Open top menu
أحدث التدوينات
Loading...
الاثنين، 31 أغسطس 2015
Ngrok مشاركة السيرفرات الخاصة بالنسبة للمبرمجين


يمكن تطبيق ngrok المبرمجين بصفة خاصة من مشاركة سيرفراتهم الشخصية Localhosts مع زملائهم أو مع رؤسائهم وهو من بين البرامج الجيدة في المشاريع الكبرى و التطوير في اطار مجموعة.
من مميزات البرنامج أنه أمن و سريع بالاضافة الى مجانيته وقدرته على العمل على عدة بيئات لتحميل Ngrok توجه الى الموقع الخاص بالبرنامج
بعد التحميل يرجى فك الضغط عن البرنامج و من تم الوصول الى مجلد البرنامج عبر Dos أو أي شيل تستعمله بعد دلك شغل البرنامج عبر كتابة اسمه ngrok
1NYGPj 
 و بكل بساطة نعطي الرابط للشخص الدي تريد ان تشارك معه الموقع (مثلا في الصورة https://17ac576f.ngrok.com )
اقرء المزيد
الأربعاء، 15 يوليو 2015
السبت، 11 يوليو 2015
شرح استعمال Bake الخاص ب CakePHP

شرح استعمال Bake الخاص ب CakePHP

bake محرر أكواد أوتوماتكي ل CakePHP حيث يقوم هذا الاخير (bake) بتحرير أوكواد كل من Model,Controller,View الخاص بالتطبيق باستعمال قاعدة البيانات فقط فرجة ممتعة.


اقرء المزيد
الخميس، 26 مارس 2015
كلاس WebSecur!ty للحماية من أغلب ثغرات نطبيقات الويب


كلاس WebSecur!ty للحماية كلاس مفتوح المصدر من برمجي يعطي للمبرمج القدرة على حماية تطبيقاته بشكل سريع و بسيط.
الكلاس يحتوي مجموعة من الدوال المساعدة للحماية أذكر من بينها :

 WebSecurity::UsingTor()
دالة تمكن المبرمج من معرفة ادا كان المستخدم يستعمل متصفح Tor لتصفح موقعه.
 
  WebSecurity::UsingProxy()
دالة تمكن المبرمج من معرفة ادا كان المستخدم يستعمل بروكسي لتصفح موقعه.

 WebSecurity::SQLinj()
دالة تمكن من حماية المداخل من الحقن لقواعد البيانات
  
 WebSecurity::XSS()
دالة تمكن من حماية المداخل من ثغرة XSS 

 WebSecurity::LFI()
دالة تمكن من حماية المداخل من ثغرة Local File Inclusion
 
 WebSecurity::RFI()
دالة تمكن من حماية المداخل من ثغرة Remote File Inclusion

المشروع مستضاف على Github يمكن الوصول اليه عبر الرابط أسفله :

https://github.com/AbderrahimSoubaiElidrissi/Web-Application-Security
 

اقرء المزيد
الجمعة، 23 يناير 2015
أداة Wifiphisher


اليوم لا احد لم يستخدم الشبكة اللاسلكية في حياته اليومية ، فاستخدام هذا النوع من الاتصال أصبح أكثر شهرة ويستعمل على نطاق واسع خصوصاً لما توفره هذه التقنية من سهولة الوصول وكذلك ربط أكبر عدد ممكن من الأجهزة وتغطية لمسافات طويلة. طبعا هذا الانتشار الواسع لتقنية الواي فاي تسيل لعاب الهاكرز وهناك دائم تقنيات وأساليب اختراق هذه النوع من الشبكات .اخرها هذه الأدوات هي أداة Wifiphisher .
هذه الأداة الجديدة اطلقها George Chatzisofroniou باحث امني يوناني تحت مسمى Wifiphisher . وهي اداة لاختراق الشبكات اللاسلكية، والتي تستعمل اسلوب ذكي واحتيال بطريقة جديدة بعيدة عن الأساليب النمطية التقليدية المعروفة .الأجمل ان الأداة تدمج العديد من التقنيات في مجال الاختراق وكذلك العديد من نقط الضعف في البرتوكولات المستخدمة في الشبكات .

