صفحة الأدوات · أداة ١ من سلسلة

OWASP ZAP
فاحص ثغرات المواقع

بعد ما فحصنا الشبكة بـ nmap وشفنا التجارب الحيّة، هسه راح نتعلّم أداة تفحص "داخل" الموقع نفسه — كوده وصفحاته — وتلگط ثغرات حقيقية مثل XSS و SQL Injection.

١

شنو هي ZAP؟

أداة مجانية بواجهة رسومية سهلة، من مشروع OWASP العالمي.

OWASP ZAP (اختصار Zed Attack Proxy) أداة مجانية ومفتوحة المصدر تفحص تطبيقات الويب — يعني تدخل بصفحات الموقع وحقول الإدخال فيه وتدوّر على ثغرات حقيقية مثل XSS (حقن أكواد بالمتصفح) و SQL Injection (حقن أوامر بقاعدة البيانات).

🔬
الفرق عن nmap: nmap يفحص "أبواب" الشبكة (الطبقة الأولى)، أما ZAP يدخل جوا الباب المفتوح نفسه ويفحص "كيف مبرمج" الموقع من الداخل — طبقة التطبيق (Application Layer).
٢

ليش نستخدمها؟

٤ أسباب تخليها من أهم أدوات أي مبتدئ بالأمن السيبراني.

💰

مجانية بالكامل

مفتوحة المصدر، بدون أي رسوم أو نسخة تجريبية محدودة.

🖱️

واجهة رسومية

ما تحتاج تحفظ أوامر طرفية معقدة — كلشي بالنقر والسحب.

🔬

تكشف ثغرات عميقة

تدخل بحقول النماذج والروابط وتجرّب هجمات حقيقية آلياً.

🌐

معيار عالمي

من مشروع OWASP، المرجع الأشهر عالمياً بأمن تطبيقات الويب.

٣

التثبيت

خطوتين بس على Kali Linux (أو أي توزيعة لينكس).

تثبيت

ثبّت الأداة

هذا الأمر ينزّل ويثبّت ZAP من مستودعات لينكس الرسمية.

sudo apt install zaproxy -y
تشغيل

شغّلها

يفتح واجهة ZAP الرسومية جاهزة للاستخدام.

zaproxy
٤

أول فحص خطوة بخطوة

فحص آلي بسيط اسمه Automated Scan — ٥ خطوات وتوصل لتقرير كامل.

١
🖥️

افتح ZAP

شغّلها من الطرفية أو من قائمة برامج Kali.

٢
🎯

اختار Automated Scan

من الشاشة الرئيسية — فحص آلي جاهز بلا إعدادات معقدة.

٣
🔗

حط رابط موقعك

اكتب رابط موقع تملكه أو عندك إذن رسمي بفحصه.

٤
⚔️

اضغط Attack

ZAP تبدأ ترسل طلبات فحص حقيقية للموقع تلقائياً.

٥
📊

انتظر التقرير

بعد ما تخلص، يطلع تقرير بكل الثغرات مرتّبة حسب الخطورة.

٥

فهم النتائج

التقرير يرتّب كل ثغرة حسب مستوى خطورتها — اضغط على كل مستوى حتى تفهمه.

🚦 مستكشف مستويات الخطورة
اضغط على أي بطاقة تحت حتى يطلع شرحها.
عاليHigh
متوسطMedium
منخفضLow
معلوماتيInformational
👆 اضغط على مستوى فوق حتى يظهر الشرح هنا.
٦

الاستخدام الأخلاقي

ZAP أداة هجومية فعلية — لازم حذر وإذن قبل أي فحص.

⚠️
تحذير مهم: ZAP ما تسوي "استعلام" بس مثل التجارب الحيّة — هي ترسل طلبات هجومية فعلية (زي محاولات حقن حقيقية) للموقع الهدف. افحص فقط موقع تملكه أو عندك إذن كتابي رسمي بفحصه. فحص موقع أي أحد ثاني بدون إذن هو جريمة إلكترونية يعاقب عليها القانون.
٧

اربطها بسياقك

شنو تضيف ZAP لموقع محمي بـ Cloudflare مثل scanme.nmap.org؟

🛡️
نقطة مهمة: لو موقعك محمي بـ Cloudflare بطبقة الشبكة (يخفي عنوان السيرفر الحقيقي ويصد هجمات الحِمل)، هذا ما يمنع ZAP من فحص كود الموقع نفسه — لأن ZAP تشتغل بطبقة التطبيق، نفس الطبقة اللي يوصلها أي زائر عادي بمتصفحه. يعني حتى لو موقعك خلف Cloudflare، لازم كل الأحوال تتأكد إن كوده خالي من ثغرات XSS/SQL Injection — Cloudflare ما يصلّح كود مكتوب بشكل غير آمن.

🎓 الخلاصة

nmap يفحص الشبكة، ZAP يفحص كود التطبيق — الاثنين مكمّلين لبعض، وأي فحص أمني كامل لازم يستخدم النوعين.

📖 قاموس المصطلحات

ZAP Zed Attack Proxy
أداة مجانية من OWASP تفحص تطبيقات الويب وتكتشف ثغراتها.
OWASP
منظمة عالمية غير ربحية متخصصة بأمن تطبيقات الويب — مرجع أغلب معايير الأمان بهذا المجال.
XSS Cross-Site Scripting
ثغرة تخلي المهاجم يحقن كود جافاسكربت بصفحة الموقع ينفّذ بمتصفح أي زائر ثاني.
SQL Injection
ثغرة تخلي المهاجم يحقن أوامر قاعدة بيانات ضمن حقل إدخال عادي، وممكن يسرق كل البيانات.
Automated Scan
وضع فحص آلي بـ ZAP يزحف على الموقع ويجرّب هجمات شائعة تلقائياً بلا إعدادات يدوية.
طبقة التطبيق Application Layer
الطبقة اللي يشتغل بيها كود الموقع نفسه (الصفحات، النماذج، قاعدة البيانات) — عكس طبقة الشبكة اللي يفحصها nmap.
وسيط الحماية Proxy / Cloudflare
سيرفر يقف بين الزوار والموقع الحقيقي، يخفي عنوانه الأصلي ويصدّ الهجمات الشبكية عنه.