • تحديد أنواع الثغرات المستهدفة باستخدام الخيار -v أو --vulns بدلاً من فحص جميع الثغرات
  • استخدام الخيار --fast-mode للتركيز على الاستغلال السريع (مع تقليل الدقة)
  • زيادة عدد العمليات المتزامنة باستخدام الخيار --threads
  • استخدام الخيار --timeout لتعيين مهلة أقصر للطلبات

الأدوات لا تكتشف جميع الروابط أو الثغرات

أداة تحليل المواقع (Site Analyzer): إذا كانت أداة تحليل المواقع لا تكتشف جميع الروابط، قد يكون ذلك بسبب:

  • الروابط التي يتم إنشاؤها ديناميكياً بواسطة JavaScript: حاول استخدام الخيار --js-rendering (متوفر في الإصدار 1.5+)
  • الروابط المخفية خلف نماذج المصادقة: استخدم الخيار --auth-data لتوفير بيانات المصادقة
  • الروابط في إطارات iframe: تأكد من تفعيل الخيار --follow-iframes
  • الروابط المحمية بواسطة CSRF: جرب استخدام الخيار --handle-csrf

أداة استغلال الثغرات (Vulnerability Exploiter): إذا كانت أداة استغلال الثغرات لا تكتشف أو تستغل جميع الثغرات، قد يكون ذلك بسبب:

  • آليات الحماية المتقدمة: استخدم الخيار --bypass-waf لمحاولة تجاوز جدران الحماية
  • تقنيات الكشف غير كافية: جرب استخدام الخيار --deep-scan للكشف العميق
  • الثغرات المعقدة: استخدم الخيار --advanced-payloads لاستخدام حمولات أكثر تعقيداً
  • مشاكل في التوقيت: جرب ضبط الخيار --timing-attack-sensitivity لتحسين كشف ثغرات التوقيت

أواجه أخطاء في التحقق من شهادات SSL

أداة تحليل المواقع (Site Analyzer): إذا كنت تواجه أخطاء في التحقق من شهادات SSL، يمكنك استخدام الخيار --no-check-ssl لتجاوز التحقق من الشهادات. لكن استخدم هذا الخيار بحذر لأنه قد يعرضك لهجمات Man-in-the-Middle.

أداة استغلال الثغرات (Vulnerability Exploiter): توفر أداة استغلال الثغرات خيارات أكثر تفصيلاً للتعامل مع مشاكل SSL:

  • --no-check-ssl: لتجاوز التحقق من الشهادات تماماً
  • --custom-ca-bundle: لتحديد حزمة شهادات CA مخصصة
  • --ssl-version: لتحديد إصدار SSL/TLS المستخدم

أحصل على نتائج إيجابية خاطئة (False Positives)

أداة تحليل المواقع (Site Analyzer): قد تظهر نتائج إيجابية خاطئة في بعض الأحيان. للتقليل منها:

  • استخدم الخيار --verify-vulnerabilities للتحقق من الثغرات المكتشفة
  • قم بتحديث الأداة للحصول على أحدث قواعد الكشف
  • استخدم الخيار --confidence-level high للتركيز على النتائج ذات الثقة العالية فقط

أداة استغلال الثغرات (Vulnerability Exploiter): للتقليل من النتائج الإيجابية الخاطئة في أداة استغلال الثغرات:

  • استخدم الخيار --verify-exploits للتحقق من نجاح الاستغلال
  • استخدم الخيار --evidence-required لطلب أدلة على نجاح الاستغلال
  • استخدم الخيار --strict-mode للتشغيل في الوضع الصارم الذي يقلل من النتائج الإيجابية الخاطئة

الدعم والمساعدة

كيف يمكنني الحصول على المساعدة؟

للمساعدة العامة:

  • راجع التوثيق الكامل في ملفات DOCS-ANALYZER.md وDOCS-EXPLOITER.md
  • تحقق من أمثلة الاستخدام في مجلد examples
  • راجع الأسئلة الشائعة في هذا الملف

للمساعدة التقنية:

  • افتح مشكلة (Issue) في مستودع GitHub المناسب
  • انضم إلى مجتمع المطورين على Discord: https://discord.gg/securitytools
  • راسلنا على البريد الإلكتروني: support@saudicrackers.com

هل هناك دورات تدريبية أو ندوات عبر الإنترنت حول استخدام الأدوات؟

نعم، نقدم دورات تدريبية منتظمة وندوات عبر الإنترنت حول استخدام أدوات تحليل المواقع واستغلال الثغرات. تحقق من موقعنا الإلكتروني للحصول على جدول الفعاليات القادمة أو اشترك في نشرتنا الإخبارية للبقاء على اطلاع.

هل يمكنني طلب ميزات جديدة؟

نعم، نرحب باقتراحات الميزات الجديدة. يمكنك طلب ميزات جديدة عن طريق فتح مشكلة (Issue) في مستودع GitHub المناسب مع وضع علامة [feature request] في العنوان. نحن نراجع طلبات الميزات بانتظام ونضيفها إلى خطة التطوير المستقبلية بناءً على الطلب والجدوى.