علبة الدردشةسكربت Hexjector لفحص الموقع من ثغرات sql injection
+2
اسرار الحياة
Rudin
6 مشترك
صفحة 1 من اصل 1
سكربت Hexjector لفحص الموقع من ثغرات sql injection
من طرف Rudin الإثنين ديسمبر 20, 2010 4:34 am
sql injection
sql injection
يرى كثيرون من خبراء الحماية بأن ثغرات sql injection هي من أكثر
الثغرات انتشارا و خطورة في أيامنا هذه، حيث هذه الثغرات والتي ما زالت
تضرب ألاف المواقع على شبكة الانترنت و لم نصل الى درجة احتوائها و
استعابها بالشكل الكامل .
فتكمن خطورة ثغرات sql injection في قوة استغلالها و حجم المعلومات
التي قد توفره للمهاجم، فالاستغلال الكامل و المتقدم لهذه الثغرة قد يمكن
المهاجم من السيطرة الكلية على السيرفر و سحب بياناته بدون علم مدير
السيرفر، لان الاستغلال يتم عن طريق البورت 80 وهو البورت الخاص بالمتصفح،
وبذلك يكون المهاجم وكأنه زائر عادي للموقع .
وايضا و في بعض الأحيان تصل خطورة الثغرة الى حد اختراق البريد
الالكتروني لعدد كبير من الأعضاء الذين يعتمدون نفس كلمة مرور بريدهم عند
التسجيل في الموقع، خاصة مع عدم استعمال مبرمج الموقع لنظام تشفير كلمات
مرور قوي مثل MD5
وبالفعل فقد كثرت أداوت و برامج استغلال هذه الثغرة و تختلف بيئة عملها
من نظام التشغيل ويندوز الى نظام التشغيل لينكس و منها ما يعمل على واجهة
رسومية او سطر الاوامر Terminal
اليوم سوف نتحدث عن شكل مغاير لأداة هي عبارة عن سكربت مبرمج بلغة php و يؤدي نفس دور الأدواة المعروفة مثل Havij او sqlninja
ميزات سكربت Hexjector :
- فحص الموقع الهدف و استخراج ثغرات sql injection التي قد تكون متوفرة .
- تجريب الاستغلال المناسب للثغرة .
- التعرف على جدار الحماية المستخدم بالموقع (Web Application Firewall) .
- العثور على لوحة تحكم مدير الموقع عن طريق تخمين الرابط .
- العمل كمتصفح ويب اي انك لن تحتاج لفتح الروابط في المتصفح .
البعض يقول ان هذه الميزات عادية و ليست مميزة و لم تأتي بجديد، و لكن
حسب رأي البعض الآخر فان السكربت مميز حيث أن بعض هذه الميزات تفتقده
أغلبية البرامج و الأداوت هي امكانية الإضافة و التعديل على ملف تخمين
الجداول او الكولون او لوحة تحكم مدير الموقع، فعند اضافة خيارات جديدة
للتخمين مع الوقت و حسب الخبرة يزيد من نسبة نجاح اختراق الموقع المستهدف
تحميل السكربت
بيئة ويندوز
بيئة لينكس
متطلبات تشغيل السكربت:
- سرفر ويب محلي يدعم php
- تفعيل دالة cURL على السيرفر
المميزات الاضافية بالسكربت كالتالي:
- Manual Data Dump : تمكن من سحب معلومات من الموقع المستهدف
- Manual Into DumpFile: تمكن المهاجم من انشاء ملفات على الموقع المستهدف
- Manual Into Outfile: نفس الخيار السابق
- Manual Load_File(): تمكن من قراءة ملف على الموقع المستهدف
- Hexafind: تمكن من البحث عن رابط لوحة تحكم الموقع المستهدف
المصدر: بالتين
sql injection
يرى كثيرون من خبراء الحماية بأن ثغرات sql injection هي من أكثر
الثغرات انتشارا و خطورة في أيامنا هذه، حيث هذه الثغرات والتي ما زالت
تضرب ألاف المواقع على شبكة الانترنت و لم نصل الى درجة احتوائها و
استعابها بالشكل الكامل .
