📢 الملقم Proxy والتنصت على الشبكات
➕ الاضافات الخاصة ببرنامج Burp
🔎 فحص خوادم تطبيقات الويب
🗃 جمع المعلومات من خلال المصادر المفتوحة
🔎 ادوات الفحص
📱 اختراق الهواتف الذكية
🧾 قائمة البرامج الخاصة بنظام كالي لينكس
📚 مصادر مفيدة لاختبار الاختراق
📝 برامج جمع المذكرات والملاحظات
🪓 ادوات الاختراق
| اسم الاداة | الوصف | اللغة المستخدمة | الموقع |
|---|---|---|---|
| اداة Burp Suite | تقوم الاداة بعتراض الاتصال والتعديل عليه قبل ارساله الى الخادم | لغة الجافا | https://portswigger.net/burp |
| اداة OWASP Zap Proxy | تقوم الاداة بعتراض الاتصال والتعديل عليه قبل ارساله الى الخادم | لغة الجافا | www.owasp.org |
| اداة netsniff-ng | تقوم الاداة بعتراض الاتصال وقراءة البيانات بشكل مفصل | لغة C, C++ | https://github.com/netsniff-ng/netsniff-ng |
| اداة tcpdump/libpcap | تقوم الاداة بعتراض الاتصال وقراءة البيانات بشكل مفصل | لغة C, C++ | https://www.tcpdump.org/ |
| اداة Wireshark | تقوم الاداة بعتراض الاتصال وقراءة البيانات بشكل مفصل | لغة C, C++ | www.wireshark.org |
| اسم الاداة | الوصف | اللغة المستخدمة | الموقع |
|---|---|---|---|
| اضافة Logger++ | تقوم الاداة بحفظ جميع الاتصالات التي يقوم بها البرنامج واستخراجها على شكل CSV | لغة الجافا | https://portswigger.net/ |
| اضافة Flow | تقوم هذه الاضافة بحفظ جميع الطلبات التي يقوم بها البرنامج وتصفيتها حسب الطلب | لغة الجافا | https://portswigger.net/ |
| اضافة AuthMatrix | تقوم هذه الاداة باختبار تصاريح الوصول وايجاد الثغرات بها وعرضها على شكل جدول لكي تتضح الصورة بشكل كامل | لغة python | https://portswigger.net |
| اضافة Autorize | تقوم هذه الاداة بمساعدة مختبر الاختراق لرصد واكتشاف نقاط الضعف في عمليات تصريح الدخول | لغة python | https://portswigger.net |
| اضافة Auto Repeater | الهدف من هذه الاداة هو ارسال الطلبات بشكل تلقائي مع تغير بعض المعايير التي يحددها مختبر الاختراق | لغة الجافا | https://portswigger.net |
| اضافةProgress Tracker | تقوم هذه الاضافة بتتبع حالة اختبار الاختراق او اصطياد التهديدات ومستوى التقدم بها | لغة الجافا | https://portswigger.net |
| اضافة HUNT | تقوم هذه الاداة بفحص بفحص الثغرات واستخراجها وهي مخصصة لثغرات SQL وثغرة IDOR | لغة الجافا | https://portswigger.net |
| اضافة Mind Map Exporter | وظيفة هذه الاداة رسم الخارطة الذهنية لجيمع الروابط الخاصة بالموقع الذي يتم فحصة | لغة الجافا | https://portswigger.net |
| اضافة Burp JS link finder | تقوم الاداة باستخراج جميع الروابط من ملفات JS والتي قد يكون بعضها يحتوى على معلومات حساسة | لغة الجافا | https://portswigger.net |
| اضافة BurpParser | استخراج جميع الروابط الخاصة بالهدف وجمعها في ملف XML لتسهيل عمل التحليل اليدوي | لغة python | https://github.com/billdeitrick/burpparser |
| اضافة BurpSuite_payloads | مجموعة من الادوات التي تفيدك في عملية استخدام "Intruder" | لا يوجد | https://github.com/thegsoinfosec/BurpSuite_payloads |
| اسم الاداة | الوصف | اللغة المستخدمة | الموقع |
|---|---|---|---|
| اداة FFuF | من الادوات التي استخدمها بشكل يومي وهي تقوم بمحاولة تخمين الامتدادات الخاصةبالمواقع وكما يميز هذه الاداة هي امكانية تخصييها حسب رغبتك | لغة Go | https://github.com/ffuf/ffuf |
