هناك مقولة معروفة مفادها أنه قبل أن تحكم على شخص ما ، يجب عليك دائمًا "السير لمسافة ميل بإستخدام حذائه". لا يمكنك الحصول على الصورة الكاملة لشخص ما دون أن تعيش أولاً كما يفعل وفهم ما يدور في رأسه.
في المؤسسات في جميع أنحاء العالم ، هناك دافع كبير لتكون “أكثر وعياً بالأمان” ، وهو جزء مهم من وظائفنا. حيث لدينا مهمة كبيرة في التأكد من أن تطبيقاتنا وأنظمتنا آمنة من أي تهديد قد يحدث لنا. ولكن هناك جانب آخر ليكون جيدًا في الدفاع عن تطبيقاتك وأنظمتك. يحتاج أيضًا أولئك الذين يتعاملون مع الأمن إلى “السير لمسافة ميل بإستخدام أحذية الأشخاص الآخرين” – ولكن في حالتنا ، يتعلق الأمر بفهم جانب المهاجمين ليس حتى نتمكن من التعاطف معهم ، ولكن حتى نتمكن من تقليل المخاطر التي تشكلها طلباتنا إلى الحد الأدنى منها.
لماذا تحتاج إلى تعلم كيفية اختراق التطبيقات؟ نظرًا لأنك أنت المطور والمدافع ، فإنك ترى بطرق مختلفة تمامًا تطبيقاتك عن المتسللين. بدون ممارسة مهارات القرصنة ، فأنت تلعب لعبة من جانب واحد فقط من خلال لعب الدفاع ضد المهاجمين. من المهم أن تتصرف مثل المهاجمين على أنظمتك الخاصة. عليك مهاجمة كل من تطبيقات الويب العامة والخاصة من وجهة نظر المتسلل. حيث عليك ممارسة التسلل إلى التطبيقات من خلال SQLi و XSS و CSRF ، وغيرها من أساليب المتسللين للهجوم السيبراني ، التي تستمر في النمو، عاماً بعد عام. لا يمكنك معرفة التهديدات الحقيقية التي تتعرض لها تطبيقاتك حتى تهاجمها بنفسك.
ومع ذلك ، نقدم لك قائمة أخرى لأفضل مواقع القرصنة والمشاريع القابلة للتنزيل المتوفرة على الويب ، حيث يمكنك ممارسة مهارات القرصنة بشكل قانوني. يقدم البعض دروسًا تعليمية أو تمريرات لمساعدتك في حالة التعثر ، والبعض الآخر يتميز بأسلوب أفضل في التصميم. تقدم كل هذه المواقع شيئًا لك كمطور حول المنطور الذي تحصل عليه بإستخدام عقلية المهاجم عند محاولة اختراق التطبيق. إستمتع!
وأيضًا أصبح تعلم الأمن السيبراني ضرورة لمجرد تصفح الإنترنت اليوم ، وهناك العشرات من الطرق للتعلم. سواء كنت تتطلع إلى تأمين نفسك ، أو تعلم القرصنة أو الحصول على وظيفة في صناعة الأمن السيبراني، فإليك قائمة المواقع الإلكترونية المجانية لتعلم القرصنة بشكل قانوني أدناه!
1. Google Gruyere
Google Gruyere هو بوابة دخول عملاق الويب إلى عالم القرصنة. الموقع مليء بالثقوب ويستخدم كود “cheesy” ، ومن هنا جاء اسمه من الجبن. حتى أن الموقع يستخدم مظهر الجبن!
بمجرد أن تكون جاهزًا للبدء ، سيمنحك Google Gruyere بعض التحديات التي يتعين عليك القيام بها. يتميز Google Gruyere بالكود الضعيف عمداً لتتمكن من استغلاله. تبرز المشاكل في هذه المناطق الضعيفة ويعطيك مهمة للقيام بها. على سبيل المثال ، أحد التحديات هو إدخال مربعات تنبيه HTML في ميزة مقتطفات موقع الويب ، والتي تنطلق عندما يقوم المستخدم بتحميل الصفحة.
إذا واجهت مشكلة في كيفية إكمال التحدي ، فلا تقلق. تأتي كل مهمة مع بعض التلميحات للمساعدة في حثك في الاتجاه الصحيح. إذا لم تساعد هذه العناصر ، فيمكنك مشاهدة الحل وتنفيذه بنفسك للتعرف على كيفية عمل الاستغلال.
2. HackThis
لا تدعوك العديد من مواقع الويب بنشاط إلى اختراقها في عناوينها ، ولكن HackThis هو استثناء واحد. بالطبع ، لن تقوم باختراق موقع الويب الفعلي ، لكنه يمنحك تحديات لتجربة متعة الإختراق.
لدى HackThis مجموعة واسعة من التحديات في فئات مختلفة ، لذلك أنت ملزم بالبحث عن شيء لاختباره. هناك تحديات أساسية وتحديات صعبة يجب تجربتها اعتمادًا على مستوى مهاراتك. إذا كنت ترغب في محاولة إختراق كود CAPTCHA البسيطة ، فهناك شريحة كاملة لذلك.
حتى أن هناك فئة “حقيقية” تتضمن سيناريوهات خيالية ممتعة حيث تقوم باختراق موقع ويب لأحد العملاء.
أفضل جزء عن HackThis هي التلميحات. يحتوي كل لغز على صفحة تلميحات مخصصة حيث يمكنك التحدث إلى أعضاء المنتدى ومناقشة أين أنت على خطأ. لن يمنحك الأعضاء أبدًا الحل حتى تتمكن من اكتشاف ذلك بنفسك دون المخربين.
3. bWAPP
على الرغم من أن اختراق مواقع الويب مفيد ، فهناك بعض الأخطاء والاستغلالات التي لا يمكن تغطيتها. على سبيل المثال ، لا يمكن أن تستضيف هذه المواقع التحديات التي تنطوي على إغلاق موقع الويب ؛ إذا فعلوا ذلك ، فلن يحصل أي شخص آخر على موقع بعد ذلك!
على هذا النحو ، من الأفضل أن تقوم بهجمات أكثر تدميراً على خادم مستضاف ذاتيًا ، لذلك لن تلحق الضرر بمواقع الآخرين. إذا كنت مهتمًا بمجال القرصنة ، فجرب تطبيق buggy web (bWAPP).
القوة الرئيسية لـ bWAPP هو العدد الهائل من الأخطاء. يضم أكثر من 100 منهم ، بدءًا من نقاط الضعف في رفض الخدمة المباشرة (DDoS) إلى نقاط الضعف في Heartbleed إلى HTML5 ClickJacking. إذا كنت تريد التعرف على ثغرة أمنية محددة ، فهناك فرصة جيدة لتطبيق bWAPP.
عندما تريد منحه لقطة ، قم بتنزيله وتشغيلها على النظام المستهدف. بمجرد تشغيله ، يمكنك شن هجمات عليه دون القلق بشأن إزعاج مشرفي المواقع.
تنزيل: bWAPP (مجاني)
4. overTheWire
يحتوي OverTheWire على مناورات حربية و warzones لجلسات اختراق أكثر تقدماً. المناورات هي سيناريوهات فريدة للتسلل ، وعادةً ما تحتوي على القليل من القصة لإضفاء المزيد من الحيوية على الأشياء. يمكن أن تكون Wargames حدثًا تنافسيًا بين المتسللين ، إما على أساس سباق أو بمهاجمة خوادم بعضهم البعض.
في حين أن هذا قد يبدو معقدًا ومخيفًا ، فلا تقلق. لا يزال موقع الويب يتميز بدروس تتراوح من الأساسيات إلى الحيل الأكثر تقدماً. لا يتطلب الأمر استخدام اتصال Secure Shell (SSH) ، لذا تأكد من معرفة SSH إذا كنت تريد تجربة OverTheWire. لحسن الحظ ، هناك طرق سهلة لإعداد SSH في Windows ، لذلك يجب ألا تكون عقبة كبيرة جدًا.
يحتوي OverTheWire على ثلاثة استخدامات أساسية. أولاً ، يمكنك اللعب من خلال الألعاب الصغيرة بصعوبة متزايدة لتعلم كيفية الاختراق. بمجرد اكتسابك بعض المهارات ، يمكنك تنزيل المناورات باستخدام قصص خلفية فريدة لتجربة أكثر متعةً.
هناك أيضًا warzone ، وهي شبكة حصرية مصممة للعمل تمامًا مثل الإنترنت IPV4. يمكن للأشخاص وضع أجهزة قابلة للاختراق على هذه الشبكة ، ويمكن للآخرين استخدامها لممارسة مهارات القرصنة لديهم.
