بسم الله الرحمن الرحيم
في برامج الإفصاح عن الثغرات الأمنية (VDP)، من المهم وجود طريقة فعّالة فحص جميع نطاقات CIDR المرتبطة بالهدف لتحديد الثغرات الأمنية. في هذا المقال، سأستعرض كيفية استخدام Shodan و ChatGPT لتعداد وتحليل نطاقات CIDR لبرنامج CBRE على منصة HackerOne.
في برامج الإفصاح عن الثغرات الأمنية (VDP)، من المهم وجود طريقة فعّالة فحص جميع نطاقات CIDR المرتبطة بالهدف لتحديد الثغرات الأمنية. في هذا المقال، سأستعرض كيفية استخدام Shodan و ChatGPT لتعداد وتحليل نطاقات CIDR لبرنامج CBRE على منصة HackerOne.
الخطوة الأولى هي تحديد نطاقات CIDR للهدف. بالنسبة لبرنامج CBRE، تتوفر هذه المعلومات ضمن صفحة سياسات CBRE على HackerOne. بعد جمع نطاقات CIDR، قمت بتجميعها في ملف نصي (CDIR.txt) للمعالجة اللاحقة.
أولاً، قم بتنزيل ملف CSV الذي يحتوي على جميع نطاقات CIDR.
ثانيًا, بعد تنزيل الملف استخدم ChatGPT لتصفية إدخالات CIDR ذات الصلة وحفظها في ملف نصي.
ثالثًا, بعد حفظ نطاقات CIDR اطلب من ChatGPT كتابة سكربت لأتمتة عملية الاستطلاع.
رابعًا, سيتحقق السكربت من تقديم ملف يحتوي على قائمة CIDR ويتأكد من وجوده.
لكل نطاق CIDR، سيقوم السكربت بتشغيل بحث باستخدام Shodan وتنسيق النتائج لتشبه مخرجات Nmap، بما في ذلك عرض عناوين IP، المنافذ المفتوحة، والخدمات.
أخيرًا، سيتم حفظ النتائج في ملف نصي للمراجعة لاحقًا.
قبل تصفية الملف باستخدام ChatGPT:
بعد تصفية الملف باستخدام ChatGPT:
The script to download
Shodan هو محرك بحث يتيح لك العثور على الأجهزة والخدمات المتصلة بالإنترنت. لاستخدامه في مسح نطاقات CIDR تلقائيًا، استخدمت واجهة الأوامر الخاصة بـ Shodan.
الخطوات التالية توضح كيفية تهيئة Shodan واستخدامه لهذه المهمة:
أولاً: قم بتهيئة Shodan باستخدام مفتاح API الخاص بك:
shodan init 7jzvEG2gpehkMXRdHiVuPkWWRQRwhGBF
ثانيًا: إنشاء ملف سكريبت قابل للتنفيذ عن طريق إعطاء الأذونات:
chmod +x shodan_cidr_check.sh
الخطوات التالية توضح كيفية تهيئة Shodan واستخدامه لهذه المهمة:
أولاً: قم بتهيئة Shodan باستخدام مفتاح API الخاص بك:
shodan init 7jzvEG2gpehkMXRdHiVuPkWWRQRwhGBF
ثانيًا: إنشاء ملف سكريبت قابل للتنفيذ عن طريق إعطاء الأذونات:
chmod +x shodan_cidr_check.sh
السكريبت shodan_cidr_check.sh يأخذ قائمة نطاقات CIDR من ملف ويستخدم واجهة أوامر Shodan لمسحها وتنسيق النتائج بأسلوب يشبه Nmap.
بمجرد تشغيل السكريبت، ستحصل على قائمة بعناوين IP والمنافذ المفتوحة والخدمات، بتنسيق يشبه إخراج Nmap. يتيح هذا التنسيق سهولة رؤية .
من خلال الاستفادة من إمكانيات البحث القوية لـ Shodan ومساعدة ChatGPT في كتابة السكريبتات، يصبح عملية تعداد وتحليل نطاقات CIDR لبرامج الإفصاح عن الثغرات أسرع وأكثر كفاءة. يتيح هذا سير العمل للباحثين الأمنيين التركيز بشكل أكبر على اكتشاف الثغرات بدلاً من التركيز على جمع البيانات, كما نرى بعض المنافذ المفتوحة مثل SSH و SNMP و HTTP و HTTPS.
دمتم بحفظ الله
المرفقات
التعديل الأخير بواسطة المشرف:
