دليل تفاعلي · جرّب بنفسك

مختبر أمن المواقع
للمبتدئين

راح نفهم سوا شلون نفحص حماية أي موقع — بأمثلة من الحياة اليومية وتجارب حقيقية تگدر تجربها بنفسك خطوة خطوة.

$ nmap -sV scanme.nmap.org
١

شنو يعني نفحص موقع؟

قبل أي شي، خلّي نفهم الفكرة الأساسية.

تخيّل أن الموقع مثل بناية. البناية بيها أبواب كثيرة — كل باب يوصّلك لخدمة معينة: باب للموقع نفسه، باب للإيميل، باب لقاعدة البيانات… وهكذا.

لمّا "نفحص" الموقع، إحنا نمشي على كل باب ونشوف: هل هو مفتوح؟ مغلق؟ لو محروس بحارس؟ — هذي الأبواب اسمها بلغة الشبكات المنافذ (Ports).

🏢
الفكرة ببساطة: كل باب مفتوح = طريقة يدخل بيها أي أحد. كل ما قلّت الأبواب المفتوحة غير الضرورية، صار الموقع أأمن. الفحص بس يخليك تعرف أي أبواب مفتوحة حتى تقرر شنو تسوي بيها.
٢

حالات الأبواب (المنافذ)

اضغط على كل باب حتى تفهم شنو يعني.

🚪 جرّب: اضغط على أي باب
كل منفذ ممكن يكون بواحدة من ٣ حالات — هاي أهم فكرة بالفحص كله.
🟢مفتوحopen
🔴مغلقclosed
🟡محروسfiltered
👆 اضغط على باب فوق حتى يظهر الشرح هنا.
٣

شلون تشتغل أداة nmap؟

اضغط الزر وشوف بعينك شلون تفحص nmap باب.

📡 محاكاة حيّة
nmap ترسل "رسالة صغيرة" للباب وتنتظر الرد — الرد يخبرها إن كان الباب مفتوح.
💻
جهازك (nmap)
🖥️
الموقع الهدف
جاهز…
٤

تجارب حقيقية — جرّبها بنفسك

أوامر آمنة تگدر تنسخها وتشغّلها. كل تجربة تعلّمك شي.

⚠️
قاعدة ذهبية: افحص فقط المواقع اللي تملكها، أو موقع التدريب الرسمي scanme.nmap.org (مسموح للتجربة). فحص مواقع الآخرين بدون إذن ممنوع قانونياً.
التجربة ١
🧪 فحص أول موقع

شوف أبواب موقع التدريب

هذا الأمر يفحص موقع التدريب الرسمي ويوريك أي أبواب مفتوحة.

nmap scanme.nmap.org
🔎 المتوقع: راح تشوف قائمة PORT فيها أبواب مثل 22 (ssh) و80 (http) مكتوب جمبها open.
التجربة ٢
🕵️ من ورا الموقع؟

اكتشف التقنيات اللي يستخدمها موقع

أداة whatweb تخبرك بأي سيرفر وتقنيات يشتغل الموقع — مفيدة جداً.

whatweb scanme.nmap.org
🔎 المتوقع: أسماء تقنيات مثل نوع السيرفر (Apache/Nginx) ولغة الموقع.
التجربة ٣
🌐 من يستضيف الموقع؟

شوف عنوان الموقع الحقيقي (IP)

هذا يوريك العناوين ورا الموقع. جرّبه على موقع محمي بـ Cloudflare وراح تشوف عناوين Cloudflare مو الموقع الأصلي!

nslookup github.com
🔎 المتوقع: عنوان أو أكثر مثل 140.82.x.x. هاي فكرة مهمة: بعض المواقع تخفي سيرفرها الحقيقي ورا وسيط.
🔗 جرّبها حيّة على موقع حقيقي من متصفحك ←
التجربة ٤
🛡️ رؤوس الحماية

شوف "دروع" الحماية بموقع

كل موقع يرسل معلومات مخفية اسمها Headers — بعضها دروع حماية. هذا الأمر يعرضها.

curl -I https://github.com
🔎 المتوقع: سطور مثل strict-transport-security — وجودها = حماية أقوى.
٥

فحص متقدم: اكتشف نقاط ضعف موقعك بـ nmap

nmap مو بس يفحص الأبواب المفتوحة — عنده أوامر متقدمة توريك "وين" نقطة الضعف بالضبط.

