أقسام الوصول السريع (مربع البحث)

0

ما هي أداة ffuf وفيما تستخدم

Tareq Shadow Tareq Shadow

 السلام عليكم متابعين قناة ومدونة Shadow Hacker شادو هكر في هذا المقال سوف نتعرف على الأداة رائعة ffuf والتي تحمل العديد من المميزات والخصائص المهمه مثل تخمين مسارات الموقع او تجاوز OTP او تقدر تخمن فيها parameters والعديد من الأشياء المفيدة لذا سيكون موضوعنا اليوم عن شرح أهم الأور حول أداة ffuf وطريقة تثبيتها وأستخدامها.


ما هي أداة ffuf وفيما تستخدم

ffuf هي أداة مفتوحة المصدر (Open Source) تستخدم في إجراء هجمات تخمين على الخوادم والتطبيقات عبر الويب. اسم "ffuf" يشير إلى "فزعة فزعة، يونيفرسال فيزكينغ" (Fast, UnFuzz, Universal Fuzzer). تم تصميم ffuf خصيصًا لتنفيذ هجمات تخمين الدخول (Brute Force Attacks) واكتشاف الأماكن الفارغة (Discovery of Missing Files/Directories) في تطبيقات الويب.

تعتمد ffuf على تقنية التخمين (Fuzzing)، حيث يقوم بتجربة مجموعة من القيم المحتملة لمعلمة معينة في URL أو بيانات POST لاكتشاف أماكن ضعف أمان التطبيق. يمكن استخدامها أيضًا لتخمين ملفات ودلائل على الخوادم.

الاستخدام الأساسي لـ ffuf هو في أمان المعلومات واختبار التطبيقات، ويمكن أن يكون أداة فعالة للمخترقين الأخلاقيين وأمن المعلومات لتحديد نقاط الضعف في تكوين الخوادم وتطبيقات الويب.

ما هي مميزات أداة ffuf

أداة ffuf تتميز بعدة ميزات تجعلها فعالة في تنفيذ هجمات تخمين واكتشاف الأماكن الفارغة في تطبيقات الويب. إليك بعض من مميزاتها:

  1. سرعة عالية (Fast): كما يوحي اسمها "فزعة فزعة، يونيفرسال فيزكينغ"، فإن ffuf مصممة لتكون سريعة في تنفيذ الهجمات. تتيح هذه السرعة التحقق السريع من قائمة كبيرة من القيم المحتملة.

  2. قابلية التكوين الشاملة (Universal Fuzzer): ffuf متعددة الاستخدامات ويمكن تكوينها لتنفيذ هجمات تخمين على مختلف الجوانب في تطبيقات الويب، بما في ذلك تخمين الدخول واكتشاف الأماكن الفارغة.

  3. دعم توجيه الاستفسارات (Request Smuggling Support): ffuf تدعم توجيه الاستفسارات (request smuggling)، مما يجعلها قادرة على اختبار الضعف في تطبيقات الويب التي قد تكون عرضة لهذا النوع من الهجمات.

  4. تواجد متقدم للبروكسي (Advanced Proxying): يمكن لـ ffuf التكامل بسهولة مع بروكسيات للتحكم في حركة المرور وتسجيل الطلبات والاستجابات، مما يسهل فحص النتائج وتحليلها.

  5. دعم الاستجابات المخصصة (Customizable Output Formats): يمكن للمستخدم تخصيص تنسيقات الإخراج حسب احتياجاته، مما يتيح له تحليل النتائج بشكل أسهل.

  6. التعامل مع التوزيع (Concurrency and Distributed Mode): يدعم ffuf وضع التوزيع (Distributed Mode)، الذي يسمح بتنفيذ الهجمات بشكل متوازي على مصادر متعددة لتحسين الكفاءة.

  7. تنقيح قائمة الكلمات (Smart Filtering of Wordlists): تتيح ffuf تصفية قائمة الكلمات بحيث يتم استخدام الكلمات الفعالة بشكل أفضل، مما يقلل من الضغط على الخوادم ويسرع عملية التخمين.

