أفضل المواقع لـ تعليم الأمن السيبراني
- Codecademy
أكبر منصة تعليم لغات برمجة ولغات أخرى كترميز وأكثر من 45 مليون مستخدم
- Coursera
منصة ضخمه تضم الأف الدروس عن البرمجة والمحيط السيبراني
- Cybary
منصة تدريبيه عن تطوير مهاراتك في الأمن السيبراني وتقدم دروس وتدريب مفيد جدََا
ثريد : قصتي مع الحاسب من عام ٢٠٠٧ الى عام ٢٠٢١
كيف بدء شغفي في الحاسب ؟
كيف وصلت لربح ٢٠ الف ريال💸 في الشهر وانا طالب في الثانوية ؟
سوف اذكرها بشكل متسلسل اسفل التغريدة ؟
مشروع ضخم على منصة "Github" يحتوي على مصادر وأدوات في الأمن السيبراني بكافة مجالاته مفتوحة المصدر لـ محللين والباحثين بألتهديدات الإلكترونية. مفيدة جدََا
مشروع على منصة الـ"Github" بداخله أكثر من 9000 مرجع ونصوص وأدوات ودورات تدريب وتقنيات هجوم وأبحاث ثغرات أمنية وهندسة أجتماعية وتقارير أختراق وموارد أخرى مفيدة تساعد مبتدئ الأمن السيبراني على تعلم مهارات جديدة وتطويرها وبناء بيئة سيبرانية مستعدة لأي هجوم.
مع تزايد الهجمات السيبرانية في الفترة الأخيرة سوف أذكر أهم الشهادات للأحتراف في الـ SOC - مركز عمليات أمن المعلومات :
- NSF "Network Security Fundamentals"
- CASP "Advanced Security"
- eCIR "Incident Responser"
- eCDFP "Certified Digital Forensic"
- EDR "Disaster Recovery"
يتبع..
أفضل 10 جهات تقدم تدريب وشهادات في الأمن السيبراني :
- Offensive Security
- EC-Council
- The SANS Institute
- Global Information Assurance Certification
- Elearning security
- (ISC)2
- MIS Training Institute
- Cybrary
- FedVTE
- Infosec Institute
ثريد : طرق استخراج ip الدومين والبورتات التابعه
اليوم سوف أتحدث عن أكثر من طريقة تساعدك على استخراج ip الدومين و البورتات بطرق بسيطة
سوف اذكر بشكل متسلسل في أسفل التغريدة⤵️
مشروع ضخم تعليمي "Open Source Society University". عن علوم الكمبيوتر لـ فهم الأساسيات في جميع تخصصات الحاسب وبناء معرفة ذاتيه ضخمه في هذا المجال ويحتوي ايضاََ على دورات وكتب ومناهج علمية أرشادية لـ برامج درجة البكالوريوس .. مفيد جدََا
📌ثريد : اساسيات البدء في مجال اختبار الاختراق
سوف اتكلم عن خطوات باذن الله توصلك لمستوى عالي خلال فترة بيسطة
كثير يسالني كيف احترف في اختبار الاختراق
وراح اضع تسلسل اسفل التغريدة⤵️
من الأساسيات والمهارات المطلوبة لـ حياة مهنية في مجال الأمن السيبراني تعلم أستخدام أنظمة تشغيل "Linux". لأجراء اختبارات اختراق متعمقة وتقييم نقاط الضعف وفحص الشبكات. 76% من متخصصي الأمن السيبراني يقومون بأستعماله ولأنه نظام مفتوح المصدر يوفر ملايين من السطور البرمجية.
#سناريو_اختبار_اختراق : سوف أقوم بعمل سلسلة عن سناريوهات أختبار اختراق بشكل مستمر باذن الله
سناريو اليوم : اختبار الاختراق على ثغرة xss
سوف اتحدث عنها بشكل متسلسل اسفل التغريدة ⤵️
قائمة على منصة "Github" لـ جميع الأسئلة التي ممكن تطرح في المقابلات الوظيفية لمجال الأمن السيبراني وقد تم طرحها سابقََا في مقابلات حقيقة في Infosec. ويتم تحديث الأسئلة بتسلسل زمني.
📝أنجازاتي في 2021
- أكتشاف ثغرات أمنية في أكثر من 30 جهة في العالم 🌟
- تولي منصب مستشار في عدة جهات 🌟
- تأسيس شركة درع مع عدد من المستثمرين 🌟
- تأسيس منتجين في الأمن السيبراني خلال 10 شهور، تحت طور تجربة المستخدم وسيتم تدشينها في عام 2022 🌟
نسأل الله التوفيق..