كيف يعمل Wifiphisher ولماذا هو خطير؟
الطريقة الشائعة للإختراق الشبكات الواي فاي لوقت طويل هو الاعتماده أساسا على القاموس الذي يضم مئات الآلاف من الكلمات العشوائية واختبارها للوصول لكلمة المرور لجهاز التوجيه أو الروتر.وهذا يعرف بالهجوم "brute force" ويستغرق وقتا طويلا.
الطريقة الجديدة التي تعتمد عليها Wifiphisher هي مختلفة تماما وأكثر ذكاء. ويمكن تلخصيها في ما يلي : 
الأداة تقوم باستنساخ نقطة الوصول الخاص بك Access Point ، وتعرض النقطة الجديدة المزيفة للضحية وستكون "كالتوأم الشرير" ، بينما في نفس الوقت تقوم الأدة بتنفيد هجوم حجب الخدمة DoS على الروتر لتعطيل نقطة الإتصال الأصلية ، مما يجعل الضحية يعتقد بوجود مشاكل التوثيق والوصول للنقطة الاتصال الأصلية ،وبالتالي تقوم الأداة باجبارك بطريقة ذكية وخادعة للنقطة الاتصال المزيفة التي ستكون مشابهة تماما للأصلية (وسترسل لك كذلك الأداة صفحة وهمية للسؤال عن كلمة المرور) وبطبيعة الحال المستخدم سيكون مطمئن ولن يشعر بأي فرق بالتالي سيقوم بادخال كلمة المرور طوعا ؛وهذه الأخيرة ترسل لجهاز المهاجم.يشار كذلك إلى أن الأداة تقوم بهجوم "Deauthentication " لفصل جميع الأجهزة المتصلة بالنقطة الاتصال الأصلية ،واجبارهم للإتصال بالنقطة المزيفة .

وبمجرد الحصول على كلمة المرور الأصلية، هذه النقطة الإتصال المزيفة أو"التوأم الشرير" يمكن أن تستمر في العمل كاتصال وسيط (بين نقطة وصول الأصلية والمستخدمين الأخرين)،بمعنى ستكون متصلا بالانترنت كأنك متصل بنقطة الاتصال الأصلية !. نعم، وهذا قد يؤدي إلى سرقة كلمات السر والمعلومات وغيرها التي تمر على هذه الشبكة ،وهذا امر خطير جدا جدا .
بالتأكيد Wifiphisher  يمكن اعتبارها مزيج ذكي من الهندسة الاجتماعية (الأسلوب الأكثر شيوعا في الاختراق)، مع تطبيق بسيط يجمع العديد من التقنيات والأساليب .
تتطلب هذه الأداة كالي لينكس و2 كروت الشبكة ، واحدة منهما قادرة على الحقن. يمكنك تحميل الاداة وتجربتها ،كما يمكنك الوصول لكافة المعلومات المتعلقة بها من خلال هذا الرابط.
اقرء المزيد
مايكروسوفت تطور متصفح جديد لإطلاقه مع Windows10



تعتزم شركة مايكروسوفت إطلاق متصفح جديد للإنترنت عند توفير النسخة الرسمية من "ويندوز 10″ للمستخدمين العام المقبل، بدلاً من متصفح "إنترنت إكسبلورر”.
وقالت مصادر مطلعة على خطط التطوير بمايكروسوفت أن الشركة تعمل حالياً على تطوير المتصفح تحت الاسم الرمزي "سبارتان” Spartan، بدلاً من الإصدار 12 من متصفح "إنترنت إكسبلورر”.
وأشارت المصادر إلى المتصفح "سبارتان” سيكون شبيهاً إلى حد كبير بمتصفحي كروم وفايرفوكس، حيث سيكون خفيفاً في الاستخدام بشكل ملحوظ مقارنة بإصدارات "إنترنت إكسبلورر” السابقة، ويضم مميزات جديدة منها ميزة دعم "الإضافات”.
وينتظر أن تتخلى مايكروسوفت عن محرك التصميم "ويب كيت” WebKit، المستخدم في متصفحات متعددة مثل متصفح كروم من جوجل ومتصفح سفاري من آبل، في تطويرها للمصتفح الجديد.
وأوضحت المصادر أن المتصفح الجديد سيعتمد على محرك التصميم "ترايدنت” Trident كبديل لمحرك "ويب كيت”، وذلك بجانب محرك الجافا سكريبت المسمى Chakra، والذي بدأت مايكروسوفت في استخدامه منذ الإصدار التاسع من متصفح "إنترنت إكسبلورر”.
وأضافت المصادر، حسب تصريحات لموقع ZDNet، أن مايكروسوفت تدرس إطلاق "ويندوز 10″، خاصة نسخة الحواسب المكتبية من نظام التشغيل، بمتصفحين مثبتين مسبقاً، وهما متصفح "سبارتان” الجديد إلى جانب نسخة من الإصدار "إنترنت إكسبلورر 11″.
وألمحت أن المتصفح الجديد قد يُطلق منه نسخ أخرى مخصصة للأجهزة النقالة الذكية، مثل الحواسب اللوحية والهواتف الذكية، وأن تستخدمه مايكروسوفت فيما بعد لغزو أنظمة التشغيل المنافسة مثل أندرويد وiOS.
يذكر أن مايكروسوفت تستعد للكشف عن المزيد من مميزات نظام تشغيلها الجديد "ويندوز 10″ في 21 يناير المقبل، وهو حدث قد يشهد إزاحة الستار عن تفاصيل المتصفح الجديد.

اقرء المزيد
شريحة اتصالات جديدة خاصة بـ Whatsapp في 13 دولة عربية whatsim



أعلن مؤسس شركة “زيروموبايل” الايطالية للاتصالات منخفضة التكلفة، عن بدء تسويق شريحة الاتصالات الخاصة ببرنامج المحادث واتس آب، اعتبار من نهاية شهر يناير الجاري، في جميع الدول تحت اسم WhatSim، والتي ستكون متاحة في 13 دولة عربية من بين 150 دولة حول العالم .
وأوضح مانويل زانيلا مؤسس الشركة، أو شريحة اتصالات واتسيم WhatSim تتيح للمستخدمين إرسال واستقبال الرسائل النصية ومقاطع الصوت القصيرة بالاضافة لتبادل الصور أو الفيديو دون الحاجة للاتصال بالإنترنت عبر شبكات الاتصالات المحلية أو شبكات الواي فاي، مشيرا إلى أنها تدعم العمل مع شبكات الاتصالات المحلية الخاصة بنحو 400 شركة في 150 دولة .

شريحة واتس آب

وكشف زانيلا في معرض حديثه عن الشريحة الجديدة أنها ستباع لجميع المستخدمين المدعومين حول العالم بسعر 10 يورو مع إشتراك مجاني لمدة عام، وأنها ستكون متوفرة في الدولة العربية التالية السعودية وفلسطين والكويت والأردن ومصر وقطر وتونس والسودان والعراقوالإمارات العربية المتحدة والبحرين والمغرب وسلطنة عمان .

شريحة وات سيم

وتابع زانيلا أنه سيتم شحن رصيد الشريحة بمبلغ يبدأ من 5 يورو، وهو ما يعادل 1000 وحدة من تعريفة المحاسبة، ويصل إلى 50 يورو، والتي تعادل 10 آلاف وحدة من تعريفة المحاسبة، ويمكن للمستخدم إعادة تجديد الباقة السنوية مقابل مبلغ 10 دولارات كل عام.
وبدأت شركة “زيروموبايل” في تلقي طلبات الشراء المسبق للشريحة عبر موقعها، Whatsim.com، وأعلنت أنها ستبدأ في عملية شحن الشريحة في السادس والعشرين من فبراير المقبل لجميع المستخدمين حول العالم
اقرء المزيد
طريقة تشغيل واتساب على أجهزة الكمبيوتر

طريقة تشغيل واتساب على أجهزة الكمبيوتر


قامت شركه “واتساب” قبل قليل بالإعلان عن إمكانية استخدام برنامج الواتس أب عبر موقع الويب من خلال المتصفح الموجود على الحاسوب مثل (فايرفوكس، جوجل كروم، سفارى… الخ ) .
طريقه تفعيل برنامج  الواتس أب (What’s Up)
  • يحتاج المستخدم إلى فتح الرابط https://web.whatsapp.com من خلال متصفح جوجل كروم على جهاز الكمبيوتر.
  • قم بــ فتح واتس اب و الذهاب إلى القائمة واختار تبويب WhatsApp Web
    انقر على WhatsApp Web
  • ومن ثم مسح رمز الاستجابة السريعة QR code الموجود على شاشة الكمبيوتر.
    قم بسمح للــ QR code
  • انتظر  ربط نسخة الهاتف من واتساب مع نسخة الويب ومبروك عليك البرنامج.
    الواتس اب يعمل على الحاسوب رسميا من الشركه
  • ملحوظه: تأكد أولاً  من الحصول على النسخة رقم 2.11.498 من الواتساب حتى يتمكن من الحصول على الميزة الجديدة.
  • هذه الميزة متوفرة على “هواتف أندرويد وبلاك بيري وويندوز فون”، عذرا مستخدمي ايفون فهواتفكم غير مدعومة بسبب إحتكار نظام التشغيل من طرف شركه Apple.
اقرء المزيد
الثلاثاء، 30 ديسمبر 2014
أداة w3af لاكتشاف الثغرات


w3af هي عبارة عن أداة نستخدمها لإكتشاف الثغرات الأمنية لدي موقعنا و هي تعتبر من أقوي الأداوات المستخدمة لدي مسئولي الحماية ، كما أنها تعتبر من اهم البرامج مفتوحة المصدر و تم برمجتها عن طريق لغة بايثون .
نبدأ بفتح w3af عن طريق سطر الأوامر عن طريق كتابة اسم البرنامج ، أو Applications -> web application -> web vulanerability scanners ->w3af
w3af
ستظهر لنا الوجهة الرسومية للبرنامج ، نختار من profiles
audit_high_risk
و نضع علامة صح أمام كل من audit و ذلك لمعرفة الثغرات ، و discover لعمل خريطة للموقع و جمع المعلومات عنه
و نضع في خانة الـtarget مسار الموقع المرغوب في الكشف عنه و نضغط start  لتبدأ العملية
Hacking15_004
 Hacking15_005 - Copy
اتمنى لكم الاستفادة من هذه التدوينة ، و العمل بها دوماً في الخير
اقرء المزيد
استضافة صفحات الويب مع Google Drive ممكن !!


استضافة صفحات الويب مع Google Drive

مع  Google Drive، يمكنك جعل موارد الويب - مثل HTML، CSS، وملفات جافا سكريبت 

لاستضافة صفحة ويب مع  Google Drive :

  1. فتح  Google Drive في drive.google.com .
  2. قم بعمل مجلد جديد أدخل اليه.
  3. قم باضافة الملفات الى المجلد.
  4. انقر على زر Share في الجزء العلوي من الصفحة.
  5. انقر فوق Advanced في الزاوية اليمنى السفلى من مربع المشاركة.
  6. انقر فوق Change....
  7. اختيارOn - Public on the web، وانقر فوق Save.
  8. قبل إغلاق مربع تقاسم، نسخ ID ثيقة من URL في الحقل أدناه Link to share. معرف الوثيقة هو سلسلة من الحروف والأرقام الكبيرة والصغيرة بين خطوط مائلة في URL.
  9. قم بالدخول الى www.googledrive.com/host/ID حيث ID  هو ما قمت بنسخه في الخطوة السابقة .


الان يمكن لأي شخص عرض صفحة الويب الخاصة بك.

ملحوظة : Google Driveلا تدعم موارد الويب PHP و ASP.NET .
اقرء المزيد
الاثنين، 29 ديسمبر 2014
Turla .. فيروس حصان طروادة جديد يصيب لينكس


حسنًا، نحن لم نخدعكم أبدًا ونقل أن لينكس آمن 100% فلا يوجد شيء آمن 100%، ولكن على الأقل، قلنا لكم أنه أأمن من غيره وقد صدقنا، اليوم يا معشر اللينكساويين تم اكتشاف فيروس جديد يدعى Turla وهو من نوع حصان طروادة، المفاجئة الآن هي أنه يستهدف أنظمة لينكس.

الفيروس لم يتم التقاطه إلا قبل 4 شهور من قبل شركة Kaspersky Lab بصعوبة، وعند تحليله وجدوا أنه بقي مختبئًا في بعض الأنظمة غير مكشوف منذ 4 سنوات، شركة ألمانية أمنية تدعى G Data تقول بأن الفيروس روسي الأصل وتم زرعه ليستهدف بعض المنشآت الحساسة في أوروبا والولايات المتحدة الأمريكية، الفيروس في الماضي كان سببًا في استغلال عدة ثغرات على ويندوز أيضًا من نوع zero-day ، وكان يستهدف المنشآت الحيوية التابعة للدولة في أكثر من 45 بلدًا.

