JavaScript is not enabled!...Please enable javascript in your browser

جافا سكريبت غير ممكن! ... الرجاء تفعيل الجافا سكريبت في متصفحك.

-->
Accueil

🛠️ مشروع تطبيقي: فحص موقعك باستخدام أداة OWASP ZAP خطوة بخطوة

khalilAI
خط المقالة

في هذا المقال العملي، سنتعرف على كيفية استخدام أداة OWASP ZAP لفحص أمان المواقع. سواء كنت مطور ويب أو مهتمًا بالأمن السيبراني، فإن معرفة كيفية اختبار تطبيقك ضد الثغرات الشائعة أمر ضروري.

🔍 ما هي OWASP ZAP؟

OWASP ZAP (Zed Attack Proxy) هي أداة مفتوحة المصدر تم تطويرها من طرف مشروع OWASP، تُستخدم لاختبار أمان تطبيقات الويب. تساعدك على اكتشاف ثغرات مثل:

  • Cross-Site Scripting (XSS)
  • SQL Injection
  • Insecure Cookies
  • CSRF

📦 الخطوة 1: تحميل وتثبيت ZAP

توجه إلى الموقع الرسمي للأداة:

🔗 https://www.zaproxy.org/download/

حمّل النسخة الخاصة بـ Windows أو Linux أو Mac، ثم ثبتها كأي برنامج عادي.

🧪 الخطوة 2: تشغيل ZAP لأول مرة

بعد التثبيت:

  • قم بفتح البرنامج.
  • اختر "Start with default settings".
  • ستظهر لك واجهة رسومية بسيطة بها لوائح الفحص والتقارير.

🌐 الخطوة 3: إعداد الموقع المراد فحصه

يمكنك تجربة الأداة على:

  • موقعك الشخصي على الإنترنت.
  • موقع محلي على جهازك (localhost).
  • بيئة وهمية مثل DVWA أو WebGoat لتدريب آمن.
🔒 ملاحظة: لا تفحص أي موقع ليس لك أو بدون إذن قانوني.

🚀 الخطوة 4: فحص الموقع

✔️ الطريقة 1: Quick Scan

  1. من قائمة “Quick Start” في ZAP، اختر “URL to attack”.
  2. أدخل رابط الموقع (مثلاً: http://localhost أو http://example.com).
  3. اضغط "Attack" وانتظر النتائج.

✔️ الطريقة 2: Manual Explore

  1. اضغط على "Manual Explore".
  2. اختَر متصفحًا للعمل مع البروكسي الخاص بـ ZAP.
  3. تصفح الموقع يدويًا داخل المتصفح (ZAP يسجل كل حركة).
  4. ارجع إلى ZAP وشغّل عملية الفحص “Active Scan”.

📊 الخطوة 5: قراءة وتحليل النتائج

بعد انتهاء الفحص، سترى تقارير بالثغرات:

  • تصنيف الخطر: مرتفع / متوسط / منخفض.
  • الوصف الكامل لكل ثغرة.
  • طريقة استغلالها + كيفية الحماية منها.

يمكنك تصدير التقرير PDF عبر:
Reports > Generate Report > PDF

💡 نصائح مهمة عند استخدام ZAP

  • حدث البرنامج بانتظام لأن الثغرات تتجدد.
  • جرب الأداة على مواقع تدريب مثل DVWA.
  • استخدم الوضع اليدوي لتحليل أدق.

✅ الخاتمة

OWASP ZAP هي أداة مثالية للمبتدئين في مجال اختبار أمان تطبيقات الويب. سواء كنت تعمل على مشروع شخصي أو تطمح إلى دخول مجال الهاكر الأخلاقي، هذه الأداة ستوفر لك فهمًا عمليًا وقويًا للثغرات.

🧪 تطبيق عملي: اختبار ثغرتي XSS وSQLi على DVWA باستخدام ZAP

لننتقل الآن إلى تطبيق عملي لاختبار ثغرتين شهيرتين باستخدام ZAP على بيئة وهمية آمنة تدعى DVWA (Damn Vulnerable Web App).

🔧 1. تثبيت DVWA

  • قم بتحميل حزمة XAMPP من apachefriends.org
  • ثبت XAMPP وفعّل Apache وMySQL.
  • قم بتنزيل DVWA من GitHub الرسمي.
  • انسخ مجلد DVWA إلى مجلد htdocs في XAMPP.
  • افتح http://localhost/dvwa في المتصفح، ثم قم بإعداد قاعدة البيانات من خلال “Create/Reset Database”.

🔑 2. إعداد مستوى الأمان في DVWA

  • سجّل الدخول: اسم المستخدم admin وكلمة السر password.
  • من القائمة، اختر DVWA Security، واضبط المستوى إلى Low.

🌐 3. ربط ZAP بـ DVWA

  • افتح ZAP، ثم اذهب إلى “Manual Explore”.
  • اختر المتصفح (يفضل Firefox) وأدخل http://localhost/dvwa.
  • تصفح DVWA يدويًا (خاصّة أقسام XSS وSQLi)، وZAP سيسجل كل الطلبات.

🧨 4. تجربة ثغرة XSS (Cross-Site Scripting)

  • في DVWA، اذهب إلى قسم Stored XSS.
  • في خانة “Name” أدخل الشيفرة التالية: <script>alert('XSS')</script>.
  • أرسل النموذج ولاحظ هل يظهر تنبيه (Alert) على الصفحة.
  • ارجع إلى ZAP وراقب الطلبات المُسجّلة وتحليلها.

💥 5. تجربة ثغرة SQL Injection

  • اذهب إلى قسم SQL Injection في DVWA.
  • أدخل في خانة المستخدم: ' OR '1'='1.
  • إذا ظهرت نتائج خاطئة أو بيانات غير متوقعة، فالموقع عرضة لثغرة SQLi.
  • في ZAP، انقر على هذا الطلب ثم اختر “Active Scan” لفحص شامل.

📈 6. استخراج تقرير كامل

بعد تجربة الثغرات، انتقل إلى:

  • Reports > Generate Report
  • اختر تنسيق PDF أو HTML
  • سيعرض لك تقريراً مفصلاً عن كل الثغرات التي تم اكتشافها مع التوصيات.

✅ الخاتمة (الجزء التطبيقي)

من خلال هذا التطبيق العملي باستخدام ZAP وDVWA، تمكنّا من فهم كيفية اكتشاف وتحليل ثغرات XSS وSQLi بشكل قانوني وآمن. هذا النوع من التدريب ضروري لكل من يريد الدخول إلى مجال اختبار الاختراق الأخلاقي أو حماية تطبيقاته الشخصية.

NomE-mailMessage