دليل تفاعلي · جرّب بنفسك

مختبر أمن المواقع
للمبتدئين

دليل تعليمي كامل يوديك خطوة خطوة: تفهم الفكرة، تجرّب محاكاة، تفحص مواقع حقيقية من متصفحك، وتختم بتحدي عملي. كل شي مجاني ومصمّم للمبتدئ تماماً.

🗺️ من وين نبدأ؟

اتبع الترتيب هذا حتى توصل لأقصى فايدة — كل خطوة تبني على اللي قبلها.

١

📘 الشرح التفاعلي

افهم الأساسيات بأمثلة من الحياة اليومية: المنافذ، nmap، HTTPS/TLS، ورؤوس الحماية — مع محاكاة تجرّبها بنفسك ثم كويز قصير.

ابدأ من هنا ←
٢

🧪 التجارب الحيّة

اكتب اسم أي موقع وشغّل فحوصات حقيقية من متصفحك: DNS، كشف Cloudflare، الموقع الجغرافي، السرعة، ورؤوس الحماية.

جرّب الآن ←
٣

🛠️ الأدوات (OWASP ZAP)

بعد ما تفهم الشبكة (nmap)، تعلّم أداة تفحص كود الموقع نفسه وتلگط ثغرات مثل XSS و SQL Injection.

افتح الأدوات ←
٤

🏁 التحدي الختامي

بعد ما تخلّص كل شي فوق، جرّب تطبّق كل شي على موقع تدريب حقيقي وتجاوب أسئلة عملية.

خض التحدي ←
٥

📊 عرض Nmap التقديمي

سلايدات مرجعية بالعربي تلخّص أساسيات nmap — حمّلها ورجّع لها وقت ما تحتاج.

حمّل الملف ←

📜 خارطة الموقع الكاملة

هذا هو الترتيب الصحيح لكل قسم بالموقع — اتبعه بالضبط، واضغط على أي سطر يوديك له مباشرة.

🛠️ الأدوات (OWASP ZAP) tools.html

فاحص ثغرات تطبيقات الويب — ٧ أقسام بالترتيب.

📊 عرض Nmap التقديمي PDF

مرجع خارجي تحمّله وترجع له وقت ما تحتاج.
🏢
ليش نتعلّم هذا؟ فحص أمن الموقع مثل تفقّد أبواب بنايتك — تعرف وين نقاط الضعف قبل لا يعرفها غيرك. المشروع هذا نشأ من تجربة حقيقية لفحص موقع فعلي، وتحوّل لمادة تعليمية كاملة.

🎓 هدف الدليل

توصل تفهم شلون تفحص أمن أي موقع (تملكه أو مسموح فحصه) بثقة — من غير خبرة سابقة، وبأدوات مجانية بالكامل.

⚠️
قاعدة ذهبية: افحص فقط المواقع اللي تملكها، أو موقع التدريب الرسمي scanme.nmap.org. فحص مواقع الآخرين بدون إذن ممنوع قانونياً.

📖 قاموس المصطلحات

منفذ Port
باب رقمي بجهاز السيرفر توصل منه خدمة معيّنة (مثل 80 للموقع، 22 للدخول عن بعد).
مفتوح / مغلق / محروس open / closed / filtered
حالة المنفذ: فيه خدمة شغّالة، أو ماكو خدمة، أو جدار ناري يحجب الرد.
TLS / SSL
تقنية تشفّر الاتصال بين متصفحك والموقع حتى ما أحد يتنصت عليه.
HTTPS
نسخة آمنة من HTTP تستخدم TLS/SSL — القفل الأخضر جمب عنوان الموقع.
DNS
"دليل الهاتف" للإنترنت — يترجم اسم الموقع (مثل google.com) إلى عنوان IP رقمي.
وسيط الحماية Proxy / Cloudflare
سيرفر يقف بين الزوار والموقع الحقيقي، يخفي عنوانه الأصلي ويصدّ الهجمات عنه.
HSTS
رأس حماية يجبر المتصفح يستخدم HTTPS دائماً مع الموقع، حتى لو المستخدم كتب http:// بالغلط.
CSP Content-Security-Policy
رأس حماية يحدد مصادر الأكواد المسموحة بالموقع، يمنع حقن سكربتات ضارة (XSS).
X-Frame-Options
يمنع مواقع ثانية من تضمين موقعك داخل إطار (iframe) مخادع لخداع المستخدم.
عنوان IP
الرقم التعريفي الفريد لأي جهاز متصل بالإنترنت — مثل عنوان بريدي رقمي.
nmap
أداة مجانية تفحص أبواب أي جهاز/موقع وتخبرك أي منها مفتوح.
WhatWeb
أداة تكتشف التقنيات اللي يشتغل بيها موقع (نوع السيرفر، لغة البرمجة، CMS...).