الاستطلاع السلبي | 3 | Passive Recon

[Ali-AlansariAli-Alansari is verified member.]

الله يجازيكم خير على هذا المنتدى وعلى هذه الدورات استمروا أسأل الله اني يعينكم على نشر العلم النافع .

 

[فـﭜآڞ]

السلام عليكم ورحمة الله وبركاته​

عدنا من جديد إلى السلسلة الغير خارجة عن القانون الخاصة بالهكرجية ، إن شاء الله تكونوا قد حصلتم على أكبر استفادة من الدروس الفائتة وإن شاء الله الدروس القادمة تكون أكثر وضوحا ونتفادى فيها أكبر قدر من الأخطاء.
نبدأ الدرس الرابع من الدورة، والثالث من موضوع الاستطلاع السلبي، اليوم نكمل قصة العشق الغير ممنوع مع الاستطلاع السلبي، ولكن قبل أن نبدأ، صلي على سيد الخلق وأشرف المرسلين، نبينا محمد عليه أفضل الصلاة وأتم التسليم.

نبدأ على بركة الله ..

اليوم لن نتحدث عن أدوات بقدر التحدث عن أمر بالغ الأهمية دائما يتناساه المهاجمين سواء الأخلاقيين أم غير الأخلاقيين؛ ألا وهو مصطلح في المجال يدعى"Walking an Application".
سيخرج الأستاذ المحترم "سيد حناكة" ويقول : هاه؟؟ كيف كيف ؟؟ صاحي أنت ؟؟؟ لا لا جد، صاحي ؟؟ كيف أمشي على الأبلكيشن ؟؟ احد يعطيني عصا بالله.

والله محد يحتاج العصا غيرك
مشاهدة المرفق 6011​

الآن نركز سويا ..
يجب قبل أن تبدأ بأي هجوم هو إلقاء نظرة على الهدف "عن قرب"، هذه النظرة ليست نظرة خاطفة، مش نظرة شرعية هيا، بل نظرة متعمقة على الهدف، والمثال الذي سنضربه لكم في هذا الدرس هو مثال على تطبيق ويب أو هدف على الويب واللي هو شبكة شل العربية.
-دخلنا على شبكة شل، ماذا نفعل ؟؟

مشاهدة المرفق 6012​

أولاً نبدأ بتفحص الصفحات داخل الموقع، ندخل على المواضيع، وندقق في التفاصيل.
سنلاحظ أيضا على اليسار يوجد قائمة بالأعضاء المتصلين وبألوان مختلفة.مشاهدة المرفق 6015
ماذا نستنتج من هذه المعلومة؟ .. نستنتج أن الموقع يوجد به رتب وتدرج في الوظائف، نستنتج أيضا أن هذه عبارة عن يوزرات أو أسماء مستخدمين وهي معلومة جدا مهمة، قد تستخدمها لعمل هجوم القوة الغاشمة والذي سنشرحه بالتفصيل لاحقاً.
هل تظن أن بعض هذه الملاحظات تافه ؟؟؟ بالطبع لا، أنت تسعى لجمع كل معلومة ممكنة، حتى تستخدمها استخدامات طيبة بعدين يالطيب أنت
ستجد أيضا في أقصى اليسار مكان التسجيل وتسجيل الدخول وهو أمر مهم جدا أن تعرفه وتتفحصه مشاهدة المرفق 6013
ما فائدة هذه المعلومة ؟؟ .. أنت لديك الآن معلومة جدا مهمة بإمكانك أن تستخدمها لتنفيذ مجموعة كبيرة من الهجمات والتي ذكرنا واحدة منها سابقا.
تجد أيضا علم فلسطين وهو دلالة على توجهات أصحاب الموقع مشاهدة المرفق 6014
ما فائدة هذه المعلومة؟؟ .. إذا عرفت توجهات الضحية؛ إذا بإمكانك أن تستغل هذه التوجهات، فمثلا اكتشفت أن الضحية يحب الفلوس أكثر من أمه وابوه، ماذا تفعل ؟؟ بإمكانك أن تقوم بعمل Physhing Attack وهو ما سنشرحه أيضا خلال الدورات القادمة وبالتفصيل، فمثلا ترسل له رابط ومكتوب فوق الرابط "اربح 10 مليون ريال بنقرة واحدة" طبعا لا يوجد أحد قد يقع بهذا الفخ إلا المغفلين ولكن هذ النوع من الهجمات يعتمد على ذكاءك في إقناع الضحية.
-هل هذا فقط ما ستبحث عنه؟؟ ... بالطبع لا، ابحث عن أرقام هواتف، بريد إلكتروني، حسابات تواصل اجتماعي، مواقع جغرافية، أقارب، أصدقاء حتى اسم حيوانه الأليف، لونه المفضل، وتصل في بعض الأحيان إلى معرفة تفضيلاته الجنسية!!.
أعوووذ بالله ، قسم بالله انك فاضي ياخي، الله يسترنا بس.

تحمستو لدورة الهندسة الاجتماعية ولا لسا ؟؟؟ لا! ؟؟؟ اوكي خلاص مافي دورة.

