بعد ما فحصنا الشبكة بـ nmap وشفنا التجارب الحيّة، هسه راح نتعلّم أداة تفحص "داخل" الموقع نفسه — كوده وصفحاته — وتلگط ثغرات حقيقية مثل XSS و SQL Injection.
أداة مجانية بواجهة رسومية سهلة، من مشروع OWASP العالمي.
OWASP ZAP (اختصار Zed Attack Proxy) أداة مجانية ومفتوحة المصدر تفحص تطبيقات الويب — يعني تدخل بصفحات الموقع وحقول الإدخال فيه وتدوّر على ثغرات حقيقية مثل XSS (حقن أكواد بالمتصفح) و SQL Injection (حقن أوامر بقاعدة البيانات).
٤ أسباب تخليها من أهم أدوات أي مبتدئ بالأمن السيبراني.
مفتوحة المصدر، بدون أي رسوم أو نسخة تجريبية محدودة.
ما تحتاج تحفظ أوامر طرفية معقدة — كلشي بالنقر والسحب.
تدخل بحقول النماذج والروابط وتجرّب هجمات حقيقية آلياً.
من مشروع OWASP، المرجع الأشهر عالمياً بأمن تطبيقات الويب.
خطوتين بس على Kali Linux (أو أي توزيعة لينكس).
هذا الأمر ينزّل ويثبّت ZAP من مستودعات لينكس الرسمية.
يفتح واجهة ZAP الرسومية جاهزة للاستخدام.
فحص آلي بسيط اسمه Automated Scan — ٥ خطوات وتوصل لتقرير كامل.
شغّلها من الطرفية أو من قائمة برامج Kali.
من الشاشة الرئيسية — فحص آلي جاهز بلا إعدادات معقدة.
اكتب رابط موقع تملكه أو عندك إذن رسمي بفحصه.
ZAP تبدأ ترسل طلبات فحص حقيقية للموقع تلقائياً.
بعد ما تخلص، يطلع تقرير بكل الثغرات مرتّبة حسب الخطورة.
التقرير يرتّب كل ثغرة حسب مستوى خطورتها — اضغط على كل مستوى حتى تفهمه.
ZAP أداة هجومية فعلية — لازم حذر وإذن قبل أي فحص.
شنو تضيف ZAP لموقع محمي بـ Cloudflare مثل scanme.nmap.org؟
nmap يفحص الشبكة، ZAP يفحص كود التطبيق — الاثنين مكمّلين لبعض، وأي فحص أمني كامل لازم يستخدم النوعين.