About Me:

About me

صورتي
zein th3
اسمي عابدين من موريتانيا , ادرس حاليا في مركز للتكنولوجيا الحديثة في اسبانيا , بدأت في التدوين عام 2009 ولاكن بعدها قررت عمل مدونة خاصة بي من اجل العمل الحر وفيها انشالله سأتشارك معكم كل معلوماتي حول الحاسوب
عرض الملف الشخصي الكامل الخاص بي

Blog

الجمعة، 28 مارس، 2014

لماذا البرمجة مهمة في إختبار الإختراق !

0 التعليقات
من أكثر الأسئلة التي تطرح هي إن كان تعلم البرمجة أمر مهم لمختبر الإختراق أم لا؟ الإجابة على هذا السؤال ستختلف من شخص لآخر خصوصاً أن مجال إختبار الإختراق أقرب للشبكات من البرمجة. فلو كان التخصص إكتشاف وتحليل ثغرات فالجواب نعم طبعاً أما إختبار إختراق فالبعض أصبح يشكك بالموضوع.
لأقرب الصورة أكثر هل من الضروري أن يستخدم الطباخ وصفات خاصة به ليجيد الطهي؟ الجواب لا! لكن مالفرق بين هذا الطباخ وآخر يستخدم وصفاته الخاصة ويصنع وجبات لن تجدها عند غيره؟ الأمر متشابه جداً في مجال إختبار الإختراق خصوصاً مع التطور الكبير الحاصل في الأدوات من حيث الأتمتة الكاملة وسهولة الإستخدام ولك مشروع ميتاسبلويت أو CoreImpact كمثال فباستخدام هذه الأدوات الإختراق أصبح مثل الأفلام ولم يعد تنفيذ إختبار الإختراق أمر صعب أو يتطلب خبرة كبيرة! 



الأمر الآخر هو أن الشهادات التي تعطى لمختبري الإختراق لا تختبرهم برمجياً بل بإعطائهم بعض السيناريوهات التي يفترض أنها تحاكي الواقع وعلى الشخص إستخدام أدوات جاهزة لانهاء المطلوب منه. حسناً أين المشكلة في ذلك؟ ببساطة الواقع مختلف خصوصاً عند التكلم عن الإختراق! فغالباً أنت ستحصل على حالات وسيواجهك مشاكل لم تصادفها من قبل. بمعنى آخر الإختراق ليس 1 2 3 تم الإختراق! كلما إزدادت ممارستك ومعرفتك ستزداد فرصتك بتخطي هذه المشاكل والعقبات التي ستواجهها وإن كنت تجيد البرمجة ففرصتك بالنجاح ستتضاعف.
لأطرح مثال بسيط. تخيل معي مختبر إختراق يستخدم مشروع ميتاسبلويت لتجربة إحدى الثغرات. أثناء التنفيذ إستغلال الثغرة بدء بالعمل لكنه لم ينجح! بهذه الحالة مختبر الإختراق لا يستطيع أن يكتب بتقريره بوجود ثغرة Remote Code Execution طالما لم يتمكن من إثبات وجودها أو إستغلالها لكن لو كان هذا الشخص مبرمج سيحاول تعديل كود الثغرة أو الإستغلال وفرصة نجاحه ستكون أكبر بكثير!
مثال آخر. مختبر إختراق في مرحلة إكتشف ثغرة SQL Injection. لم يتمكن من الوصول للإستغلال النهائي وجميع محاولاته فشلت. بهذه الحالة سيضطّر هذا الشخص لإعتبار الأمر على أنه خطأ بإستعلام SQL Injection يؤدي لكشف بعض المعلومات عن قاعدة البيانات ومستوى خطورته متوسط مثلا كون الإستغلال لم ينجح معه! لكن لو كان هذا الشخص يجيد البرمجة ويستطيع الإطلاع على الكود المصدري سيعرف سبب عدم نجاح إستغلاله وكيف يعمل الفلتر المستخدم مثلاً وهنا فرصته بالوصول لإستغلال ناجح أيضاً ستكون أكبر بكثير! 
البرامج والأدوات لا تستطيع التفكير والتحليل وهي جيدة لإكتشاف الثغرات المنتشرة لكنها بكل تأكيد ليست كافية.
سنة 2010 إنتهت تقريباً وركزنا خلالها على برمجة المشاريع والأدوات. شخصياً أعتبرها ناجحة حتى إن لم ننهي جميع المشاريع التي بدأناها. في 2011 سنحاول التركيز على المحتوى أكثر خصوصاً البرمجة وبإذن الله سأبدء بنشر سلسلة شروحات فيديو عن لغة Ruby و Python سوياً ( كونهم الخيار الأفضل لمختبري الإختراق ). الشروحات ستكون موجهة لإستخدام هذه اللغات في إختبار الإختراق حيث سأمر على الأساسيات بشكل سريع انشالله , دعواتكم لي متابعي مدونتي الاحباء.

تابع ...

الأحد، 19 يناير، 2014

المعلوماتية ليست "اتخرميز" !

2 التعليقات
ينطلق الكثير منا من فهم خاطئ للتقنيات الجديدة ولعالم الإنترنت والمعلوماتية , هذا الفهم الخاطئ أنتج بدوره مفاهيم كثيرة قاصرة تعاملت مع المنتج التقني كمحتوى أدبي فهما وقراءة , فاختلط الحابل بالنابل ...
 وأصبح المستخدم العادي للأنظمة والمستفيد من خصائص البرامج البسيطة يوصف بالعبقرية ويقارن ببيل جيت وبستيف جوبز !!!!!...
رغم أنه لم يفعل شيئا سوى قراءة الأحرف المكتوبة واتباع الارشادات الموضحة على نظام ويندوز مثلا أو الضغط على لون الخط في برنامج وورد أو شيء من ذالك القبيل  . فضاعت قيمة المعاني الحقيقية في بحر من المفاهيم الخاطئة وامتلأت الساحة بعشرات الأشخاص الذين يصفون أنفسهم بـ"المبرجين" ولا تستطيع أن تسألهم عن شيء من أبجديات البرمجة , وبمصممين لا يعرفون من الفوتوشوب مثلا سوى التعديل على تصاميم الآخرين ووضع أسمائهم عليها ,التعديل على تصاميم الآخرين ووضع أسمائهم عليها ,  وبمبرجي قواعد بيانات يسهرون في البحث عن قواعد بيانات جاهزة لينسبوها لأنفسهم أو لشركاتهم , وآخرون لا يعرفون من تصميم المواقع غير التعامل السطحي مع جوملا أو وورد برس واستيراد قوالب جاهزة ...
ليكتشفوا مع مرور الزمن أن المشاكل التي تواجههم بعد ذالك لا يمكن السيطرة عليها ب"اتخرميز" والفهم "السطحي" الذي ينتهجونه , ويصلون إلى قناعة مفادها أن هذا المجال أكثر تعقيدا مما كانوا يتصورون.
المعلوماتية ليست اتخرميز ... ليست نص أدبي ننسخه ونقوم بلصقه في مكان آخر, هي مجموعة أدوات ومفاهيم وعلوم , ويجب أيضا التفريق بين المستخدم العادي للمعلوماتية وبين المتخصص,بين ما يمكن تحصيله بالممارسة واتخرميز وبين الذي لا يمكن تحصيله إلا بالدراسة الجادة والصبر .
أخيرا ... لو كانت المعلوماتية بالبساطة والسذاجة التي يتصورون لأصبحنا جميعا ستيف جوبز ولامتلكنا جميعا ملايين الدولارات في البنوك العالمية !!
اقتباس : ( عابدين و أخي شيخاني )
تابع ...

الأربعاء، 8 يناير، 2014

مدونة عالم الكمبيوتر

0 التعليقات
بسم الله الرحمن الرحيم 
 مدونةو عالم الكمبيوتر تعد من اول المدونات التي قد قمت بتصميمها والنشر فيها , هيا مدونة تهتم بكل مايخص المعلوماتية 
وتسعى لتقديم دروس وحلقات تصويرية للمساعدة المحتاجين لها 
أسست هذه المدونة سنة 2010 من قبل شباب موريتانين وقد كنت من ضمنهم وقد قدمنا العديد من الحلقات والبرامج النادرة واكثر 


ولاكن للأسف قادر بعض الناشيطين فيها وتراجع ترتيبها وكل منا قد اخترا مسارا مختلفا , واصبحت المدونة اليوم ملكي انا فقط 
على امل ان اجد بعض المساعدين للنواصل المسيرة معا .
رابط المدونة : عالم الكمبيوتر
تابع ...

Zein Wel Bebs All Rights Reserved For Me © 2014

Chrome Pointer