Turla مكتوب بكلٍ من C و ++C ويستخدم بعض المكتبات الجاهزة بالإضافة لاحتوائه على دوال تمكنه من التواصل مع خوادم بعيدة عنه، الخبراء الأمنيون لم يتمكنوا حتى الآن من معرفتها لأن "رابط الخادوم" إن صح التعبير مشفر برموز غير مفهومة، مما يجعل القيام بعملية هندسة عكسية مثلًا صعبًا للغاية، وبالتالي وحتى بعد اكتشافه، قد يمتلك الفيروس قدراتٍ خفية وغير معروفة بعد.

الفيروس يمكث مختبئًا في حاسوب الضحية لمدة سنوات، ثم يستيقظ فجأة عندما يرسل له صانعه "أرقامًا سحرية" فيُفعل نفسه ويجمع البيانات ويرسلها لصانعه، الفيروس قادر على تنفيذ أي أمر برمجي على حواسيب الضحية رغم أنه لا يحتاج وصولًا إلى المستخدم الجذر (مما يعني أنه هناك ثغرة غير مكتشفة في نواة لينكس تسمح بتنفيذ الأوامر دون الحاجة للحصول على التصريحات).

طبعًا، الأمر لا يشكل خطرًا عليك كمستخدم عادي، فهذه فيروسات طورتها دول عظمى وبالتأكيد بضع مبرمجين في نواة لينكس لن يتمكنوا من تحصين شفرتهم البرمجية ضد هذا النوع من الهجمات وبالتأكيد أيضًا فالفيروس لن يبذل جهدًا في استهدافك، هذا لا ينفي بتاتًا أن لينكس أأمن من ويندوز، ففيروس واحد أو عشرة أو مئة يظل أفضل من الملايين في ويندوز وماك.
اقرء المزيد
تعرّف على نظام التشغيل ReactOS



إن كنتَ تظن أنه هناك 3 أنظمة فقط بالوجود مثل ويندوز وماك ولينكس، فأنت مخطئ يا عزيزي لأنه توجد العشرات من الأنظمة المنتشرة حول العالم، مثل BSD و Haiku وغيرها.. ولكننا اليوم سنتحدث عن واحد من هذه الأنظمة ألا وهو ReactOS.

ReactOS هو عبارة عن نظام تشغيل مجاني ومفتوح المصدر، يتميز النظام بقدرته العالية على تشغيل التطبيقات والتعريفات المتوافقة مع أنظمة Microsoft Windows NT, أي يمكن أن تقول انه نظام تشغيل مفتوح المصدر لتشغيل تطبيقات ويندوز، النظام ليس مبنيًا على لينكس ولا يعتمد فلسفة يونكس وليس له علاقة بهما، بل هو نظام تشغيل مختلف بالمرّة، يُشغل ReactOS التطبيقات والتعريفات التي تعمل على أنظمة NT4, 2000, XP, 2003, 7, 2012 من Microsoft.

ReactOS يستخدم بضع الأجزاء من Wine لتشغيل بعض التطبيقات، ولكن معظم الأجزاء تم كتابتها بواسطة فريق التطوير، المشروع بدء في 1998 كمحاولة لإنشاء نظام مثيل لويندوز 95 ولكن يكون مفتوح المصدر، وهو مستمر منذ ذاك اليوم ولديه مجتمع كبير من المستخدمين، النظام يدعم بشكل جزئي معمارية AMD64 و ARM، ومازال العمل جاريًا لدعم المزيد من المعماريات، هذا بجانب معماريات 32 بت بالطبع.

