iSecur1ty - Arab Security Community

Ratproxy برنامج Google الخاص بفحص المواقع و تطبيقات الويب

كتب بتاريخ: Nov 15th, 2008 | بواسطة: عبدالمهيمن

من مدة ليست ببعيدة أعلنت شركة Google عن توفير الكود المصدري لبرنامجها Ratproxy التي تستخدمه الشركة في فحص تطبيقات الويب الخاصة بها. يعمل Ratproxy على فحص الموقع واكتشاف الثغرات التي قد تشكل خطورة على الموقع كثغرات XSRFXSS وثغرات تطبيقات WEB 2.0 و AJAX بشكل عام والبرنامج يفيد مطوري الويب بالدرجة الأولى وجميع الأشخاص المهتمين بأمن وثغرات تطبيقات الويب.. كان من المفترض أن أقوم بكتابة هذا الموضوع بوقت سابق لكن عدم اهتمامي بهذه الأمور بالوقت الحالي جعلني أبتعد قليلا عن هذه النوعية من الثغرات والأدوات…

فكرة البرنامج جميلة وهو بسيط جدا وسهل الاستخدام فكل ماعلينا هو تشغيل البرنامج على منفذ نختاره مع تحديد الموقع الذي نريد فحصه ثم نقوم بتغيير اعدادات البروكسي في المتصفح الذي نستخدمه الى IP جهازنا والمنفذ الذي اخترناه مسبقا وبهذه الحالة يصبح البرنامج بوسط الاتصال بين المتصفح والموقع الذي نريد فحصه بعد ذلك نقوم بتصفح الموقع بشكل عادي جدا ونتنقل بين صفحاته وننفذ العمليات التي يوفرها الموقع كالقيام بالبحث في الموقع, تسجيل دخول, اضافة رد.. أو أي شيء آخر يوفره الموقع ونترك باقي العمل للبرنامج فهو سيقوم بتسجيل كافة المعلومات داخل ملف Log يمكننا في النهاية تحويله باستخدام الأداة المرفقة مع البرنامج ratproxy-report.sh الى تقرير منسق بصيغة صفحة HTML يوضح كل شيء بالتفصيل. هذه مجرد فكرة عامة عن طريقة عمل البرنامج أما الأن سأقوم بشرح كيفية استخدامه خطوة بخطوة لكن قبل أن أبدء يجب التنويه الى أن البرنامج خاص بأنظمة GNU/Linux وأنظمة Unix-like بشكل عام وقد يعمل على نظام Windows باستخدام Cygwin لكني لم أقم بتجربته ولا أنصح بذلك أيضا.. أول شيء نقوم به هو فتح سطر الأوامر وتحميل الكود المصدري الخاص بالبرنامج من الصفحة التالية باستخدام الأداة wget:

wget http://ratproxy.googlecode.com/files/ratproxy-1.51.tar.gz

أما الأشخاص الذين لايستطيعون التحميل من موقع Google Code بسبب حجب الشركة لهم كالأشخاص الذين يعيشون بسوريا أو اي دولة أخرى يمكنهم استخدام الرابط التالي الذي قمت برفعه على مدونتي:

wget http://br4v3-h34r7.com/wp-content/uploads/2008/11/ratproxy-1.51.tar.gz

نقوم بفك ضغط البرنامج باستخدام الأداة gunzip والأداة tar بتنفيذ الأمر التالي:

gunzip ratproxy-1.51.tar.gz && tar -xvf ratproxy-1.51.tar

ثم ندخل لمجلد البرنامج ونقوم ببناء البرنامج من المصدر باستخدام الأمر:

cd ratproxy && make

اذا سارت جميع الخطوات السابقة بشكل صحيح دون حدوث أي مشكلة سنشاهد البرنامج الذي قمنا ببناؤه ratproxy داخل المجلد جاهز للاستعمال, ننفذ الأمر التالي:

./ratproxy --help

لمعرفة الخيارات التي يوفرها البرنامج كما هو واضح في الصورة:

نستطيع للسهولة استخدام احدى الأمثلة الجاهزة الموجودة في النهاية:

1) Low verbosity  : -v <outdir> -w <outfile> -d <domain> -lfscm
2) High verbosity : -v <outdir> -w <outfile> -d <domain> -lextifscgjm
3) Active testing : -v <outdir> -w <outfile> -d <domain> -XClfscm

أتوقع أن استخدام الأوامر واضح جدا فمثلا اذا أردنا فحص موقع example.com باستخدام المثال الثاني:

./ratproxy -v /tmp -w example.com.log -d example.com -lextifscgjm

الأمر السابق سيقوم بتشغيل برنامج ratproxy مستعملا المنفذ الافتراضي للبرنامج (8080) مع تخصيص موقع example.com ليتم فحصه وسيصنع ملف Log خاص بالموقع باسم example.com.log داخل مجلد البرنامج وسيستعمل المجلد tmp لوضع الملفات المؤقتة أثناء الفحص. طبعا نستطيع تغيير هذه الخيارات اذا لم تكن تناسبنا (كالمنفذ مثلا باستخدام الخاصية -p) أما الآن كل ماعلينا هو تغيير اعدادت الـ Proxy في المتصفح الذي نستخدمه الى الاعدادات التالية:

HTTP Proxy: 127.0.0.1 Port: 8080

ونبدأ بتصفح الموقع وتنقل بين صفحاته.. وعند الانتهاء ننشئ تقرير بصيغة HTML باستخدام الأمر:

./ratproxy-report.sh example.com.log > example.com-log.html

لنحصل على تقرير تفصيلي ومنسق يمكننا مشاهدته باستخدام المتصفح يشبه التقرير التالي:

للبرنامج خيارات وميزات أخرى عديدة أترككم لتكتشفوها بأنفسكم وأنصحكم بقراءة الملف README المرفق مع البرنامج (تجدونه داخل المجلد doc) أو قراءة صفحة الوثائق الموجودة في الأسفل. الجدير بالذكر أن البرنامج مازال في المرحلة التجريبية بالاصدار 1.51 وهو في تطور مستمر وأتوقع أن يشهد تحديثات كبيرة في المستقبل.

صفحة البرنامج (Google Code) | صفحة التحميل | الوثائق المرفقة

أتمنى أن يكون الموضوع نال اعجابكم واستخدام موفق ان شاء الله, أخوكم Br4v3-H34r7.

التصنيف: Hacking & Security, WEB Development | عدد المشاهدات 1,860 | عدد التعليقات 13

رابط التعقيبات التعليقات RSS
x

أرسل الى صديق





أرسل الموضوع
twitter del.icio.us digg reddit stumbleupon facebook technorati google yahoo

التعليقات
  1. 1- تركي كتب بتاريخ: 15 Nov 2008 الساعة: 7:14 AM

    السلام عليكم ورحمة الله وبركاته
    أحيك أخي عبدالمهين على الابداع والتطور
    في الطرح وانتقاء المواضيع المفيدة
    التي تكاد لاتتواجد في اغلب منتدياتنا العربية
    فلك جزيل الشكر
    والحق يقال انني استفدت من هذه المدونة الكثير في وقت قصير
    مع تمنياتي لك بالتوفيق
    وان تستمر في ابهارنا بإبداعك

  2. 2- خالد كتب بتاريخ: 15 Nov 2008 الساعة: 8:08 AM

    يعطيك العافيه أخي عبدالمهيمن
    بصراحه لم أسمع به من قبل

    بما أنه يبين الثغرات التي يكتشفها بالموقع هل يعطي الحلول لها ..؟

    سوف اجرب البرنامج اذا رجعت للمنزل

    تمنياتي لك بالتوفيق

  3. 3- ha299 كتب بتاريخ: 15 Nov 2008 الساعة: 12:21 PM

    مشاء الله تبارك الله ..

    خوش برنامج

    و الله يسلم هالإدين .. على الموضوع الرائع .. ))))

    تابع مواضيعك الراقية .. ||

    و الله كل مالك تكبر في عيني ياعبد المهين …

    تحياتي … ((+_+))

  4. 4- faresko كتب بتاريخ: 15 Nov 2008 الساعة: 2:34 PM

    سلام عليكم ..