 

كيف يتم استخدام ffuf تخمن فيها parameters


استخدام أداة ffuf لتخمين المعلمات (parameters) في عناوين URL يتطلب تحديد المعلمة المستهدفة وتوفير قائمة بالقيم المحتملة لتلك المعلمة. فيما يلي مثال بسيط لكيفية استخدام ffuf لهذا الغرض:

  1. تحديد المعلمة المستهدفة: قم بتحديد المعلمة التي تريد تخمينها في عنوان URL. على سبيل المثال، إذا كان لديك عنوان URL مثل http://example.com/?param=value، يكون المعلمة المستهدفة هي param.

  2. إعداد ملف الكلمات (Wordlist): قم بإعداد ملف يحتوي على القيم المحتملة التي قد تأخذها المعلمة. يمكنك إنشاء ملف نصي (مثل wordlist.txt) وتضمين القيم الممكنة فيه، مثل:

    value1
value2
test
...

  3. تشغيل ffuf: استخدم ffuf مع الخيارات المناسبة لتنفيذ هجوم التخمين. فيما يلي أمر ffuf الأساسي:

    ffuf -u "http://example.com/?param=FUZZ" -w wordlist.txt

    حيث:

    • -u تحدد عنوان URL مع مكان المعلمة يتم استبداله بـ FUZZ.
    • -w تحدد ملف الكلمات (Wordlist) الذي يحتوي على القيم المحتملة.

    يقوم ffuf بتنفيذ الهجوم عن طريق استبدال FUZZ بكل قيمة من ملف الكلمات وفحص الاستجابات للعثور على قيم صحيحة.

  4. تحليل النتائج: ffuf سيعرض النتائج على الشاشة، ويمكنك تحليلها للعثور على القيم الصحيحة التي تم العثور عليها خلال هجوم التخمين.

طريقة تحميل وتثبيت ffuf على كالي لينكس والويندوز

لتحميل وتثبيت أداة ffuf على نظامي التشغيل Kali Linux وWindows، يمكنك اتباع الخطوات التالية:

على Kali Linux:

  1. فتح الطرفية (Terminal): افتح نافذة الطرفية على Kali Linux.

  2. تثبيت Git (إذا لم يكن مثبتًا):

    sudo apt update
sudo apt install git

  3. نسخ رمز المصدر (Clone Source Code):

    git clone https://github.com/ffuf/ffuf.git

  4. الانتقال إلى مجلد ffuf:

    cd ffuf

  5. تثبيت الأداة باستخدام Go:

    go get
go build

    الآن يجب أن يكون لديك النسخة المحلية من ffuf مثبتة.

على Windows:

  1. تثبيت Git:

    • قم بتحميل Git من الموقع الرسمي: https://git-scm.com/download/win
    • قم بتشغيل ملف التثبيت واتبع التعليمات على الشاشة.

  2. تثبيت Go:

    • قم بتنزيل وتثبيت Go من الموقع الرسمي: https://golang.org/dl/
    • قم بتشغيل ملف التثبيت واتبع التعليمات على الشاشة.

  3. فتح نافذة الأوامر (Command Prompt): افتح نافذة الأوامر على Windows.

  4. نسخ رمز المصدر (Clone Source Code):

    git clone https://github.com/ffuf/ffuf.git

  5. الانتقال إلى مجلد ffuf:

    cd ffuf

  6. تثبيت الأداة باستخدام Go:

    go get
go build

    الآن يجب أن يكون لديك النسخة المحلية من ffuf مثبتة.

بعد تثبيت ffuf، يمكنك تحديث المتغيرات البيئية لتشمل مجلد التثبيت، وهكذا يمكنك تشغيل ffuf من أي مكان داخل نافذة الأوامر.

Tareq Shadow
Tareq Shadow
طارق الصافي المعروف في الأوساط التقنية بلقب "Shadow Hacker"، متخصص ومهتم بشغف في مجال التقنية وأمن المعلومات. لدي خبرة واسعة في أحدث التقنيات والتهديدات الأمنية السيبرانية. على مر السنين، أحب تقديم حلول مبتكرة لحماية البيانات والأنظمة من التهديدات الرقمية المتطورة. بجانب اهتماماتي بالتقنية، احب مشاركة المعرفة مع الجميع واحب ان اكون جزءًا من الحركة العالمية التي تسعى لجعل الإنترنت مكانًا أكثر أمانًا للجميع.

مقالات قد تهمك

تعليقات