في وقت كتابة هذا التقرير ، كان هناك تمرين يتكرر عندما قام كيفين ميتنيك باختراق خبير الكمبيوتر تسوتومو شيمومورا في عام 1995. الآن يمكنك وضع نفسك في مكان ميتنيك ومعرفة ما إذا كان يمكنك كسر الأمان بنفسك!
5. Hack This Site
هناك موقع ويب آخر يدعوك بشدة لاختراقه ، Hack This Site هو مورد تعليمي رائع. يمتد من الدروس الموجهة للمبتدئين إلى استضافة خط هاتف مخصص لهجمات الهاتف.
تحتوي بعض المهام على قصة صغيرة لإطلاعك على الدروس. على سبيل المثال ، سيتحول الأشخاص في الدورة التدريبية الأساسية إلى أخمص القدمين باستخدام Network Security Sam. سام رجل نسيان يصر على تخزين كلمة المرور الخاصة به على موقع الويب ، لذلك لن ينسى ذلك أبدًا. في كل مرة تقوم فيها بتجاوز أمانه واكتشاف كلمة المرور الخاصة به ، يضيف مزيدًا من الأمان إلى موقعه على الويب.
التدريبات “الواقعية” ممتعة أيضًا. هذه مواقع ويب مزيفة تم إعدادها لتتمكن من اختراقها مع وضع هدف محدد في الاعتبار. ربما تقوم بتزوير نظام التصويت للحصول على سوار في أعلى القائمة ، أو التراجع عن عمل الأشخاص الحاقدين الذين اخترقوا موقع قصيدة السلام.
كل لغز يأتي مع موضوع مخصص في المنتديات حيث يمكنك الحصول على المساعدة. كانت المشاكل والمناقشات موجودة منذ فترة طويلة ، وقد نشر المستخدمون الكثير من الموارد المفيدة. مرة أخرى ، لن يخبرك أحد تمامًا عن حل كل تحد ، لذلك لا داعي للقلق بشأن المفسدين. إذا كنت على استعداد لإجراء بعض الأبحاث ، فستجد تلميحاتها ونصائحها أكثر من كافية لحل اللغز الخاص بك.
هل نشجع هذه المواقع على القرصنة غير القانونية؟
أثناء تصفحك لهذه المواقع ، قد تدرك أن الأشخاص الضارين يمكنهم استخدام نفس هذه المهارات من أجل الشر. بعض البعثات “الواقعية” قد اقتحمت نظامًا للمكتبات أو موقعًا لتصنيف النطاقات ، على سبيل المثال. من السهل افتراض أن هذه المواقع تُدرب الناس على أن يكونوا عملاء شريرين.
الحقيقة هي أنه إذا لم تكن هذه المواقع موجودة ، فإن المتسللين الشائنين سيظلون يحصلون على مواردهم على الشبكة المظلمة. وفي الوقت نفسه ، فإن مطوري المواقع – الأشخاص الذين يحتاجون إلى تعلم أساليب القرصنة أكثر – لن يكون لديهم أي مكان قانوني لتعلم واختبار تقنيات القرصنة هذه.
سيقوم المطورون بارتكاب الأخطاء نفسها مرارًا وتكرارًا ، في حين أن المتسللين سيستفيدون منها باستخدام الويب المظلم لنشر الموارد والبرامج التعليمية.
على هذا النحو ، من خلال جعل هذه المعلومات عامة ، فإنها تمنح مطوري الويب الممارسة التي يحتاجونها لتأمين مواقعهم على الويب. في عالم مثالي ، سيتعلم جميع مصممي الويب كيفية حماية مواقع الويب الخاصة بهم بهذه الطريقة ، مما يمنع العوامل الضارة من استخدام هذه المعرفة من أجل الشر.
تعلم كيفية الاختراق
إذا كنت تريد معرفة كيفية الاختراق ، فلا توجد طريقة أفضل من القيام ببعض عمليات القرصنة بنفسك. لحسن الحظ ، لا تحتاج إلى استهداف موقع الويب الخاص بمصفف الشعر المحلي ؛ جرِّب هذه المواقع الإلكترونية للتطفل القانوني بدلاً من ذلك.
إذا كنت ترغب في الارتقاء بمهاراتك إلى أبعد من ذلك ، فلماذا لا تجرّب فصلًا دراسيًا عن الاختراق عبر الإنترنت؟
