Edgenexus logo
Pricing
Edgenexus logo

لماذا تختار إدجينيكسوس؟

عرض أسعارنا

اختبار القيادة في أزور

تجربة مجانية

موازن التحميل

موازنة تحميل الخادم العالمي

جدار حماية تطبيقات الويب

منصة تسليم التطبيقات

حلول التطبيقات

تحالفات التكنولوجيا

الخدمات المصرفية والمالية

الشركات والمؤسسات

القطاع العام والتعليم

الرعاية الصحية

البنية التحتية لتكنولوجيا المعلومات

مزودو الخدمات المدارة

اقرأ:

مقارنة موازنات التحميل

دراسات الحالة

أوراق البيانات

المدونة

الأسئلة الشائعة

شاهد:

البرامج التعليمية

الندوات عبر الإنترنت

عرض توضيحي

اتصل بنا

صندوق الحماية الخاص بك لبطولات WAF وموازن التحميل

لأنك لا يجب أن تنتظر أن يريك أحد المخترقين مكان انكشاف تطبيقك

إذا كنت تقوم بتشغيل التطبيقات خلف منصة Edgenexus Application Delivery Platform (Load-Balancer + WAF)، فأنت تستحق ملعبًا للاختراق. ادخل إلى تطبيق الويب الضعيف اللعين (DVWA) – وهو تطبيق ويب ضعيف عن قصد مصمم لمحترفي الأمن والمطورين وفرق عمليات التطوير لاستعراض أدوات الاختبار الخاصة بهم وتقوية التكوينات وإثبات أن وضعك أكثر إحكامًا من مراجعة التعليمات البرمجية للعام الماضي.

dvwa

ما هو DVWA؟

DVWA هو تطبيق ويب PHP / MySQL مصمم ليكون… حسنًا… ضعيفًا للغاية. هدفه: منحك بيئة قانونية وواقعية لاختبار كيفية استغلال ثغرات الويب في العالم الحقيقي للأنظمة، وبالتالي كيفية استجابة مجموعة الحماية الخاصة بك.

اختبار القيادة
looxy logo
Looxy.io هو أداة الاختبار الخارجية التي نوصي بها. يمكنها تشغيل مجموعة متنوعة من اختبارات الأمان (واختبارات أخرى). والأفضل من ذلك كله أنه مجاني! looxy.io

كيف تعمل؟

يتمتع ALB-X بالقدرة على تشغيل التطبيقات المعبأة في حاويات والتي يمكن ضمها معًا مباشرةً أو باستخدام وكيل موازن التحميل. تحتوي هذه الصورة على إضافة واحدة منشورة بالفعل ولكن يمكنك دائمًا الانتقال إلى Appstore ونشر المزيد.

نظرة عامة على الاتصال

تستخدم الأجهزة الافتراضية التي يتم نشرها في سحابة Azure السحابية عناوين IP الداخلية الخاصة (عناوين IP الخاصة (NAT'ed IP) بنفس الطريقة التي يتم نشرها في بيئة مركز بيانات قياسية.

  • للوصول إلى المورد عبر الإنترنت العام يتم تنفيذ وظيفة NAT من عنوان IP العام المخصص إلى عنوان IP الخاص للجهاز الظاهري. يتم تخصيص عنوان IP واحد للجهاز ويتم استخدام منافذ مختلفة للوصول إلى الموارد المختلفة. يوضح الرسم البياني أدناه كيفية تواصل الوظائف المختلفة. تطبيق الويب الضعيف DVWA عبر الإنترنت.
dvwa Connectivity

اسم مضيف Docker/عنوان IP واتصال خدمة IP

تتواصل التطبيقات الإضافية المنشورة على ALB-X مع ALB-X من خلال واجهة شبكة docker0 الداخلية. يتم تخصيص عناوين IP لها تلقائيًا من تجمع docker0 الداخلي.

يتم تكوين اسم مضيف لكل مثيل للتطبيق الإضافي من خلال واجهة المستخدم الرسومية ALB-X قبل بدء تشغيل التطبيق. يستطيع ALB-X حل عنوان IP الخاص بـ docker0 للتطبيق باستخدام اسم المضيف الداخلي هذا. استخدم دائمًا اسم المضيف عند معالجة حاويات التطبيق - قد يتغير عنوان IP!

  • يتم تكوين خدمات IP باستخدام عنوان IP الخاص Azure eth0 على ALB-X للسماح بالوصول الخارجي إلى التطبيق الإضافي. يتيح ذلك استخدام وظيفة الوكيل العكسي لـ ALB-X لتنفيذ إلغاء تحميل SSL وترجمة المنافذ عند الحاجة. إذن هذه هي جميع المنافذ المفتوحة: إدارة واجهة المستخدم الرسومية ALB-X: 27376 DVWA: 80

الوصول إلى واجهة المستخدم الرسومية لاختبار القيادة

عندما تطلب اختبار القيادة يتم إنشاء مثيل جديد لجهاز اختبار DVWA في Azure.