ReactOS مايزال في مرحلة الألفا ولم يتم إطلاق الإصدار النهائي بعد، آخر إصدار تم إطلاقه هو 0.3.17 ويمكنك تحميله عن طريق الرابط التالي: http://www.reactos.org/download

للمزيد من المعلومات، زرّ صفحة النظام على ويكيبيديا والموقع الرسمي.
اقرء المزيد
السبت، 29 نوفمبر 2014
كيفية إصلاح الكتابة باللغة العربية في Photoshop CC


عند تحميل وفتح النسخة الأخيرة من البرنامج الشهير “فوتوشوب” Photoshop CC والمختص في معالجة وتعديل الصور، قد تواجه مشكلة عند الكتابة باللغة العربية، وهي ظهور الأحرف مقطعة وبمسار عكسي من اليسار إلى اليمين، مثال: (اً.ب.ح.ر.م) من كلمة مرحباً، حيث مازالت اللغة العربية غير مدعومة بشكلٍ كامل في البرنامج.
إن كنت قد واجهت ماسبق في نسخة Photoshop CC المخصصة لنظام ماك، اتبع الطريقة الموضحة في الصورة أعلاه والخطوات التالية:
  • بعد فتح البرنامج، تواجه بالذهاب إلى قائمة Edition ثم Preferences، ثم انقر على Texte.
  • من خيارات Choose Text Engine Options، قم بتفعيل Middle Eastern and South Asian.
  • ثم انقر على OK.
قم بإعادة تشغيل البرنامج بعد إتمام الخطوات، ثم قم بتجربة الكتابة باللغة العربية وستلاحظ أن الكتابة تعمل بشكلٍ صحيح دون مشاكل أو تقطيع كما كان يحدث سابقاً.
اقرء المزيد
الجمعة، 28 نوفمبر 2014
الاثنين، 24 نوفمبر 2014
ثغرة تزوير المحتوى فى تطبيقات الويب content spoofing



ثغرة content spoofing :
هى ثغرة تمكنك من اضافة او تعديل المحتوى لموقع ما وبالتالى عرض معلومات مزورة للمستخدم تكون لصالح المهاجم وتضر بسمعة الموقع او الشركة . يطلق ايضا على هذه الثغرة اسم اخر وهو “حقن المحتوى”  content injection
شرح الثغرة :
لنفترض ان  موقع isecur1ty.com  يعرض صفحة لتقييم العملاء للدورات المدفوعة من خلال الرابط التالى :
http://isecur1ty.com/courses.php?id=12&rev=buy%20now%20to%20enjoy%20the%20best%20course%20ever
id=12 هذا البارمتر الخاص برقم الكورس
rev=buy%20now%20to%20enjoy%20the%20best%20course%20ever
البارمتر rev هو الخاص بعرض رأى العملاء فى هذا الكورس .
c4
كما ترى يوصى العملاء بشراء هذا الكورس لأنه الأفضل فى هذا المجال !!
ماذا لو كان البارمتر rev يسمح لنا بالتعديل على قيمته ؟ ربما يكون الموقع مصاب بثغرة content spoofing!!
نقوم بتغيير قيمة البارمتر rev ليصبح :
rev=it is not good so don’t buy it
يعنى ان العملاء ترى ان هذا الكورس ليس جيدا وتوصى العملاء بعدم شراءه
ويكون الرابط بهذا الشكل :
http://isecur1ty.com/courses.php?id=12&rev=it%20is%20not%20good%20so%20don%27t%20buy%20it
الأن  لنرى هل سيتم حقن الجملة فى محتوى الموقع ؟
c5
تم تزوير المحتوى بنجاح وتأكدنا ان الموقع مصاب بالثغرة
ماذا لو ارسلنا هذا الرابط الى كل زوار الموقع ؟ بالطبع سيمثل خسارة اقتصادية كبيرة للشركة فنحن زورنا رأى العملاء بخصوص هذا الكورس  !!
خطورتها :
لا يمكن وصف هذه الثغرة بأنها من الثغرات الخطيرة فهى ثغرة قليلة الخطورة تمكنك من حقن جمل نصية فى الموقع وعرضها لزوار الموقع . تزداد خطورة هذه الثغرة على حسب مكان اكتشفاها فى الموقع المصاب وايضا عندما يتم دمجها مع ثغرة اخرى .
احيانا يشكل حقن النصوص خطر كبير وخاصة فى مواقع التسوق حيث يستطيع المهاجم من حقن معلومات خاطئة عن المنتجات او توصيات بعدم شراء هذا المنتج مما يؤدى الى خسارة اقتصادية للموقع.
ايضا تكون هذه الثغرة خطيرة عندما تستخدم مع الهندسة الإجتماعية حيث يستطيع المهاجم التلاعب بالضحية الذى يثق كثيرا فى الموقع المصاب حيب يستطيع المهاجم حقن رابط خبيث فى الموقع المصاب وبالتالى اختراق حساب الضحية .تخيل القيام بهذا الهجوم ضد عدد كبير من مستخدمين الموقع عن طريق ارسال الرابط المصاب الى بريد الضحية . بالطبع لن يتردد الضحية فى الدخول على الرابط لأن مصدر الرابط هو الموقع الحقيقى والذى يضع الضحية ثقته فيه !!
احد استخدامات هذه الثغرة هو الإستعراض بأختراق نصى للموقع مثلا : website hacked by mahmoud
اسباب حدوثها :
تحدث هذه الثغرة عندما يسمح الموقع المصاب للمستخدم بتغيير قيمة البارمتر ولا يقوم الموقع بالتحقق من  هذه القيمة والتى يجعلها تظهر فى محتوى الموقع .
يجب على الموقع ان يقوم بفلترة كل المدخلات ولا يثق ابدا فى المستخدم لأن هذا المستخدم قد يكون هو المهاجم!!
كيفية اكتشاف الثغرة :
طريقة 1 :
  1. اجمع كل البارمترز الموجودة فى الروابط للموقع المستهدف
  2. قم بالتعديل على قيمة البارمتر بإضافة نصوص مثلا : “isecur1ty “
  3. لو ظهرت النصوص “isecur1ty ” فى محتوى الموقع اذن فالموقع مصاب بثغرة content spoofing
طريقة 2 :
  1. ابحث عن  اى بارمتر قيمته تظهر بشكل مباشر فى محتوى الموقع كما بالصورة التالية
c1قيمة البارمتر user تظهر بشكل مباشر فى محتوى الصفحة اذن هناك امكانية للتعديل على البارمتر وبالتالى محتوى الصفحة
2.  قم بالتعديل على قيمة البارمتر مثل الطريقة الأولى ولاحظ ظهور النصوص فى محتوى الموقع
كيفية الإستغلال :
عن طريق اضافة محتوى مزيف وارسال الرابط الى عدد كبير من الضحايا .محتوى مزيف مثل :
web site down ! come back later
وبالتالى سيخسر الموقع الكثير من الزيارات
او مثلا محتوى اخر اكثر خطرا على المستخدم عن طريق اضافة رابط خبيث فى محتوى الموقع مثل :
web site is transferring to new domain www.attacker.com
وسيدخل المستخدم بحسن نية اللى الرابط الخبيث مما يتيح للمهاجم سرقة الحساب
تطبيق الثغرة على موقع مشهور :
سنطبق هذه الثغرة على الموقع الروسى الشهير yandex
نذهب الى الرابط المصاب : لاحظ الصورة التالية
c2

