أداة Websploit لفحص مواقع الويب بحثًا عن الأدلة المخفية

في العادة ما يتم تطوير مواقع الويب web بشكل خاطئ بطرق تجعل الهاكرز بمشاهدة الدلائل التي لا يُقصد منها عادةً رؤيتها. يمكن أن تحتوي هذه الدلائل على معلومات مهمة مثل بيانات الاعتماد أو ملفات التطوير التي يمكن استخدامها لعمل هجوم ضد server. باستخدام أداة تسمى Websploit ، يمكن للهاكر فحص الأهداف لهذه الأدلة المخفية دون صعوبة.

Websploit هو إطار عمل مفتوح المصدر يستخدم لاختبارالاختراق تطبيقات وشبكات الويب. هو مكتوب في لغة البيثون ويستخدم وحدات لتنفيذ أنشطة مختلفة مثل directory scanning ، man-in-the-middles ، والهجمات اللاسلكية. في هذا البرنامج التعليمي ، سوف نستكشف directory scanning ونستخدمها للعثور على أدلة مثيرة للاهتمام على الهدف.

تحميل Websploit

نحتاج إلى تنزيل أحدث إصدار من Websploit وتثبيته قبل البدء. لحسن الحظ ، إنه موجود في سيرفرات Kali ، لذلك يمكننا تثبيته تمامًا كما هو الحال مع أي حزمة أخرى باستخدام تثبيت apt-get في الترمنال.

apt-get install websploit

الآن ، ما عليك سوى كتابة websploit في التيرمنال لبدء تشغيل بيئة العمل. تذكر Websploit يشبه بـ Metasploit لأنه يستخدم modules ، والأوامر متشابهة ، ولديه حتى شعار ترحيبي. إذا كنت بارعًا في Metasploit ، فيجب أن تشعر أنك في بيتك هنا. بمجرد تحميله ، سنرى

"wsf >" prompt.

websploit

لعرض قائمة المساعدة ، اكتب help . هذا سيعطينا قائمة بالأوامر الأساسية.

ميزة مفيدة لهذه الأداة هي القدرة على تنفيذ أوامر نظام التشغيل داخل framework بدلاً من الاضطرار إلى فتح تيرمنال منفصل. للقيام بذلك ، اكتب os متبوعًا بالأمر الذي ترغب في تشغيله ، على سبيل المثال ، whoami (لمعرفة اسم المستخدم الخاص بجلسة تسجيل الدخول الحالية) أو IP address (للاطلاع على معلومات IP address التي يستخدمها النظام).

os whoami

تأتي وظيفة Websploit الأساسية من modules التي تحتوي عليها. اكتبshow modules لعرض قائمة modules النمطية وأوصافها.

show modules

يحتوي Websploit على أربع فئات رئيسية من الوحدات: web, network, exploit, and wireless/Bluetooth. اليوم ، سوف نستخدم directory scanner، وهو أحد وحدات الويب. قبل أن نصل إلى ذلك ، نحتاج إلى تكوين بعض الأشياء.