لـ فهم كيفية أختراق المهاجم للأنظمة والشبكات وطرق الأستغلال التي يستخدمها في محاولاته للأستهداف. على متخصص الأمن السيبراني فهم لغات البرمجة المهمة للأمن السيبراني من بعضها :
- Python
- Java
- Javascript
- C
- C++
- Ruby
- PHP
- SQL
- Perl
أداة "linWinPwn". باش سكربت يقوم بعمليات متعددة لـ فحص المسارات وبحثََا عن ثغرات أمنية وتقييم جودة الأمان. مفيد جدََا ويحتوي على عدة أدوات بداخله رائعة.
- للأستخدام التعليمي فقط -
مشروع "OSINT - استخبارات المصادر المفتوحة" ضخم على الـ Github. للبحث الجنائي الرقمي يضم العديد من المشاريع مفتوحة المصدر يتم أستخدامها لـ جمع أكبر قدر من المعلومات الأستخبارية من المصادر العلنية والمتاحه للجميع.
- تم بناء هذا المشروع لأغراض تعليمية فقط -
قائمة منسقة لـ "CTF - Capture The Flag" تحتوي على مكتبات وموارد وبرامج تعليمية تستهدف المبتدئين في مجال الأمن السيبراني لـ تطويرهم ليصبحوا لاعبي محترفين في كل مسابقات الـ CTF.
أكبر قائمة مصادر تحتوي على 4000 الاف مصدر عن الـ OSINT. "Open Source Intelligence investigation - استخبارات المصادر المفتوحة". تجميعة مجانية لأفضل الأدوات والموارد لتوسيع خبرتك في المجال.
أداة "PenDock" هي حاوية عاملة بواسطة Docker توفر لك بيئة سطح مكتب لأنظمة الـ Kali Linux أو Blackarch لتجارب أختبار الأختراق. تم بناء هذا المشروع لأغراض تعليمية.
في يوم الوطن يسرني أن أعلن عن تأسيس وإطلاق شركة درع المتخصصة في مجال الأمن السيبراني.🇸🇦
نحاول في درع ومن خلال كوادر سعودية موهوبة أن نصنع تجربة مختلفة للعملاء من خلال منتجات رقمية ذكية وخدمات سيبرانية بجودة عادية.🙏🏻
نتشرف بمتابعتكم عبر الحساب :
@shielditsa
💚💚💚
- أفضل انظمة لينكس للأستخدام الشخصي وللبرمجة -
- Debian GNU/Linux
- Ubuntu
- openSUSE
- Arch Linux
- Elementary OS
- Fedora
- Pop!_OS
- Solus OS
- Kali Linux
- Manjaro Linux
- Raspbian
ثريد : المواقع التي تدعم سياسية الافصاح عن الثغرات ومنصات لمكافات وشهادات الشكر ؟
سؤال يسالني الكثير كيف أبلغ الجهة عن ثغرة وجدتها؟
راح اذكر الخطوات متسلسلة اسفل التغريدة ⤵️
منهج دراسي للأمن السيبراني يركز على مبادئ الأمن والتشفير الكلاسيكي والتشفير الحديث والبرمجيات الخبيثة والأمن المادي وأمن الويب وايضاََ تحتوي على وحدات وأنشطة يمكن أستخدامها وتم تصميمها بحيث تقدم معرفة عامة للطالب المبتدئ في هذا المجال.
ماهو الـ PAYLOAD البايلود (الحمولة) ؟
عبارة عن اكواد خبيثة تساعد مختبر الاختراق ..التعديل على الاستعلامات المرسلة.
وتعتبر من ثغرات الحقن (injection)
سوف اذكر في أسفل التغريدة أمثلة بشكل متسلسل ⤵️
في نظام ويندوز غالبََا توجد ملفات من نوع "dll" واذا أردت معرفة هذا الملف ولماذا يعمل على جهازك وما هي وظيفته ؟ بأستطاعتك من خلال هذا الموقع معرفة كل ذلك ببساطة.
#سيناريو_اختراق اليوم سوف اتحدث عن ثغرة أمنية في Apache
⚠️الشرح اخلاقي للفائدة
🧑💻الاصدار المستهدف : Apache version 2.4.49
🛑نوع الثغرة : LFI
🗓️تاريخ اكتشاف الثغرة : 5-10-2021
📄معرف الثغرة : CVE-2021-41773
سوف اتحدث عن الثغرة بشكل متسلسل اسفل التغريدة ⬇️
#cybersecurity
منهج "OSSU" في تعليم علوم الكمبيوتر لـ جميع تخصصات الحاسب من أفضل الدورات التدريبية في العالم يحتوي على لغات البرمجة وكيفية البرمجة ومتطلبات أساسيات الحاسب في كل أطارات عالم الكمبيوتر. بأمكانك دراسته في غضون عامين اذا خصصت ما يقارب 20 ساعة في الأسبوع.