البارمتر المصاب هو ReleasesType=
والذى يسمح للمهاجم بالتعديل على قيمته دون التحقق من هذه القيمة !
نقوم بالتعديل على البارمتر والنتيجة هى :
c3

الحماية من الثغرة :
لحماية الموقع :
  1. التحقق من  كل المدخلات
  2. فلترة اى قيمة تأتى من جانب المستخدم
  3. الإعتماد على POST parameter كلما يكون ذلك متاحا
لحماية المستخدم :
  1. لا تضغط على الروابط التى تأتى من ايميلات مجهولة او من خلال مواقع التواصل الإجتماعى
  2. دائما تحقق من مصدر الرابط وانها قادم من الموقع الصحيح مثلا site.com وليس sitee.com او s1te.com
  3. تحقق من الرابط بشكل كلى او استخدم اضافات تتحقق من الروابط بشكل اوتوماتيكى !
اقرء المزيد
الأربعاء، 12 نوفمبر 2014
مايكروسوفت تفتح مصدر .NET وتتيحها علىLinux و Mac


اقدمت شركة مايكروسوفت على خطوه رائعه، وذلك بإعلانها عن فتح مصدر منصتها الشهيرة “دوت نِت” NET.واتاحتها على نظامي “لينوكس” و “أو إس إكس”، كما اعلنت ايضا عن اتاحة منصة Visual Studio Community 2013 مجانًا لجميع المستخدمين..

