المرجع الشامل في مشروع W3AF ﻻختبار اختراق تطبيقات الويب-الجزء اﻷول

W3AF

مما ﻻ شك فيه أن أدوات اختبار اﻹختراق تساعد و بشكل كبير في إتمام عملية إختبار أختراق ناجحة و بالتالي النجاح في اكتشاف و ترقيع الثغرات الممكن تواجدها في تطبيقات الويب.

يعتبر مشروع W3AF و التي هي اختصار لـ Web Application Attack and Audit Framework و المبرمج باستخدام بايثون أحد أكثر مشاريع أدوات اختبار اﻹختراق استخداما بين طرفي علم أمن المعلومات:مختبري اﻹختراق و الهاكرز أصحاب القبعات السوداء.

مشروع W3AF مضمن بشكل افتراضي في معظم توزيعات اختبار اﻹختراق:كالي لينكس،باك تراك... و بالتالي لن نتطرق إلى طريقة التثبيت باعتبار أن المهتمين بمجال أمن المعلومات يمتلكون نسخة من أنظمة اختبار اﻹختراق.

سنستخدم مشروع BeeBox و الذي شرحناه في درس منفصل،سنركز في هذا الدرس على استخدام مشروع W3AF و فيما يتعلق بمشروع BeeBox فالرجاء العودة إلى الدرس المخصص له.

دعونا نبدأ سويا...افتح مشروع BeeBox و قم بتسجيل الدخول،قم بتشغيل مشروع W3AF على توزيعتك،إن كنت من مستخدمي كالي لينكس فيمكنك تشغيله بطريقتين إما عن طريق القائمة Kali Linux من قائمة Applications:
Applications -> Kali Linux -> Web Applications -> Web Vulnerability Scanner -> W3AF
أو مباشرة عن طريق كتابة اﻷمر W3AF في محرر اﻷوامر(الترمينال)
اﻵن افتح المتصفح و قم بالدخول إلى مشروع BeeBox،قم باختيار ثغرة  (SQL Injection (Get/Search أو قم بالتوجه إلى
http://192.168.1.101/bWAPP/sqli_1.php 
مع تغيير اﻷي بي إلى اﻷي بي الذي تستخدمه لمشروع BeeBox...شاهد معي الصورة التالية

W3AF

سأشرح في عجالة الواجهة الرسومية للمشروع:في اللسان Scan Config و الخاص باعدادات الفحص
Target  : و فيه تتم كتابة رابط الموقع المراد القيام بعملية إختبار له
Plugin  : و فيها يتم تحديد أنواع الثغرات المراد التحقق من وجودها
Profile :  في الكثير من المرات يفضل مختبر اﻹختراق التحقق من مجموعة من الثغرات معروفة و التالي يحب جعلها و كأنها براميترات،و بالتالي يتم تحديدها في بروفايل ليتم استخدامها فيما بعد.
Start : و هو زر بدء التحقق من الثغرات.

قم بلصق الرابط السابق في الخانة Target و قم بتحديد ثغرة SQLi من الـ Plugins من تحت التصنيف audit كما هو موضح في الصورة التالية

W3AF framework

إضغط على زر البدء و سيبدأ المشروع في العمل على التحقق من وجود ثغرة الحقن في الرابط،عليك أن تعلم بأن مشروع W3AF يعتبر ذكيا خصوصا و أنه عند القيام بعملية الفحص فإنه يرسل عناكب للبحث في ملفات الموقع من أجل البحث عن ملفات أخرى من الممكن أن تكون مصابة


عند بدء تشغيل البرنامج
اﻷسطر المكتوبة باﻹزرق معناها أن المشروع قد وجد أخطاءً برمجية تتيح القيام بعملية استسقاء و جلب لمعلومات عن الموقع في حين الأسطر المكتوبة باللون اﻷحمر فهي تعبر عن وجود أخطاءِ برمجية من الممكن أن تشكل خطرا على الموقع عند استغلالها بشكل صحيح.

سنكمل الشرح بحول الله في الدرس المقبل،رمضان كريم،دمتم بود،سلام

تعليقات