ثريد : 🔍 انواع الفحص – Types of Scanning على مستوى الشبكة في مجال اختبار الاختراق :
1-فحص الشبكة.
2-فحص المنافذ.
3-فحص الثغرات.
سوف اقوم بذكرها بشكل متسلسل أسفل التغريدة⤵️
📌خطوات كتابة تقرير عن ثغرة أمنية :
1-معلوماتك الشخصية (اسمك - ايميلك - جوالك )
2-عنوان الثغرة
3-اسم الثغرة
4-خطورة الثغرة
5-النطاق المصاب
6-وصف الثغرة
7-خطوات تنفيذ الثغرة
8-اثبات الثغرة - يفضل صور او فيديو
10-خطوات اصلاح الثغرة : اخيتاري
9-معلومات أضافية - أن وجدت
راح أتكلم لكم عن ثغرة "log4shell" التي هددت أمن مواقع عالمية . أخطر ثغرة أمنية إنتشارََا هذي الفترة
- نظرة عامة عن الثغرة
- أبرز الشركات التي اصيبت بها
- أمثلة على استغلال الثغرة
- ادوات خاصه لفحص الثغرة
تابعوا معي أسفل التغريدة
#سيناريو_اختراق اليوم سوف اتحدث عن ثغرة أمنية في Google SLO-Generator
⚠️الشرح اخلاقي للفائدة
🧑💻الاصدار المستهدف : Google SLO-Generator 2.0.0
🛑نوع الثغرة : RCE
🗓️تاريخ الثغرة : 28-09-2021
📄CVE-2021-22557
سوف اتحدث عن الثغرة بشكل متسلسل اسفل التغريدة ⬇️
#cybersecurity
رغم وجود العديد من محركات البحث في الأنترنت. يعتبر "Shodan" محرك البحث الأول الخاص لـ مختبر ألاختراق يقوم بـ عمليات مسح عميقه للمنافذ المفتوحة ويحتوي على أدوات اخرى مفيدة.
📌كيف ممكن أقوم بأظهار كود مخفي من المبرمج ؟
📄راح اشرح طريقة مبسطة اظهار كود مخفي اثناء اختبار الاختراق .
🧑💻بعض المبرمجين يقومون باخفاء بعض الاكواد وينسى حذفها او يخفيها من اجل تنفيذ امر بدون ان يراه المستخدم
1⃣comment code
2⃣type input hidden
سوف اذكرها أسفل التغريدة ⤵️
تقنية "Honeypot" من آليات الأمان السيبرانية حيث يتم برمجتها وتصميمها لـ تحتوي على خوادم وبيانات مزيفة ليتم أستغلالها عن طريق المخترق. بحيث أن يقع المهاجم في الفخ يتم جمع أكبر قدر من المعلومات الأستخبارية ومعرفة أحدث طرق الأستغلال التي قام بها ودراسة سلوك المخترق.
أداة "Burp Suite" تعتبر من أقوى الأدوات التي تمكنك في أختبار إختراق تطبيقات الويب. يحتوي على مجموعة من التقنيات التي تؤهلك لـ فحص أمان التطبيقات وتحليل نقاط الضعف في التطبيقات .. أداة قوية ويسهل أستخدامها
- رابط طريقة أستخدامها في الـPenetration Testing -
#سيناريو_اختراق : اليوم سوف اتكلم عن ثغرة على مستوى الشبكة المحلية
الحصول على امتيازات Administrator
⚠️الشرح اخلاقي للفائدة
👨🏻💻البرنامج المستهدف : Remote Mouse 3.008
🗓تاريخ الثغرة : 17-06-2021
📄رقم المعرف : CVE-2021-35448
سوف اذكرها بشكل متسلسل اسفل التغريدة⬇️
أداة "NeSSi2" لـ محاكاة أمان الشبكة مفتوحة المصدر. يحتوي على مميزات ويركز على أختبار أمني للشبكة مثل خورازميات كشف التسلل وتحليل الشبكة والهجمات الآلية القائمة على الملف الشخصي وبالأضافه مكونات لأغراض البحث والتقييم الأمني.