هل يقتصر الأمر على مجرد تصفح تطبيق الويب؟؟؟ بالطبع لا، سنتعمق أكثر الآن.
1 - View source : أول ما يمكنك عمله هو إظهار مصدر الصفحة أو الكود المصدري للصفحة، وهو الكود المستخدم في تصميم وهيكلة الصفحة.
-أحيانا يحتوي هذا الكود على بعض المعلومات المهمة جدا، مثل مسارات ملفات في الموقع، نطاقات فرعية أحيانا، رقم إصدار تقنية مستخدمة في الموقع وفي بعض الحالات النادرة" معلومات حساسة جدا" قد تتسبب في اختراق الموقع.
كيف ؟؟؟
يوجد شي في البرمجة يدعى Comment ، باختصار شديد جدا، هذا كود يكتب داخل الكود البرمجي ولكن يكتب بطريقة تجعل المتصفح أو الCompiler يقوم بتجاهله.
ما فائدته ؟؟؟ ... يقوم المبرمج باستخدامه عادة لتعطيل كود ومنعه من العمل أو لتسجيل ملاحظات حول الكود؛ هذه الملاحظات ستكون مفيدة جدا لك، بل أحيانا بعض المبتدئين من المبرمجين قد يقوم بعمل كومنت بكلمات مرور أو أسماء مستخدمين أو وضع معلومة حساسة قد تظهر مكان ملف مخفي أو مسار في الموقع أو حتى يتحدث عن برمجية لم يتم تحديثها بعد ويجب تحديثها في أسرع وقت، وعلى هذا تكثر الأمثلة.
لإظهار مصدر الصفحة اضغط زر الفأرة الأيمن ومن ثم ستجد الخيار في القائمة.

مثال على الكومنت في المواقع(الكومنت باللون الأخضر)
مشاهدة المرفق 6017​

طيب يوجد سؤال تكرر علي خلال الدروس السابقة، ألا وهو : يعني أنت تقول في بداية شرح الاستهداف السلبي إن الاستهداف السلبي معتمد على جمع المعلومات من بعيد دون التواصل مع الهدف، كيف الآن يكون استهداف سلبي وأنا طارح مارح شاكح ماكح في الموقع رايح جاي كأنه بيتنا ؟؟؟؟
شوف يا صديقي، إذا قرأت أي كتاب أو شاهدت أي دورة عربية كانت أو أجنبية ستجدهم يقولون أن هذا يعد استهداف سلبي وفقط يقومون بإكمال الكورس دون تبرير أو توضيح، لذلك كما قلت سابقا هذا العلم مثل البحر ولكننا نوينا أن نقوم بتجفيفه لأخواننا المسلمين، وعليه سأوضح لماذا يعد هذا الأمر استهدافا سلبيا.

أولا المعيار الأول في الاستهداف السلبي هو عدم التواصل مع الهدف بشكل مباشر ولكن، يوجد معيار آخر لا يتحدثون عنه إطلاقا؛ ألا وهو معيار الـImpact أو التأثير.
ماذا نقصد بهذا الأمر ؟؟
الأمر يعتمد على الهدف، إذا كان الهدف هو هدف يحوي الكثير من المستخدمين ولفترض مثلا موقع فيسبوك، فهذا الموقع يستخدمه الملايين من الناس ويقومون بتصفح كل صفحاته، بمعنى آخر يمكننا أن نقول أن النشاط الذي تقوم به هو نشاط اعتيادي، أو نشاط يخص المستخدم العادي وهذا هو المطلوب، في مثل هذه الأهداف لك الحرية في استخدام الهدف والتعامل معه حتى بشكل مباشر طالما أن الحراك الذي تقوم به هو حراك اعتيادي للمستخدم العادي للخدمة، ولكن لا تستطيع أن تفعل هذا في بعض المواقع التي تمتلك عدد محدود من المستخدمين، حينها سيتم اكتشافك مباشرة وتروح ورا الشمس يا حلو ... نجيبلك عيش وحلاوة بعدين ما عليك..

الخلاصة هذا الأمر يعتمد على الهدف بشكل كبير، وخذ هذه النصيحة، لا تقم بأي حراك فيه تواصل مباشر مع الضحية دون أن تتأكد من المعايير التي تحدثنا عنها إن كانت تنطبق على الهدف أم لا.
طيب في حال أنك لا تدري ؟؟
إذا لا تقم بهذه الخطوة إطلاقا ولا تتواصل بأي شكل من الأشكال حتى تجمع معلومات كافية.

قبل أن أنهي الدرس أريد أن أنوه لعدة أمور : -
1 - حتى الآن لم نقم بتطبيق عملي فعلا وهو ما أعمل عليه حاليا في ساعات الفراغ حيث سأقوم بتنزيل فيديو فيه عملية كاملة من باب التطبيق العملي بإذن الله ولكن ما زلت أعمل على بيئة الاختبار.
2 - من المهم جدا أن تبحث في موضوع الدرس بعد أن تنهي الدرس وتحاول التطبيق على ما قرأت حتى تتحصل على أكبر استفادة.
3 - الإمكانيات محدودة الآن ولكن نعمل على تطويرها بشكل مستمر فادعمونا بدعائكم ونشركم للمحتوى حتى يصل لأكبر عدد من المسلمين فنتشارك جميعا في هذا الثواب.

وهنا ينتهي درسنا، لم ننتهي بعد من قصة حبنا مع الاستطلاع السلبي، لسا في خطوبة وعقد قران وعرس وحفلة، الله المستعان.
الله يعينني عليكم ويعينكم عليا، الدرس كان نظري بزيادة ولكن كان موضوع جداً مهم.

إن أحسنت فمن الله وإن أسأت فمن نفسي والشيطان.

دمتم هكرجية​

يأخي ما شاء الله على حلاوة السرد والايفهات اللي بين السطور

واكثر شيء لفت نظري " لذلك كما قلت سابقا هذا العلم مثل البحر ولكننا نوينا أن نقوم بتجفيفه لأخواننا المسلمين، وعليه سأوضح لماذا يعد هذا الأمر استهدافا سلبيا." نظرتك للأمة كأمة اسلاميه وليس عربية فقط كما يقول أغلب من ينشر محتوى علمي باللغة العربية وكأنهم يخافون من قولها

 

[AhmedX]

الله يعطيك الف عافيه يارب