| اداة Sublist3r | تقوم هذه الاداة بحصر وجمع جميع النطاقات الفرعية الخاصة بالموقع المستهدف مستعينة بالخدمات العامة مثل قوقل ياهو وغيرها | لغة python | https://github.com/aboul3la/Sublist3r/ |
| اداة dirsearch | تقوم هذه الاداة بمحاولة تخمين الامتدادات الخاصة بالموقع المستهدف وهي اداة سهلة الاستخدام وكذلك قوية الاداء | لغة python | https://github.com/maurosoria/dirsearch |
| اضافة Autorize | تقوم هذه الاداة بمساعدة مختبر الاختراق لرصد واكتشاف نقاط الضعف في عمليات تصريح الدخول | لغة python | https://portswigger.net |
| اداة Amass | تقوم هذه الاداة باستخدام تقنيات مختلفة لحصر النطاقات الفرعية للموقع المستهدف | لغة الجافا | https://github.com/OWASP/Amass |
| اضافة BuiltWith | اضافة على المتصفح حيث تستطيع هذة الاداة التعرف على اكثر من ٨١ الف تطبيق وبرمجية والهدف منها هو اعطائك معلومات اكثر عن المنصة المستخدمة في الموقع المستهدف | لغة JavaScript | https://builtwith.com |
| اداة findomain | اداة تستخدم منصات متعددة لايجاد النطاقات الفرعية | Rust | https://github.com/Edu4rdSHL |
| اداة waybackurls | تقوم باستخرج جميع الصفحات المؤرشفة للموقع المستهدف | لغة Go | https://github.com/tomnomnom |
| اداة Meg | تقوم الاداة بمحاولة تخمين جميع المسارات المتاحة على الموقع المستهدف حيق تعمل الاداة بشكل مختلف حيث تقوم الاداة بفحص المسار الواحد بشكل كامل قبل الانتقال الى المسار التالي | لغة Go | https://github.com/tomnomnom/meg |
| اداة Osmedeus | منصة تقوم بالفحص بشكل تلقائي وهي مفيدة لعمليات اختبار وتقييم الاختراقات | لغة Python | https://github.com/j3ssie/Osmedeus |
| اداة Reconness | اداة تقوم بجميع جميع عمليات الفحص وترتيبها في مكان واحد | لغة C++ | https://github.com/reconness |
| اداة knock | تقوم بعمليات جمع للنطاقات الفرعية للموقع المستهدف | لغة Go | https://github.com/guelfoweb/knock |
| اداة SpiderFoot | هي منصة تقوم باستخدام اكثر من ١٠٠ مصدر لجمع المعلومات عن الموقع المستهدف | لغة Python | https://github.com/smicallef/spiderfoot |
| اداة DNSDumpster | اداة متميزة في حصر وجمع النطاقات الفرعية للموقع المستهدف | لغة JavaScript | https://dnsdumpster.com/ |
| اداة masscan | اداة تقوم بعمليات فحص للعناوين IP والمنفاذ بشكل سريع جداً | لغة C | https://github.com/robertdavidgraham/masscan |
| اداة dnsenum | اداة تقوم بحصر وجمع المعلومات عن النطاقات الفرعية للموقع المستهدف | لغة Perl | https://github.com/fwaeytens/dnsenum/ |
| اداة dnsmap | اداة تقوم بحصر وجمع المعلومات عن النطاقات الفرعية للموقع المستهدف من غير التواصل معه بشكل مباشر | لغة C | https://github.com/makefu/dnsmap/ |
| اداة SSLyze | تساعد هذه الاداة على تحليل شهادات SSL لمعرفة مكامن نقاط الضعف والاعدادات الخاطئة | لغة pthton | https://github.com/nabla-c0d3/sslyze |
| اداة Nikto | اداة سريعة جداً في استخراج نقاط الضعف والثغرات ولكن سهلة الاكتشاف من الخوادم المستهدفة بسبب كمية البيانات المشبوهة التي ترسلها الاداة | لغة pthton | https://cirt.net/nikto2 |
| اداة WPScan | الاداة تقوم بعمل اختبار اختراق وايجاد الثغرات وكسر كلمات المرور. وهي متخصصة في استهدافة منصات Wordpress | لغة pthton | https://wpscan.org/ |