  • بمجرد بدء تشغيله سيتم إعلامك باسم مضيف الإنترنت لتتمكن من الوصول إلى واجهة المستخدم الرسومية لمنصة ALB-X على الويب وكذلك اسم المستخدم الفريد ومجموعة كلمات المرور.
Test drive DVWS

نوصي باستخدام متصفح Chrome لهذا الغرض. الوصول إلى الخادم

https://host الاسم: 27376

  • نظرًا لأننا نستخدم شهادة SSL محلية للوصول إلى الإدارة، ستتم مطالبتك في متصفحك بقبول تنبيه الأمان. سترى شاشة خدمات IP التي تم تكوينها مسبقًا بمجرد تسجيل الدخول.
DVWS VIP

الوظائف الإضافية ALB-X

انقر على المكتبة في القائمة اليسرى وحدد الوظائف الإضافية. هنا يمكنك رؤية الوظيفة الإضافية DVWA التي تم نشرها على منصة ALB-X.

لقد تم تكوينه باستخدام حاوية أو اسم مضيف dvwa1 ويمكنك رؤية عنوان IP 172.x.x.x.x الديناميكي docker0 الذي تم تخصيصه عند بدء تشغيل التطبيق.

  • لاحظ أنه في بيئة Azure لا يتم استخدام أزرار الوصول إلى واجهة المستخدم الرسومية الإضافية. لا تتردد في النقر حول بقية واجهة واجهة المستخدم الرسومية ALB-X للتعرف عليها.

تطبيق الويب الضعيف اللعين

نظرًا لأن وظيفة DVWA هي التي تهتم بها، فمن المنطقي الآن إلقاء نظرة على واجهة المستخدم الرسومية DVWA. يعمل DVWA كما ترى من تسمية خدمات IP على المنفذ 80.

  • عند إدخال عنوان اختبار القيادة في متصفحك ستظهر لك صفحة إعداد DVWA.
DVWA DatabaseSetup

انقر على إنشاء/إعادة تعيين قاعدة بيانات

DVWS Create/Reset Database
  • تسجيل الدخول إلى DVWA باستخدام بيانات الاعتماد الافتراضية admin/كلمة المرور.
DVWA login
  • سيتم الآن تسجيل دخولك إلى DVWA كمسؤول.
DVWA welcome page

مستوى الأمان الافتراضي لـ DVWA هو ”مستحيل“ لذلك لن تظهر أي ثغرات أمنية.

  • يجب عليك تعيين المستوى إلى منخفض من خلال النقر على قائمة أمان DVWA واختيار ”منخفض“ من القائمة المنسدلة والنقر على إرسال. أصبح DVWA الآن جاهزًا وجاهزًا للاستخدام كهدف لاختبار الثغرات الأمنية.

حقن الأوامر

سنحاول استغلال إحدى ثغرات DVWA. كما نرى هناك صفحة في DVWA حيث يمكننا اختبار اتصال أي عنوان IP. دعونا نتحقق مما إذا كان DVWA يقوم بالتحقق من صحة معلمات الإدخال في وضع الأمان ”المنخفض“. أدخل ”127.0.0.1؛ cat /etc/passwd“ في حقل إدخال عنوان IP.

ها قد نجحنا في إدخال أمر عشوائي وحصلنا على قائمة بالمستخدمين المسجلين في نظام التشغيل.

  • هناك العديد من الموارد عبر الإنترنت حول استخدام DVWA والتي قد تساعدك في تحسين مهاراتك في أمن تطبيقات الويب. نحن نرحب بملاحظاتك ويسعدنا مساعدتك في إعداد تطبيق WAF الخاص بك للإنتاج. للمساعدة يرجى إرسال بريد إلكتروني pre-sales@edgenexus.io
dvwa logo

تطبيق الويب الضعيف اللعين (DVWA)

خادم ويب مستهدف قابل للتهيئة يمكن استخدامه لاختبار أداة WAF والهجوم

اختبار القيادة →

zap

أداة الهجوم على تطبيقات الويب ZAP

أداة هجوم تطبيقات الويب هي أداة لفحص الثغرات الأمنية تعتمد على OWASP ZAP

اختبار القيادة →

لا تأخذ كلمتنا على محمل الجد - خذ تجربة مجانية

أجهزة أو برامج أو حتى صورتك الخاصة على الإنترنت كاملة مع بيئة اختبار كاملة.
فقط أخبرنا بما تحتاجه هنا

اتصل بنا

جربها الآن

الدعم