فتكمن خطورة ثغرات sql injection في قوة استغلالها و حجم المعلومات
التي قد توفره للمهاجم، فالاستغلال الكامل و المتقدم لهذه الثغرة قد يمكن
المهاجم من السيطرة الكلية على السيرفر و سحب بياناته بدون علم مدير
السيرفر، لان الاستغلال يتم عن طريق البورت 80 وهو البورت الخاص بالمتصفح،
وبذلك يكون المهاجم وكأنه زائر عادي للموقع .
وايضا و في بعض الأحيان تصل خطورة الثغرة الى حد اختراق البريد
الالكتروني لعدد كبير من الأعضاء الذين يعتمدون نفس كلمة مرور بريدهم عند
التسجيل في الموقع، خاصة مع عدم استعمال مبرمج الموقع لنظام تشفير كلمات
مرور قوي مثل MD5
وبالفعل فقد كثرت أداوت و برامج استغلال هذه الثغرة و تختلف بيئة عملها
من نظام التشغيل ويندوز الى نظام التشغيل لينكس و منها ما يعمل على واجهة
رسومية او سطر الاوامر Terminal
اليوم سوف نتحدث عن شكل مغاير لأداة هي عبارة عن سكربت مبرمج بلغة php و يؤدي نفس دور الأدواة المعروفة مثل Havij او sqlninja
ميزات سكربت Hexjector :
- فحص الموقع الهدف و استخراج ثغرات sql injection التي قد تكون متوفرة .
- تجريب الاستغلال المناسب للثغرة .
- التعرف على جدار الحماية المستخدم بالموقع (Web Application Firewall) .
- العثور على لوحة تحكم مدير الموقع عن طريق تخمين الرابط .
- العمل كمتصفح ويب اي انك لن تحتاج لفتح الروابط في المتصفح .
البعض يقول ان هذه الميزات عادية و ليست مميزة و لم تأتي بجديد، و لكن
حسب رأي البعض الآخر فان السكربت مميز حيث أن بعض هذه الميزات تفتقده
أغلبية البرامج و الأداوت هي امكانية الإضافة و التعديل على ملف تخمين
الجداول او الكولون او لوحة تحكم مدير الموقع، فعند اضافة خيارات جديدة
للتخمين مع الوقت و حسب الخبرة يزيد من نسبة نجاح اختراق الموقع المستهدف
تحميل السكربت
بيئة ويندوز
بيئة لينكس
متطلبات تشغيل السكربت:
- سرفر ويب محلي يدعم php
- تفعيل دالة cURL على السيرفر
المميزات الاضافية بالسكربت كالتالي:
- Manual Data Dump : تمكن من سحب معلومات من الموقع المستهدف
- Manual Into DumpFile: تمكن المهاجم من انشاء ملفات على الموقع المستهدف
- Manual Into Outfile: نفس الخيار السابق
- Manual Load_File(): تمكن من قراءة ملف على الموقع المستهدف
- Hexafind: تمكن من البحث عن رابط لوحة تحكم الموقع المستهدف
المصدر: بالتين
Rudin- إدارة القلوب
- رقم العضوية : 2
عدد المساهمات : 670
نقاط : 7792
تاريخ التسجيل : 21/10/2010
العمر : 33
الموقع : سوريا-حلب
المزاج : محبـــــــوب جدا
رد: سكربت Hexjector لفحص الموقع من ثغرات sql injection
من طرف اسرار الحياة الإثنين ديسمبر 20, 2010 5:46 am
رودين شكر الك
مشكور
مشكور
اسرار الحياة- قلب مبدع
- رقم العضوية : 21
عدد المساهمات : 337
نقاط : 6209
تاريخ التسجيل : 02/11/2010
العمر : 43
المزاج : رايق
رد: سكربت Hexjector لفحص الموقع من ثغرات sql injection
من طرف Rudin الثلاثاء ديسمبر 21, 2010 6:55 am
