مقدمة في الإختراق الأخلاقي - مدونة عبدالله محمودي

الإختراق الأخلاقي (Ethical Hacking) هو مجال متخصص في أمن المعلومات يهدف إلى اختبار الأنظمة والتطبيقات بحثاً عن الثغرات الأمنية، بهدف إصلاحها قبل أن يستغلها المخترقون الضارون.

                            تذكير مهم: الإختراق الأخلاقي هو عمل قانوني يتم بإذن صاحب النظام. الإختراق بدون إذن يعتبر جريمة يعاقب عليها القانون.
                        

ما الفرق بين الهاكر الأخلاقي والهاكر الضار؟

الهاكر الأخلاقي (White Hat): يعمل بإذن، يبلغ عن الثغرات، يساعد في تحسين الأمان
الهاكر الرمادي (Grey Hat): يكتشف الثغرات دون إذن لكن يبلغ عنها
الهاكر الأسود (Black Hat): يخترق الأنظمة لأغراض ضارة أو شخصية

المجالات الرئيسية في الإختراق الأخلاقي

1. اختبار إختراق تطبيقات الويب (Web Pentesting)

اختبار أمان المواقع والتطبيقات. أشهر الثغرات:

SQL Injection: حقن استعلامات ضارة في قاعدة البيانات
XSS (Cross-Site Scripting): إدخال أكواد ضارة في صفحات الويب
CSRF: تزوير الطلبات عبر المواقع
Broken Authentication: ثغرات في نظام تسجيل الدخول

2. اختبار الشبكات (Network Penetration Testing)

اختبار أمان الشبكات الداخلية والخارجية، ويشمل:

فحص المنافذ المفتوحة (Port Scanning)
اختبار قوة كلمات المرور
تحليل حركة الشبكة (Traffic Analysis)
اختبار اختراق الشبكات اللاسلكية (Wi-Fi)

3. الهندسة الإجتماعية (Social Engineering)

اختبار العنصر البشري في الأمان. أشهر الأساليب:

التصيد (Phishing): رسائل بريد مزيفة تطلب معلومات حساسة
التتبع (Pretexting): انتحال شخصية للحصول على معلومات
Baiting: إغراء الضحية بملف أو رابط ضار

أدوات أساسية لكل هاكر أخلاقي

Kali Linux: نظام التشغيل المخصص لاختبار الإختراق، يأتي مع أكثر من 600 أداة مثبتة مسبقاً.

Nmap: لفحص الشبكات واكتشاف الأجهزة والخدمات.

nmap -sV target.com    # فحص الإصدارات
nmap -A target.com     # فحص شامل مع اكتشاف نظام التشغيل

Burp Suite: لاختبار أمان تطبيقات الويب، تحليل الطلبات والردود.

Metasploit: إطار عمل لاستغلال الثغرات وتطوير الـ Exploits.

msfconsole             # تشغيل Metasploit
search wordpress       # البحث عن ثغرات WordPress
use exploit/multi/http/ vulnerability_name

Wireshark: لتحليل حزم الشبكة ومراقبة حركة البيانات.

Hydra: أداة تخمين كلمات المرور (Password Cracking).

hydra -l admin -P passwords.txt target.com http-post-form "/login:user=^USER^&pass=^PASS^:F=incorrect"

الشهادات المعتمدة في الإختراق الأخلاقي

CEH (Certified Ethical Hacker): أشهر شهادة في المجال من EC-Council
OSCP (Offensive Security Certified Professional): شهادة عملية تتطلب اختراق أنظمة حقيقية
CompTIA Security+: شهادة أساسية في أمن المعلومات
GPEN (GIAC Penetration Tester): شهادة متقدمة في اختبار الإختراق
eJPT (eLearnSecurity Junior Penetration Tester): شهادة للمبتدئين عملية وسعرها معقول

كيف تبدأ في الإختراق الأخلاقي؟

تعلم أساسيات الشبكات: TCP/IP, DNS, HTTP, Protocols
تعلم نظام لينكس: معظم أدوات الإختراق تعمل على لينكس
تعلم لغة برمجة: Python للـ Scripting، JavaScript لفهم ثغرات الويب
تدرب على منصات قانونية: TryHackMe, Hack The Box, VulnHub
ثبت Kali Linux: إما على جهاز افتراضي أو على جهاز منفصل
احصل على شهادة: ابدأ بـ eJPT ثم OSCP
شارك في Bug Bounty: برامج مكافأة الثغرات في HackerOne و Bugcrowd

                            تحذير هام: الإختراق الأخلاقي مسؤولية كبيرة. استخدم معرفتك فقط في الأماكن المصرح بها. الاختراق غير المصرح به جريمة.
                        

منصات للتدرب القانوني

TryHackMe: منصة تعليمية للمبتدئين (مجانية ومدفوعة)
Hack The Box: منصة متوسطة ومتقدمة
VulnHub: أجهزة افتراضية قابلة للتحميل للتدرب
PortSwigger Web Security Academy: مجانية بالكامل لثغرات الويب
PentesterLab: تمارين عملية في اختبار الإختراق

الإختراق الأخلاقي مجال شيق ومتطور. الأمان ليس وجهة تصل إليها، بل رحلة مستمرة من التعلم والتحسين. ابدأ رحلتك اليوم!