«برامج تجريب كلمات السرّ Password Testing Software»: الفرق بين المراجعتين

من SalamaTech Wiki سلامتك ويكي
اذهب إلى: تصفح، ابحث
[مراجعة منقحة][مراجعة منقحة]
ط (مقدمة)
ط (مقدمة)
 
سطر 27: سطر 27:
 
{{{1|=}}}===WFuzz==={{{1|=}}}
 
{{{1|=}}}===WFuzz==={{{1|=}}}
  
[[file:Wfuzz.png]]
+
[[file:Wfuzz.png|200px]]
  
 
أداة ومكتبة برمجية مكتوبة بلغة البرمجة Python3 تعمل بالتالي على جميع أنظمة التشغيل التي يدعمها Python. وتستخدم لتجريب كلمات السرّ بالإضافة لفحص الثغرات في المواقع، كالثغرات التي تسمح بـ SQL Injection وغيرها، كما يمكن استخدامها لتجريب كلمات السرّ، ومن ميزاتها الهامة دعم تجريب كلمات السرّ بشكل متوازي وموزع عبر عدة بروكسيات Proxies
 
أداة ومكتبة برمجية مكتوبة بلغة البرمجة Python3 تعمل بالتالي على جميع أنظمة التشغيل التي يدعمها Python. وتستخدم لتجريب كلمات السرّ بالإضافة لفحص الثغرات في المواقع، كالثغرات التي تسمح بـ SQL Injection وغيرها، كما يمكن استخدامها لتجريب كلمات السرّ، ومن ميزاتها الهامة دعم تجريب كلمات السرّ بشكل متوازي وموزع عبر عدة بروكسيات Proxies

المراجعة الحالية بتاريخ 10:47، 11 فبراير 2020

مقدمة

برامج تجريب كلمات السرّ Password Testing Software هي برامج طُوِّرَت بهدف كشفِ كلمة سرّ Password لحساب ما على منصة ما عبر محاولة تسجيل الدخول مرارا باستخدام اسم مستخدم مَعْلوم وكلمة سرّ يحضرها البرنامج مع كل محاولة فاشلة حتى تنجح عملية تسجيل الدخول وتكون كلمة السرّ تلك التي انتجها البرنامج مع المحاولة الناجحة.

تشبه هذه البرامج برامج كشف كلمات السرّ Password Cracking Software في أنها تقوم بإنشاء تراكيب من كلمات السرّ، وفي أنها أيضا تعتمد على القواميس Dictionaries. لكنها تختلف عن برامج كشف كلمات السرّ في أنها لا تحاول مقارنة الهاش Hash بكلمة السرّ التي يتم تجريبها بالهاش الخاص بكلمة السرّ المُراد كشفها. وإنما تقوم هذه البرامج بطلب تسجيل الدخول إلى موقع أو خدمة ما. فإنْ قُوبِلَ طلب تسجيل الدخول بالرفض، يقوم البرنامج بمحاولة تسجيل الدخول بكلمة سرّ مختلفة حسب قاعدة توليد كلمات السرّ المستخدمة في الهجوم، وهكذا حتى يصادف طلب تسجيل الدخول النجاح.

لهذه البرامج استخدام حميد وهو استعادة كلمات السرّ في حال نسيانها، وفحص مستوى أمان كلمات السرّ لخدمة ما على الإنترنت بعد الاتفاق مع الجهة وراء الخدمة، وبمعرفتها. وبالطبع لأي أداة استخدامات خبيثة تعتبر عادة من الجرائم الإلكترونية وتعاقب عليها القوانين في أغلب دول العالم، كاختراق حسابات المستخدمين على مواقع الإنترنت، واختراق حسابات مدراء صفحات ومواقع الإنترنت.