| اداة joomscan | الاداة تقوم بعمل اختبار اختراق وايجاد الثغرات وكسر كلمات المرور. وهي متخصصة في استهدافة منصات Joomla | لغة pthton | https://www.owasp.org/index.php/Category |
| اداة XSpear | تقوم هذه الأداة بإيجاد ثغرات XSS وتصنيف خطورتها وتمكنك من طباعة تقرير مفصل بمستوى خطورة الثغرة | لغة Ruby | https://github.com/hahwul/XSpear |
| اسم الاداة | الوصف | الموقع |
|---|---|---|
| اداة hunter | تقوم الاداة بجمع المعلومات عن البريد الالكتروني للموقع المستهدف | https://hunter.io |
| اداة intelx | تقوم الاداة بجمع المعلومات بشكل متكامل عن للموقع المستهدف | https://intelx.io |
| اداة Shodan | تقوم الاداة بجمع المعلومات عن الاجهزة المتصلة بالانترنت وكذلك تقوم الاداة بجمع بعض المعلومات الاستخباراتية واجراء بعض الفحوصات للبحث عن الثغرات | https://www.shodan.io/ |
| اداة Lookyloo | تقوم بالتواصل مع الموقع المستهدف وجمع المعلومات عنه من خلال زيارة الروابط الخاصة به واستخراجها بخاطة ذهنية | https://lookyloo.circl.lu/scrape |
| اداة Censys | تقوم الاداة بجمع المعلومات بشكل متكامل عن للموقع المستهدف وخصوصا فيما يتعلق بالعناوين IPs ويعطي معلومات شبة مفصلة | https://censys.io/ |
| اداة crt.sh | اداة مخصصة للبحث عن المواقع المرتبطة باحد الشهادات للموقع المستهدف | https://censys.io/ |
| اداة Virus Total | على عكس محللي البرمجيات الخبيثة يتم استخدام Virus Total للبحث عن النطاقات الفرعية للموقع المستهدف وكذلك معرفة عنوان IP | https://www.virustotal.com/ |
| اداة Spyse | محرك بحث جديد وهو موجة للمتخصين في اختبار الاختراق وصائدي الثغرات | https://Spyse.com |
| اداة ZoomEye | محرك بحث صيني جديد للبحث عن الانظمة المتصلة بالانترنت | https://www.zoomeye.org/ |
| اداة NerdyData | محرك بحث جديد متخصص للبحث عن الاكواد المصدرية | https://nerdydata.com/ |
| اداة DataSploit | اداة تقوم بعرض مخرجات محركات البحث الاخرى بشكل تحليلي | https://github.com/upgoingstar/datasploit |
| اداة Sn1per | منصة متكاملة لجمع المعلومات لمختبري الاختراق | https://github.com/1N3/Sn1per |
| اسم الاداة | الوصف | الموقع |
|---|---|---|
| اداة NMAP | اداة تقوم بالبحث عن المنافذ المفتوحة على الشبكة المستهدفة | https://nmap.org |
| مستودع KeyHacks | تقوم بحصر وجمع جميع API التي تم كتابة تقارير سابقه عنها في منصات مكآفات الثغرات | https://github.com/streaak/keyhacks |
| اسم الاداة | الوصف | الموقع |
|---|---|---|
| اداة jadx | تقوم بقراءة الكود المصدري للتطبيق | https://github.com/skylot/jadx |
| اداة dex2jar | تقوم بقراءة الكود المصدري للتطبيق | https://github.com/pxb1988/dex2jar |
| منصة Mobile Security Framework (MobSF) | تقوم المنصة بتحليل التطبيق بشكل كامل من نواحي متعددة سواء كانت ثغرات او برمجيات خبيثة | https://github.com/MobSF/Mobile-Security-Framework-MobSF/ |
| اسم الاداة | الوصف |
|---|---|
| جمع المعلومات Information Gathering | تشمل على قائمة أدوات استطلاع تستخدم لجمع البيانات من الشبكات والأجهزة المستهدفة. |
| أدوات الاستغلال Exploitation Tools | في هذه القائمة تجد الأدوات التي تُستخدم في استغلال الثغرات التي قمت باكتشافها في نظام ما. كما يمكنك عمل صفحات مزورة واستهداف الراوترات. |
| تحليل الثغرات Vulnerability Analysis | تجد هنا الأدوات التي تساعدك على اكتشاف الثغرات في الأنظمة المستهدفة كما يمكنك استخدامها للقيام بعملية جمع المعلومات. |
| الهجمات على الشبكات اللاسلكية Wireless Attack | تتضمن الأدوات المستخدمة لاستغلال الثغرات في بروتوكولات الشبكات اللاسلكية و البلوتوث وثغرات تحديد الهوية باستخدام موجات الراديو RFID - (Radio-frequency Identification ) والتقنية عباره عن تحديد الهوية بشكل تلقائي بالاعتماد على جهاز يسمى (RFID Tags). |
| التحليل الجنائي Forensics | تضم القائمة الأدوات التي تساعدك في مراقبة وتحليل بيانات وتطبيقات الشبكات. تشمل استرداد وبحث المواد الموجودة على الأجهزة الرقمية والتي ترتبط كثيرا بالجرائم الرقمية. |
| تحليل تطبيقات الويب Web Applications Analysis | في الجزء تستطيع فحص واستغلال الثغرات في سيرفرات الويب. |
| اختبار مدى قدرة الخوادم على تحمل هجمات حجب الخدمة Stress Testing | مؤكد أن سمعت بهجمات DDoS وهي هجمات الحرمان من الخدمات أو هجوم حجب الخدمة تتم عن طريق إغراق المواقع بسيل من البيانات غير اللازمة يتم إرسالها عن طريق أجهزة مصابة.في هذه القائمة تجد الأدوات التي تساعدك لمعرفة مدى تحمل البرامج والسيرفرات للمستخدمين. |
| التنصت وانتحال الشخصية Sniffing and Spoofing | يتضمن هذا الجزء الأدوات التي تقوم بإلتقاط حِزم البيانات في الشبكات. من هنا تستطيع انتحصال الشخصية من خلال تعديل حزم البيانات. |
| أدوات تثبيت الاختراق Maintaining Access | بعد قيامك بعملية الاختراق سوف تحتاج لأدوات تستعملها لتثبيت الاختراق لضمان الوصول للأنظمة. من خلال هذه الأدوات ستتمكن من ذلك. |
| الهجمات كسر كلمة المرور Password Attacks | تشتمل الادوات التي تقوم بهجمات كسر كلمات المرور وهجمات تخمين كلمة السر |
| أدوات إعداد التقارير Reporting Tools | حين اكتمال ماتوصلت إليه من معلومات ستقوم بإعداد تقرير شامل يحتوي على الأدوات المستخدمة وهنا سوف تجدها. |
| الهندسة العكسية Reverse Engineering | في الهندسة العكسية هنالك العديد من الأدوات التي تساعدك في قراءة.البرمجيات الخبيثة واستخراج التعليمات البرمجية الضارة او مؤشرات الاختراق |
| المصدر | الوصف | الموقع |
|---|---|---|
| مصدر SecLists | مصدر يحتوى على قوائم متعددة تستخدم في اختبار الاختراق واصطياد الثغرات وانصح باستخدامها | https://github.com/danielmiessler/SecLists |
| اداة CyberChef | اداة غنية عن التعريف تقوم بفك وتشفير | https://gchq.github.io/CyberChef/ |
| مصدر PayloadsAllTheThings | يحتوي على جميع ما تحتاجة عند قيامك بختبار الاختراق لتطبيقات الويب | https://github.com/swisskyrepo/PayloadsAllTheThings |
| المصدر | الوصف | الموقع |
|---|---|---|
| برمجية Reconness | تقوم بجمع وتنظيم المخرجات من عملية اختبار الاختراق من ملاحظات ومخرجات الادوات | https://github.com/reconness/reconness |
| برمجية notion | اداة استخدمها شخصياً جميلة جداً في جمع الملاحظات وتستطيع تحميلها على اجهزة مختلفة حيث تقوم بالربط بينهم من خلال بريدك الالكتروني | https://www.notion.so |
| برمجية xmind | تقوم البرمجية برسم خارطة ذهنية للموقع المستهدف | https://www.xmind.net/ |
| اسم الاداة | الوصف | الموقع |
|---|---|---|
| اداة SQLMAP | اداة مفتوحة المصدر تقوم بختبار واتمتة عمليات اختبار واستغلال ثغرة SQL | https://sqlmap.org |