🛡️ تقرير فحص أمان

تجارب حيّة · نتائج حقيقية مباشرة

افحص أي موقع مباشرة
من المتصفح

اكتب اسم موقع بالأسفل واضغط الزر — راح تشوف نتائج فعلية حيّة: العناوين، من يستضيفه، هل محمي بـ Cloudflare، وسرعة استجابته.

٥ تجارب حيّة

كل تجربة تفحص الموقع الهدف فعلياً وتطلع النتيجة أمامك. جرّب مواقع مختلفة!

ℹ️
هذي التجارب كلها استعلامات عامة وآمنة (نفس اللي يسويه أي متصفح) — تشوف معلومات منشورة علناً عن الموقع، ما تخترق ولا تضر شي.
🔍

١) عناوين الموقع (DNS)

شوف عناوين IP الحقيقية اللي ورا اسم الموقع
شنو تتعلم: اسم الموقع (مثل scanme.nmap.org) يترجم لعنوان رقمي (IP). موقع واحد ممكن عنده عدة عناوين للتوزيع والحماية.
🛡️

٢) هل الموقع محمي بوسيط (Cloudflare)؟

نكشف إذا كان في طبقة حماية تخفي السيرفر الأصلي
شنو تتعلم: بعض المواقع تستخدم وسيط مثل Cloudflare يقف قدام السيرفر الأصلي ويحميه ويخفيه — نفس اللي شفناه على موقعك.
🌍

٣) وين مكان السيرفر؟

الدولة، المدينة، والشركة المستضيفة لعنوان الموقع
شنو تتعلم: كل عنوان IP يعود لشركة استضافة بمكان جغرافي معيّن — تگدر تعرف بأي دولة وشركة يستضاف الموقع.

٤) هل الموقع شغّال وشگد سريع؟

نتأكد إن الموقع يستجيب ونقيس سرعة الرد
شنو تتعلم: نرسل طلب بسيط ونقيس الوقت للرد — كل ما قلّ الوقت، كان الموقع أسرع للمستخدمين.
📋

٥) سجلات الموقع الكاملة

سجلات الإيميل (MX)، خوادم الأسماء (NS)، والنصوص (TXT)
شنو تتعلم: كل موقع عنده سجلات تخبر عن خدمة إيميله، ومن يدير أسماءه، وإعدادات التحقق — معلومات مهمة بأي فحص.
🛡️

٦) رؤوس الحماية (Security Headers)

نحاول نقرأ دروع الحماية مباشرة من المتصفح
شنو تتعلم: المتصفح يمنع قراءة أغلب رؤوس الحماية (HSTS/CSP/X-Frame-Options) من موقع خارجي لأسباب أمنية بالمواصفة نفسها — حتى لو الموقع فعّلها. لهذا أدق طريقة تبقى الطرفية (curl -I).
🕵️

٧) كاشف التقنيات

نحاول نكتشف نوع نظام إدارة الموقع من كوده المصدري
شنو تتعلم: بعض المواقع تسمح بقراءة كودها من متصفح خارجي وبعضها لا (بسبب CORS) — لو فشلت التجربة هنا، نفس الفكرة تشتغل ١٠٠٪ بأداة whatweb بالطرفية.

💡 جرّب مواقع مختلفة وشوف الفرق:

scanme.nmap.org github.com google.com wikipedia.org cloudflare.com

🏁 التحدي الختامي

خلّصت الشرح التفاعلي والتجارب الحيّة؟ زين، هسه جرّب تطبّق كل شي سوا على موقع التدريب الرسمي.

📡 سؤال ١
شغّل تجربة "هل الموقع محمي بوسيط؟" (رقم ٢ فوق) على scanme.nmap.org — شنو النتيجة المتوقعة؟
محمي بـ Cloudflare ولا يظهر عنوانه الحقيقي
غير محمي — عنوانه الحقيقي ظاهر مباشرة، لأنه سيرفر اختبار رسمي مخصص للتدريب
ما إله عنوان IP أصلاً
💻 سؤال ٢
افتح طرفية Kali ونفّذ nmap scanme.nmap.org — أي منفذ من هذولاء متوقع تلاقيه open بشكل شبه مؤكد؟
22 (ssh)
3306 (قاعدة بيانات MySQL)
6379 (Redis)

📖 قاموس المصطلحات

منفذ Port
باب رقمي بجهاز السيرفر توصل منه خدمة معيّنة (مثل 80 للموقع، 22 للدخول عن بعد).
مفتوح / مغلق / محروس open / closed / filtered
حالة المنفذ: فيه خدمة شغّالة، أو ماكو خدمة، أو جدار ناري يحجب الرد.
TLS / SSL
تقنية تشفّر الاتصال بين متصفحك والموقع حتى ما أحد يتنصت عليه.
HTTPS
نسخة آمنة من HTTP تستخدم TLS/SSL — القفل الأخضر جمب عنوان الموقع.
DNS
"دليل الهاتف" للإنترنت — يترجم اسم الموقع (مثل google.com) إلى عنوان IP رقمي.
وسيط الحماية Proxy / Cloudflare
سيرفر يقف بين الزوار والموقع الحقيقي، يخفي عنوانه الأصلي ويصدّ الهجمات عنه.
HSTS
رأس حماية يجبر المتصفح يستخدم HTTPS دائماً مع الموقع، حتى لو المستخدم كتب http:// بالغلط.
CSP Content-Security-Policy
رأس حماية يحدد مصادر الأكواد المسموحة بالموقع، يمنع حقن سكربتات ضارة (XSS).
X-Frame-Options
يمنع مواقع ثانية من تضمين موقعك داخل إطار (iframe) مخادع لخداع المستخدم.
عنوان IP
الرقم التعريفي الفريد لأي جهاز متصل بالإنترنت — مثل عنوان بريدي رقمي.
nmap
أداة مجانية تفحص أبواب أي جهاز/موقع وتخبرك أي منها مفتوح.
WhatWeb
أداة تكتشف التقنيات اللي يشتغل بيها موقع (نوع السيرفر، لغة البرمجة، CMS...).