بالطبع تقوم مواقع وخدمات الإنترنت بالتصدي لهذه الهجمات بأساليب مختلفة، من بينها:

  • عبر استخدام تقنيات التحليل الجنائي الرقمي Digital Forensics التي تمكّن المواقع من تحديد مصدر الهجمات بهدف ملاحقتهم قضائيا. ما يشكل رادعا قويا خاصة في الدولة حيث تسود سلطة القانون.
  • منع الطلبات الصادرة عن عنوان IP محدد لفترة زمنية محددة بعد تكرار فشل تسجيل الدخول، فذلك يدل على محاولة خبيثة لتسجيل الدخول ربما باستخدام هذه البرنامج. من بين البرامج التي تقوم بهذه المهمة برنامج fail2ban على نظام التشغيل لينوكس Linux.
  • استخدام الكاپتشا CAPCHA وهي طريقة لمنع الأنظمة المؤتمتة (غير الواعية) من إرسال طلبات مؤتمة لخدمة ما على الإنترنت. فإن تكررت محاولة برامج كشف كلمات السرّ لتسجيل الدخول باستخدام اسم المستخدم نفسه مثلا في كل محاولة، يقوم الموقع بإضافة خانة الكاپتشا CAPCHA إلى صفحة تسجيل الدخول، ما يعني منع البرامج المؤتمتة (غير الواعية) من إمكانية متابعة تسجيل الدخول

وفيما يلي أمثلة عن أشهر هذه البرامج:

Brutus

Brutus-Password-Cracker-Download-brutus-aet2.zip-AET2.jpg

برنامج بروتوس Brutus أداة تعمل على نظام التشغيل ويندوز Windows، تستخدم لتجريب كلمات السرّ وتدعم تجريبها خدمات متعددة من خدمات الإنترنت منها:

  • HTTP basic authentication
  • تسجيل الدخول عبر HTML Form
  • فتح صندوق البريد الوارد عبر بروتوكول POP3
  • تسجيل الدخول عبر بروتوكول FTP

وغيرها.

WFuzz

Wfuzz.png

أداة ومكتبة برمجية مكتوبة بلغة البرمجة Python3 تعمل بالتالي على جميع أنظمة التشغيل التي يدعمها Python. وتستخدم لتجريب كلمات السرّ بالإضافة لفحص الثغرات في المواقع، كالثغرات التي تسمح بـ SQL Injection وغيرها، كما يمكن استخدامها لتجريب كلمات السرّ، ومن ميزاتها الهامة دعم تجريب كلمات السرّ بشكل متوازي وموزع عبر عدة بروكسيات Proxies

https://wfuzz.readthedocs.io/en/latest/

THC HYDRA

THC HYDRA برنامج لتجريب كلمات السرّ مفتوح المصدر، يمكن بسهولة إضافة قدرات له، يدعم تجريب كلمات السرّ عبر أكثر بروتوكولات الإنترنت (طبقة التطبيقات) أهمية مثل SSH، HTTP، IMAP، FTP، SMB، POP3، VNC، SVN rlogin، PostgreSQL، MySQL، MS SQL، pcAnywhere، Cisco AAAA، Cisco auth، Cisco enable، Oracle Listener، Oracle SID، Oracle، SOCKS5 وغيرها. https://github.com/vanhauser-thc/thc-hydra

MEDUSA

ميدوسا Medusa برنامج لتجريب كلمات السرّ له ميزات عديدة ويدعم تجريب كلمات السر عبر أكثر بروتوكولات الإنترنت (طبقة التطبيقات) أهمية مثل SSH، HTTP، IMAP، FTP، SMB، POP3، VNC، SVN rlogin، PostgreSQL، MySQL، MS SQL، pcAnywhere وغيرها.

http://foofus.net/goons/jmk/medusa/medusa.html


تنقّل في الكتيب eBook Navigation

الهجمات على كلمات السرّ

الهجمات الالكترونية الخبيثة Malicious Cyber Attacks

الفهرس Index

الفهرس الكامل Full Index

اقرأ أيضا See Also

كلمات السرّ Passwords

تخمين كلمات السرّ Passwords Guessing

الهجوم الأعمى Brute Force Attack

هجوم القاموس Dictionary Attack

اصطياد كلمات السرّ Passwords Phishing

تسجيل نقرات المفاتيح Keystroke Logging

تسرب البيانات Data Breaches

برامج كشف كلمات السرّ Password Cracking Software

مراجع References

https://sectools.org/tool/brutus/

https://wfuzz.readthedocs.io/en/latest/

https://github.com/vanhauser-thc/thc-hydra

http://foofus.net/goons/jmk/medusa/medusa.html