Netsparker – Web Application Security Scanner

Netsparker هو عبارة عن برنامج فحص أو ماسح لخوادم الويب أي Web Application Security Scanner … والشركة المنتجة لا تقوم بإنتاج أي منتج آخر ولهذا تركيزهم كله منصب على هذا البرنامج الرائع … الأسبوع الماضي قمت بتجربة هذا الماسح على خوادم منها للتجربة ومنها تعود لبيئة العمل وبصراحة كانت نتائج الماسح Netsparker مميزة … خاصة وإنني قمت بإستعمال النسخة المجانية والتي لا تحتوي على جميع الإمكانيات … الماسح Netsparker يمتاز بإمكانيات متعددة منها:
إكتشاف ثغرات SQL Injection
إكتشاف ثغرات Cross-site Scripting أو XSS
إكتشاف ثغرات Local File Inclusion أو ما يعرف بـ LFI
إكتشاف ثغرات Remote File Inclusions أو ما يعرف بـ RFI
إكتشاف Remote Code Injection / Evaluation

وجود Integrated Exploitation Engine بداخله يمكنك من إستغلال الثغرة في حالة إكتشافها …
التعامل مع عدة أنظمة تخص الـ Authentication مثل Basic Authentication و NTLM Authentication و Digest Authentication وغيرها
كونه يحتوي على Exploitation Engine فذلك يمكنه من عمل بعض الـ Post-Exploitation
إكتشاف صفحات الخلل 404 الخاصة
إكتشاف إمكانية عمل OS Level Command Injection على الخادم
وغيرها الكثيير جداً، لمعرفتهم جميعهم أقرأ هنا

شعارهم هو False Positive Free … أنصح بتجربته للتأكدوا إن كان فعلاً كذلك أم لا … عني شخصياً ذُهلت بإمكانياته …

نبذة عن الكاتب

علي ([email protected]). دكتوراة في أنظمة الحاسوب. يعمل كأستاذ جامعي في قسم علم الحاسوب. مختص في التحقيقات الجنائية الالكترونية والإستجابة للحوادث الالكترونية (DFIR)، أمن الشبكات وتحليلها، وكذلك أمن أنظمة التشغيل المختلفة. حاصل على العديد من الشهادات التقنية، وسابقاً كان يعمل كمختص في جدر النّار، أنظمة كشف الاختراق، ادارة الثغرات والترقيعات، حماية الأنظمة، فحصوصات الاختراق، وتطبيق السياسات. مسؤول سابق عن متابعة وتطبيق (PCI DSS).

التعليقات:

أضف تعليقاً | عدد التعليقات: (10)

  1. يقول [email protected]:

    نسيت أن أذكر بإن طريقة إستعماله ولا يمكن يكون في برنامج أسهل من هذا !!! 🙂

  2. يقول بشار:

    أبو محمد ما هو الفرق بين هذا الماسح والماسح الموجود في Nessus المجاني؟ وما الفرق كذلك بينه وبين Burp؟

    أنا اعرف أن كلاهما فيه false positive. وNessus على الأقل لا يحتوي على اطلاق لل exploit.

  3. يقول [email protected]:

    هلا بشار … الفرق حسب وجهة نظري المتواضعة هو وجود الـ Exploitation Engine فيه وأيضاً سهولة إستعماله لدرجة لا توصف وأيضاً حين قمت بتجربته وتجربة Nessus على نفس الأهداف حصلت على نتائج إضافية من خلاله … ولا تنسى بإن Nessus أضافوا ميزة فحص خوادم الويب ليس من فترة طويلة على ما أذكر …

    Burp بشار لم أجربه للأمانة ولهذا لا استطيع الحكم عليه … بالإضافة الى جميع ما ذكر، فأنا لست بخبير في أمور الـ Web Attacks …

  4. ومالفرق بينه وبين w3af فهو يحتوي ايضاً على Exploitation Engine !
    شكراً أخ علي

  5. يقول GeeKZ:

    يبدو جميل و ذو كفائه جيده سأقوم بتجربته ان شاء الله في القريب العاجل

  6. يقول mostafa313:

    جارى التجربة يااخى

  7. يقول Ghost Hacker:

    لم أقم بتجريبه من قبل .. ولكن ليس هناك مانع من تجريبه ..
    بالنسبة لي في بيئة ويندوز استخدام Acunetix Web Vulnerability Scanner
    جزاك الله خيراً أستاذ

  8. يقول fadel:

    البرنامج رائع بعد التجربة
    ولكن لﻷسف ينقصه الكثير من المزايا ﻻ يمكن الحصول عليه إﻻ بثمن خيالي 1000$
    :s

  9. يقول knari:

    اولا مشكور استاذنا الدكتور….راح اجرب البرنامج

  10. يقول Hackshow Team:

    Yep is too expnsive you can download crack what u can do more this companies don’t make sense … so we try cracked progs

أكتب تعليق