قبل أن تبدأ في العالم السيبراني تحتاج لـ فهم الأساسيات للأمن السيبراني وأساسيات الشبكات ونقاط الضعف والويب والهجمات الشائعة وتكتيكات أختبار الاختراق والبرمجة وأستخدام نظام لينكس وتعلم سيناريوهات الهجمات. والبرمجة والأدوات. لازم تعزز مهاراتك التقنية لكي تبحر في الفضاء السيبراني.
أداة "Reconmap" عبارة عن نظام أساسي ومنصة تعاون مفتوحة المصدر لأدارة الثغرات الأمنية ولـ تقييم نقاط الضعف وأختبار الأختراق. من التخطيط إلى الأختبار وأعداد التقارير.
#سيناريو_اختبار_اختراق : الوصول لمعلومات من خلال api📄
كيف ممكن اتلاعب في api وأحصل على معلومات ليس لي صلاحيات عليها💻
سوف أتحدث عنها بشكل متسلسل أسفل التغريدة⤵️
ثريد : البحث عن الدومينات الفرعية والمسارات الخاصه بها
1-طريقة البحث عن دومينات فرعية ؟
2-طريقة البحث عن مسارات الدومين ؟
سوف اذكرها بشكل متسلسل في أسفل التغريدة ⤵️
✉️لله الحمد من قبل ومن بعد ..
وصلتني اليوم رسالة ؛ من وزارة الخارجية الأمريكية مفادها " شكر وثناء ، على مساهمتي في رفع مستوى الحماية " بعد إرسال تقرير بخصوص إحدى الثغرات الأمنية لديها .
الحمدلله الذي بنعمته تتم الصالحات ، للمرة الخامسة على التوالي ، شركة ساب سوف تقوم بنشر معلوماتي ؛ في تقريرها الخاص والذي يدور حول الباحثين عن الثغرات الأمنية في أنظمتها لشهر نوفمبر من هذا العام الميلادي.
📄بعد تقديمي تقرير عن ثغرة في أحد منصات #قوقل
تم رفض اعطائي مكافاة ..بسبب التأثير الامني الضعيف
📌نصحية : عند تقديم تقرير عن أي ثغرة تجدها..حاول زيادة تاثير الثغرة الى مستوى عالي .
مثال
xss to sql injection
اليوم يصلني ايميل تأكيد من شركة apple بعد اكتشافي ثغرة امنية ..اللهم لك الحمد 🌹
وسيتم وضع اسمي خلال الايام القادمة على صفحة الشكر لباحثين الأمنيين عن الثغرات في شركة ابل
ما هو ملف robots.txt لمواقع الويب ؟
ملف يقوم بتوضيح لعناكب محركات البحث عن المسارات الذي يسمح نشرها او لا يسمح نشرها على محركات البحث 🔍
أسلوب يستخدمة بعض مختبرين الاختراق ؟ 💡
1⃣البحث عن مسار الملف - مثال test/robots.txt
2⃣معرفة المسارات والتخمين عليها
مثال ⤵️
#سيناريو_اختراق : اليوم سوف اتكلم عن ثغرة
XSS في لوحة تحكم نظام Seo Panel
⚠️الشرح اخلاقي للفائدة
👨🏻💻النسخة المستهدفه : Seo Panel 4.8.0
🗓تاريخ الثغرة : 22-03-2021
📄رقم المعرف : CVE-2021-2817
سوف اذكرها بشكل متسلسل اسفل التغريدة⬇️
كتاب " فن الحرب السيبرانية - The Art of Cyberwarfare". كتاب رائع يهدف هذا الكتاب الى توفير مفهوم عميق للهجمات الالكترونية وتحليل متعمق للمهاجمين وتأثيرهم للقطاعات الخاصة أو الحكومية .. مفيد جدََا لمن اراد شرح مفصل عن المجال.
1️⃣شرحت سيناريو لثغرة ظهرت قبل ايام في apache قامت بتحديث الاصدار الشركة الى 2.4.50 ولكن للاسف التحديث الجديد يوجد فيه نفس الثغرة في اصدار 2.4.49
💡الهدف من تحديث الثغرة ليس فقط زيادة مستوى حماية النظام
يجب على اي جهة عند التحديث التاكد من الثغرة هل تم تحديثها بشكل سليم
#سيناريو_اختراق اليوم سوف اتحدث عن ثغرة أمنية في Apache
⚠️الشرح اخلاقي للفائدة
🧑💻الاصدار المستهدف : Apache version 2.4.49
🛑نوع الثغرة : LFI
🗓️تاريخ اكتشاف الثغرة : 5-10-2021
📄معرف الثغرة : CVE-2021-41773
سوف اتحدث عن الثغرة بشكل متسلسل اسفل التغريدة ⬇️
#cybersecurity