وذكرت الشركة ان حوالي 6 ملايين مطور يستخدمون المنصه لتطوير البرامج والتطبيقات، وترى الشركة ان توفير المنصة للمطورين على انظمة التشغيل الاخرى يساهم في انتشارها، ويشجع المطورين من مستخدمي نظام لينوكس ونظام ماك.

كما اعلنت الشركة عن توفير نسخة المعاينة التجريبية من برنامج التطوير Visual Studio 2015، وكذلك نسخة للمعاينة من ن NET 2015. متوفّران للتحميل من موقع الشركة.
اقرء المزيد
TypeScript البديل المستقبلي و الامن ل Javascript



هي لغة برمجة مجانية ومفتوحة المصدر وتطوير المحافظة من قبل Microsoft. 
هو مجموعة شاملة للجافا سكريبت، بالضافة اللى الكتابة ثابتة مع اختيارية class-based و object-oriented
أندرس هيلسبرغ، المهندس الرئيسي لC # وخالق توربو باسكال ودلفي، هو المسؤول عن  تطوير TypeScript .

تم تصميم TypeScript  لتطبيق واسع وتطور عبر الترجمة إلى جافا سكريبت. كما ان TypeScript  هي مجموعة شاملة من جافا سكريبت، أي والبرامج الموجودة حاليا هي برامج جافا سكريبت و TypeScript .

نسخة TypeScript  يمكن أن يدعم  header files التي تحتوي على كل انوع  مكتبات جافا سكريبت الحالية،.
 هناك header files طرف ثالث للمكتبات شعبية مثل مسج، مونغو دي بي، نود.جي إس، وD3.js.
الترخيص

TypeScript   مرخص تحت رخصة أباتشي 2.

خصائص
http://upload.wikimedia.org/wikipedia/commons/thumb/a/a6/TypeScript_Logo.png/220px-TypeScript_Logo.png
Paradigm(s)Multi-paradigmscriptingobject-orientedstructuredimperative,functional
Designed byMicrosoft
DeveloperMicrosoft
Appeared in2012
Stable release1.0.1 / May 13, 2014; 5 months ago
Preview release0.9.5 / 5 December 2013; 10 months ago
Influenced byJavaScriptJavaC#
InfluencedAtScript
PlatformCross-platform
LicenseApache License 2.0
Filename extension(s).ts
Websitewww.typescriptlang.org
اقرء المزيد
الأربعاء، 22 أكتوبر 2014
API هل تعلم ماهي وما الهدف منها ؟؟


واجهة برمجة التطبيقات (بالإنجليزية: Application Programming Interface وتختصر إلى API) هي مجموعة من ، وهياكل البيانات ,data algorithm object classes، أو البروتوكولات التي تقدمها المكتبات أو نظام تشغيل الخدمات لدعم بناء البرامج.هناك نوعان منها:

  • احدهما يعتمد على لغة البرمجة ؛ بمعنى انه متاحُُ فقط في لغة برمجة معينة، ويقوم على استخدام syntax وعناصر هذه اللغة لجعله ملائما للاستخدام في هذا السياق.
  • و الأخرى مستقلة عن اللغة وهذا يعنى انها مكتوبة بطريقة تتيح لها ان تستخدم في العديد من لغات البرمجة (عادةً an assembly/C-level interface) وهذا النمط مطلوب في أنواع الواجهات البرمجية API المستخدمة في service غير المرتبطة بعملية معينة process، أو نظام تشغيل وعادة ما تكون متاحة كروتين منفصل.



مثال عن النوع الثاني هو على سبيل المثال ،الموقع الذي يعرض أماكن تواجد المطاعم في مكان ما يتيح للمستخدم بوضع مجموعة معلومات اضافية على نفس خريطة الموقع التي جلبت من خرائط جوجل (Google Maps)، وذلك بسبب ان خرائط جوجل تحتوي على هذا النوع والذي يسمح بعمل هذا الشيء.واجهة برمجة التطبيقات الخاصة بخرائط جوجل تتحكم بماهية المعلومات التي يمكن للمستخدم استغلالها وما الذي يستطيع ان يعمل بهاوكذلك ليس على الخرائط الخاصة لجوجل فقط بل انها تستخدم في العديد من المهام الاخرى مثل ربطها بموقع الكترونى لاتاحة فرصة عملية الشراء من خلال الموقع بالفيزا او كروت الــ ATM.
اقرء المزيد
الاشتراك في: التعليقات (Atom)