⚠️
مهم تفهمها زين: هذا فحص استطلاعي (Reconnaissance) — يعني يوريك المعلومات والثغرات المحتملة بس، وما "يخترق" الموقع فعلياً ولا يدخل بيه. استخدمه فقط على موقعك الخاص أو scanme.nmap.org.
🖥️ محاكي: جرّب الأوامر المتقدمة بنفسك
اختار أمر من الأزرار، اضغط تشغيل، وشوف شلون يجي الرد المتوقع خطوة بخطوة.
nmap -sV scanme.nmap.org
جاهز…
📋 ليش نستخدم كل أمر؟ وشنو نستفاد منه؟
🔖
-sV (كشف الإصدارات) — ليش نستخدمها: عشان نعرف بالضبط أي نسخة برنامج شغّالة ورا كل باب، مو بس اسم الخدمة. شنو نستفاد: نگدر نطابق رقم النسخة بقواعد الثغرات المعروفة (CVE) ونعرف هل موقعنا عرضة لهجوم موثّق قبل لا يكتشفه حد ثاني.
🩹
--script vuln (فحص الثغرات) — ليش نستخدمها: عشان تشغّل مئات فحوصات الثغرات الجاهزة آلياً بدل ما ندوّر عليهم وحدة وحدة يدوياً. شنو نستفاد: توفّر وقت هائل وتعطينا تقرير مباشر بأي ثغرة موثّقة موجودة فعلياً بالسيرفر، مع رقم CVE نرجع له.
💻
-O (كشف نظام التشغيل) — ليش نستخدمها: لأن نظام التشغيل نفسه ممكن يكون قديم ومليان ثغرات حتى لو كل البرامج فوقه محدّثة. شنو نستفاد: نعرف هل يحتاج السيرفر تحديث نظام تشغيل كامل — قرار يأثر على كل الخدمات مو بس وحدة.
🧭
وشنو أسوي لو انلقت ثغرة؟ هذي الأوامر تكتشف وين المشكلة بس — الإصلاح يصير بتحديث البرنامج المتأثر لآخر نسخة. لفحص أعمق بمستوى كود الموقع نفسه (XSS, SQL Injection)، جرّب أداة OWASP ZAP.
🔗 انتقل لصفحة الأدوات (OWASP ZAP) ←
٦

القفل الأخضر: HTTPS و SSL

شنو يعني القفل اللي تشوفه جمب عنوان أي موقع؟

لمّا تدخل موقع وتشوف 🔒 قفل جمب العنوان، معناه الاتصال بينك وبين الموقع مُشفّر — يعني لو أحد تنصّت على الشبكة، ما راح يفهم شي. هذا اسمه HTTPS ويعتمد على تقنية اسمها SSL/TLS.

✉️
مثال: بدون تشفير، بياناتك مثل بطاقة بريدية — أي أحد يمر عليها يقرأها. مع HTTPS، صارت مثل رسالة داخل ظرف مقفّل — بس أنت والموقع تفتحونها.

بس مو كل تشفير قوي! في نسخ قديمة من TLS (مثل TLS 1.0 و 1.1) صارت ضعيفة وممكن كسرها. المواقع الآمنة تستخدم TLS 1.2 و1.3 بس.

٧

لعبة: ارفع تقييم الموقع من B إلى A

هاي بالضبط اللي صار بفحص حقيقي — طفّي النسخ القديمة وشوف التقييم يرتفع.

🎯 محاكي التقييم
النسخ القديمة تحبس التقييم على B. طفّيها ليصير A.
TLS 1.0 نسخة قديمة وضعيفة
TLS 1.1 نسخة قديمة وضعيفة
TLS 1.2 حديثة وآمنة — تبقى شغّالة
TLS 1.3 الأحدث والأقوى — تبقى شغّالة
B
التقييم الحالي

👆 طفّي النسختين القديمتين (TLS 1.0 و 1.1) وشوف شنو يصير.