العفو اسرار منور
دمت بخير
دمت بخير
Rudin- إدارة القلوب
- رقم العضوية : 2
عدد المساهمات : 670
نقاط : 7792
تاريخ التسجيل : 21/10/2010
العمر : 33
الموقع : سوريا-حلب
المزاج : محبـــــــوب جدا
رد: سكربت Hexjector لفحص الموقع من ثغرات sql injection
من طرف سيمانور الثلاثاء ديسمبر 21, 2010 4:11 pm
بس ماعم افهم على هل الكلام كئنه بسرياني
شو ثغرات وتغمين ومابعرف شو
بسطلنا شوي الكلام
سيمانور- مشرف
- رقم العضوية : 39
عدد المساهمات : 1011
نقاط : 8691
تاريخ التسجيل : 07/11/2010
الموقع : دعائي لكم بلخير
المزاج : الحمدلله على كل شيئ
رد: سكربت Hexjector لفحص الموقع من ثغرات sql injection
من طرف Rudin الأربعاء ديسمبر 22, 2010 6:33 am
سيما الامورة
هاد مشان المواقع
انتي مالك دخل في
بس يصير عندك موقع رح تعرفي هاد مشان ايش
مشكور مرورك
هاد مشان المواقع
انتي مالك دخل في
بس يصير عندك موقع رح تعرفي هاد مشان ايش
مشكور مرورك
Rudin- إدارة القلوب
- رقم العضوية : 2
عدد المساهمات : 670
نقاط : 7792
تاريخ التسجيل : 21/10/2010
العمر : 33
الموقع : سوريا-حلب
المزاج : محبـــــــوب جدا
رد: سكربت Hexjector لفحص الموقع من ثغرات sql injection
من طرف سيمانور الخميس ديسمبر 23, 2010 2:36 am
ايواااااااااااااااااا اي اذا هيك ماشي
سيمانور- مشرف
- رقم العضوية : 39
عدد المساهمات : 1011
نقاط : 8691
تاريخ التسجيل : 07/11/2010
الموقع : دعائي لكم بلخير
المزاج : الحمدلله على كل شيئ
رد: سكربت Hexjector لفحص الموقع من ثغرات sql injection
من طرف فارسة الأمل الخميس ديسمبر 23, 2010 2:43 am
حلو كتير الحكي
وموضوع هام جداً
أعجبني
مشكور
وموضوع هام جداً
أعجبني
مشكور
فارسة الأمل- قلب ليس كالباقي
- رقم العضوية : 75
عدد المساهمات : 864
نقاط : 8135
تاريخ التسجيل : 29/11/2010
الموقع : أرض الله الواسعة
المزاج : متفائل دائماً
رد: سكربت Hexjector لفحص الموقع من ثغرات sql injection
من طرف حمودي فلسطين الجمعة ديسمبر 31, 2010 6:16 am
لفتة رائعة أخي الكريم
بس بحب أضيف هنالك العديد من الثغرات اللي نستخدمها لضرب المواقع أيا كانت
و أريد أن اضيف
لا يوجد موقع كامل و خالي من الثغرات
مشكوووووووووووووووور أخي الكريم
بس بحب أضيف هنالك العديد من الثغرات اللي نستخدمها لضرب المواقع أيا كانت
و أريد أن اضيف
لا يوجد موقع كامل و خالي من الثغرات
مشكوووووووووووووووور أخي الكريم
حمودي فلسطين- مشرف
- رقم العضوية : 106
عدد المساهمات : 211
نقاط : 5739
تاريخ التسجيل : 22/12/2010
رد: سكربت Hexjector لفحص الموقع من ثغرات sql injection
من طرف مامون السبت يناير 01, 2011 6:51 pm
شكرا لك اخي الغالي
للموضوع الجميل
للموضوع الجميل
مامون- إداري
- رقم العضوية : 18
عدد المساهمات : 738
نقاط : 7709
تاريخ التسجيل : 01/11/2010
الموقع : حلب
المزاج : رايق على طول
صفحة 1 من اصل 1
صلاحيات هذا المنتدى:
لاتستطيع الرد على المواضيع في هذا المنتدى