    وكل الشكر لك عبوود دوم مبدع الله يحفظك

  5. 5- -LeGeNd HaCkEr كتب بتاريخ: 15 Nov 2008 الساعة: 3:14 PM

    مشكور أخوي والاداة غنية عن التعريف وتمت تجربتها ،، على الويندوز لكن أستخدامها افضل في اللينكس

    موفق وننتظر المفيد والاكثر في هذه الاشياء

  6. 6- P.R.O كتب بتاريخ: 15 Nov 2008 الساعة: 9:37 PM

    السلام عليكم
    دائماً مبدع
    استاذ عبدالمهين كل الشكر لك على ماتقدمه من معلومات قيمه والله يثيبك ويجزاك بالخير
    واصل ابداعك والله يحفظك ويسدد خطاك

  7. 7- ابن حجر الغامدي كتب بتاريخ: 16 Nov 2008 الساعة: 3:39 PM

    شكرا ,, ولو أن هذه الأشياء تخفى علي ,,
    وأتمنى لك التوفيق

  8. 8- MoOoRa_HaCkEr كتب بتاريخ: 17 Nov 2008 الساعة: 3:23 AM

    تسلم يا أخي – عبد المهيمن
    دائما سباق لكل ما هو جديد , ومفيد
    جزاك الله كل خير
    وجعله فى ميزان حسناتك

    والسلام عليكم ورحمة الله وبركاته

  9. 9- KING SABRI كتب بتاريخ: 19 Nov 2008 الساعة: 5:33 AM

    سلمت الأيادي يا بطل

  10. 10- Br4v3-H34r7 كتب بتاريخ: 19 Nov 2008 الساعة: 12:57 PM

    تركي , خالد , ha299 , faresko , LeGeNd HaCkEr , P.R.O , ابن حجر الغامدي , MoOoRa_HaCkEr و KING SABRI… أهلا بكم جميعا.. سعيد بوجودكم هنا وشكرا على الكلمات الرائعة والتشجيع المستمر وعذرا لتأخري بالرد لانشغالي بعدة أمور جعلتني أنسى ذلك تحياتي للجميع.

    @خالد: لا أخي البرنامج لا يعطيك حلول لكنه يظهر لك نوعية الثغرة وبعض التفاصيل عنها.

  11. 11- ŠnIpЄЯ_h كتب بتاريخ: 21 Nov 2008 الساعة: 12:02 AM

    السلام عليكم ورحمة الله وبركاته
    اولا ماشاء الله عليك اخوي ويارب يزيدك من علمه وعلى فكره اخذت لفه على كامل مواضيع المدونه اليوم .. وبصراحه اللي عجبني عندما تكلمت عن نسخة الباك تراك3 انه لاتنفع لتعلم الليونكس في البداية وسوف تصيبك بالملل وانا كنت ابحث عن هذا التساؤل منذ وقت طويل وإن شاء الله بأخذ بنصيحتك

    وفي انتظار جديدك .. واعتبرني من احد الزوار الأساسين من اليوم

    والسلام عليكم

  12. 12- HaCk-AnGel كتب بتاريخ: 02 Dec 2008 الساعة: 2:47 AM

    أنا صرلي زمان ما بينت عندكم بس اليوم و انا عم افتح الموقع و عم قول لازم يكون في شي جديد و مفيد

    و فعلا كالعادة بعرف اني كل ما فتحت هالموقع رح لاقي شي يفيدني

    كلمة شكر اكيد قليلة عليك يا عبد المهيمن بس ما منملك غير الشكر والدعوة الطيبة الك

    تقبل مروري و تحياتي

  13. 13- ALQAISER كتب بتاريخ: 05 Dec 2008 الساعة: 7:50 PM

    ثانكس برنامج مهم ومفيد جداا

    جوجل تصدر برنامج لفحص مثل هاي الثغرات وتنسى موقعها

    http://www.xssed.com/archive/domain=google.com

المشاركة بتعليق

               


أعلى الصفحة