٨

دروع الحماية (Security Headers)

شغّل كل درع وشوف "مقياس الحماية" يمتلئ.

🛡️ فعّل الدروع
هذي رؤوس حماية بسيطة تضيفها لموقعك، كل وحدة تسد نوع هجوم.
الحماية: ٠٪
HSTS يجبر المتصفح يستخدم HTTPS دائماً
Content-Security-Policy يمنع حقن أكواد ضارة (XSS)
X-Frame-Options يمنع تضمين موقعك بإطار مخادع
X-Content-Type-Options يمنع خداع نوع الملفات
🔗 شوف رؤوس موقع حقيقي بالمتصفح ←
٩

اختبر نفسك

٣ أسئلة سريعة — شوف شگد فهمت.

١) منفذ مكتوب جمبه open — شنو يعني؟
الموقع معطّل
يوجد خدمة شغّالة تستقبل اتصالات على هذا الباب
الباب محذوف نهائياً
٢) ليش TLS 1.0 و 1.1 يخفّضون تقييم الموقع؟
لأنهم نسخ قديمة وضعيفة يمكن كسرها
لأنهم بطيئين بس
لأنهم غاليين
٣) لمّا فحصنا موقع محمي بـ Cloudflare، ليش ما شفنا سيرفره الحقيقي؟
لأن الموقع ما يشتغل
لأن nmap خربانة
لأن Cloudflare يقف كوسيط ويخفي السيرفر الأصلي — وهذا حماية جيدة

🎓 الخلاصة

فحص أمن الموقع = تعرف أبوابه المفتوحة، تتأكد تشفيره حديث (TLS 1.2/1.3)، وتفعّل دروع الحماية. الأدوات مجانية والفكرة أبسط مما تبدو — المهم تجرب بنفسك على مواقعك أو مواقع التدريب.

ابدأ بسيط: جرّب nmap scanme.nmap.org وشوف النتيجة.
افحص التشفير: استخدم testssl.sh وتأكد ماكو TLS قديم.
فعّل الدروع: HSTS و CSP وغيرها ترفع حمايتك بسرعة.
!
تذكّر دائماً: افحص فقط ما تملكه أو موقع تدريب مسموح.

📖 قاموس المصطلحات

منفذ Port
باب رقمي بجهاز السيرفر توصل منه خدمة معيّنة (مثل 80 للموقع، 22 للدخول عن بعد).
مفتوح / مغلق / محروس open / closed / filtered
حالة المنفذ: فيه خدمة شغّالة، أو ماكو خدمة، أو جدار ناري يحجب الرد.
TLS / SSL
تقنية تشفّر الاتصال بين متصفحك والموقع حتى ما أحد يتنصت عليه.
HTTPS
نسخة آمنة من HTTP تستخدم TLS/SSL — القفل الأخضر جمب عنوان الموقع.
DNS
"دليل الهاتف" للإنترنت — يترجم اسم الموقع (مثل google.com) إلى عنوان IP رقمي.
وسيط الحماية Proxy / Cloudflare
سيرفر يقف بين الزوار والموقع الحقيقي، يخفي عنوانه الأصلي ويصدّ الهجمات عنه.
HSTS
رأس حماية يجبر المتصفح يستخدم HTTPS دائماً مع الموقع، حتى لو المستخدم كتب http:// بالغلط.
CSP Content-Security-Policy
رأس حماية يحدد مصادر الأكواد المسموحة بالموقع، يمنع حقن سكربتات ضارة (XSS).
X-Frame-Options
يمنع مواقع ثانية من تضمين موقعك داخل إطار (iframe) مخادع لخداع المستخدم.
عنوان IP
الرقم التعريفي الفريد لأي جهاز متصل بالإنترنت — مثل عنوان بريدي رقمي.
nmap
أداة مجانية تفحص أبواب أي جهاز/موقع وتخبرك أي منها مفتوح.
WhatWeb
أداة تكتشف التقنيات اللي يشتغل بيها موقع (نوع السيرفر، لغة البرمجة، CMS...).