أداة أمان تطبيق الويب Skipfish

اقرأ في هذا المقال


تُعرف هذه الأداة بإسم أداة استطلاع أمان تطبيقات الويب النشطة، تعمل هذه الأداة وتقوم بعمل خريطة على وحدة التحكم الخاصة بالموقع المستهدف، تعطي هذه الأداة جميع فحوصات الأمان النشطة في المجال، كما تُنشئ هذه الأداة تقريرًا يمكن استخدامه بشكل أكبر للتقييمات الأمنية.

ما هي أداة أمان تطبيق الويب Skipfish

(Skipfish) هي أداة مجانية مفتوحة المصدر لاختبار الاختراق الآلي متاحة على (GitHub) مصممة للباحثين الأمنيين، يستخدم (Skipfish) لجمع المعلومات واختبار أمان مواقع الويب وخوادم الويب، (Skipfish) هي أسهل وأحد أفضل أدوات اختبار الاختراق، كما يوفر العديد من الأدوات المتكاملة لإجراء اختبار الاختراق على النظام المستهدف.

ميزات وعيوب أداة Skipfish

ميزات أداة Skipfish

  • (Skipfish) هي أداة استخبارات مفتوحة المصدر، يمكن أن تتبع (Skipfish) التعداد، بالإضافة إلى انها أداة آلية بالكامل ويحتوي على أكثر من 15 وحدة يمكن استخدامها لاختبار الاختراق.
  • يستخدم (Skipfish) لفحص مواقع الويب وتطبيقات الويب، كما يستخدم لفحص أنظمة إدارة المحتوى (CMS)، بالإضافة إلى أنه يمكن أن تجد (Skipfish) نقاط الضعف في (CMS)، على سبيل المثال، (WordPress)، حيث “CMS” اختصار ” Content Management System”.
  • يحتوي (Skipfish) على عدد كبير من الوحدات، مثل (metagoofil) و (wananga) وغيرها الكثير، بالإضافة إلى أداء عالي، أكثر من 500 طلب في الثانية مقابل أهداف الإنترنت سريعة الاستجابة، و 2000 طلب واكثر في الثانية على شبكات (LAN / MAN)، و 7000 طلب واكثر ضد المثيلات المحلية تمت ملاحظتها، مع وجود وحدة معالجة مركزية وشبكة وبصمة ذاكرة متواضعة للغاية. حيث “MAN” اختصار ل”Metropolitan Area Network”، و”LAN ” اختصار ل”Local area network“.
  • فحوصات أمنية جيدة التصميم، تهدف الأداة إلى تقديم نتائج دقيقة وذات مغزى، بالإضافة إلى إنشاء قائمة كلمات تلقائيًا بناءً على تحليل محتوى الموقع.
  • ميزات المسح الاحتمالي للسماح بإجراء تقييمات دورية ومحددة زمنياً للمواقع المعقدة بشكل تعسفي، بالإضافة إلى توفر القواميس المصنوعة يدويًا تغطية ممتازة وتسمح بإجراء اختبار شامل للكلمات الرئيسية والتمديد في إطار زمني معقول.
  • تُفضل التحقيقات التفاضلية المكونة من ثلاث خطوات على فحوصات التوقيع للكشف عن الثغرات الأمنية.
  • تم تصميم فحوصات الأمان المجمعة للتعامل مع المواقف الصعبة، (XSS) المخزن أو حقن (SQL) أو (XML)، بالإضافة إلى توقيعات محتوى نمط (Snort) التي ستسلط الضوء على أخطاء الخادم أو تسرب المعلومات أو تطبيقات الويب التي يحتمل أن تكون خطرة.
  • “XSS” اختصار ل “Cross-Site Scripting “.
  • “SQL” اختصار ل “Structured Query language”.
  • “XML” اختصار ل “The Extensible Markup Language”.
  • يقلل الإبلاغ عن المعالجة اللاحقة بشكل كبير من الضوضاء التي تسببها أي نتائج إيجابية زائفة متبقية أو حيل الخادم من خلال تحديد الأنماط المتكررة.

عيوب أداة SkipFish

  • عند تشغيل أداة (SkipFish) ، يمكن إعطاء ملفات تعريف الارتباط للجلسة كمعامل حتى يتمكن المستخدم من اختبار تطبيق الويب من خلال جلسة مصادقة، ومع ذلك، لا تحتوي (SkipFish) على الميزة المضمنة للاكتشاف عندما يكون المستخدم خارج الجلسة.
  • عند اختبار تطبيقات الويب الأكثر تقدمًا والتي تستخدم رموز (CSRF) المتغيرة، لا يمكن تدريب (SKipFish) على مكان البحث عن رمز (CSRF) محدث.
  • “CSRF” اختصار ل “Cross-Site Request Forgery“.
  • أداة (SkipFish) لا تدعم العديد من الماسحات الضوئية لتطبيقات الويب حتى التجارية منها.

هل Skipfish مجاني

يمكن التحقق من (skipfish)، وهي أداة مجانية ومفتوحة المصدر لإلتقاط الثغرات الأمنية لتطبيقات الويب وأداة استطلاع أمان تطبيقات الويب النشطة، تساعد (Skipfish) في جمع المعلومات حول تطبيقات الويب، كما يمكن إنشاء خريطة موقع تفاعلية لموقع معين قائم على القاموس تم إنشاؤه بواسطة أداة (Skipfish).

كيفية تثبيت Skipfish على Windows

  • الحصول على (Cygwin) مثبتًا على (cygwin.com) واتباع الخطوات، ثم يوجه المستخدم معالج التثبيت نحو صفحة (Cygwin Setup – Select Packages).
  • للحصول على الكود من (cygwin)، يجب على المستخدم فتحه والنقر بزر الماوس الأيمن.
  • يمكن للمستخدم إنشاء الملف القابل للتنفيذ عن طريق تشغيل (make).
  • ثم بعد ذلك يصبح الملف التنفيذي الخاص بالمستخدم جاهز للتشغيل.

يمكن الحفاظ على جميع الجلسات التي يتم تشغيلها على (Skipfish) في مأمن من أي تدمير من خلال إيقاف ملفات تعريف الارتباط الجديدة أو استبعاد روابط تسجيل الخروج المتاحة، يسمح (Skipfish) أيضًا للمستخدم بإجراء عمليات مسح على المواقع التي قد تحتوي على حجم كبير من البيانات، نظرًا لطبيعتها التكيفية.


شارك المقالة: