PCI Compliance Standards

السلام عليكم ورحمة الله وبركاته

أعرف بإن لي فترة طويلة غائب عن الكتابة سواءاً في المدونة، أو في مجتمع لينوكس العربي ولكن السبب هو إنشغالي بالعمل بشكل كبير جداً … حالياً يجب أن أقوم بتسليم التقارير الأمنية سواءاً الخاصة بالـ Vulnerability Assessment أو الخاصة بالـ PenTest أو غيرها … كل ذلك مطلوب من أجل الـ PCI Compliance التي سأتحدث عنه …

طيب ما هو هذا الـ PCI Compliance؟
هي عبارة عن مجموعة من القواعد والقوانين الدولية المختصة في أمن المعلومات، أنشأتها Payment Card Industry Security Standards Council أو بإختصار PCI SSC. هذه القوانين تم عملها لمساعدة المنظمات/الشركات التي تقوم بمعالجة عمليات الدفع بواسطة البطاقات المصرفية ومنع حصول عمليات الإحتيال عليها من خلال زيادة السيطرة على البيانات ومنعها من التعرض للمساومة … هذه القوانين تنطبق على جميع المنظمات/الشركات التي تحمل، تعالج، أو تمرر بيانات صاحب البطاقة التي عليها علامة Visa أو MasterCard أو American Express أو Discover وأخيراً JCB والذين هم حسب ما فهمت الشركات التي قامت بتأسيس هذه المنظمة …
(تم وضع هذا التعريف من خلال ترجمة ما هو موجود في الويكيبيديا) …

هذه القوانين تتظمن التالي:

Continue reading

كتاب: Nmap Network Scanning – تم إضافة التقرير لموقع الكتاب الرسمي

السلام عليكم ورحمة الله وبركاته

أكيد ربما الكثير سمع بالكتاب Nmap Network Scanning والذي قام بتأليفه نفسه Fyodor مطور الأداة Nmap … الكتاب صراحة من أروع الكتب التي قرأتها وأستمتعت بقرائتها هذه السنة … الكتاب يشرح جميع إمكانيات الأداة بالتفصيل وأيضاً طرق المسح Scanning … ومن أجمل الأمور التي عجبتني هي طريقة شرحه هي الفرق بين الـ Script Kiddies وبين المحترفين أو لنقول الفاهمين شغلهم صح … الأول كل الذي يعرفه هو تنفيذ الأداة بشكلها الطبيعي او الأساسي … بينما الذي يعرف الشغل الصح سيعرف كيف يفرق بين إختبار وآخر ويعرف متى يستعمل هذا ومتى يستعمل ذاك … وأيضاً الأداة كما يعرف مستخدميها بإن لها خيارات كثييييييييييرة جداً جداً، ولكن لا يعرف ميزة كل خيار من هؤلاء سوى من يفهمون بالأداة وطريقة عملها أما البقية كما ذكرت مجرد تنفيذ الطريقة الأساسية … الكتاب أيضاً يوضح الفرق في عمل فصح بالطريقة الأساسية بعض الأحيان والتي ممكن تنتهي بعد ربع ساعة من الزمن وبين تنفيذ نفس الفحص والحصول على نفس النتائج بالضبط ولكن ربما بوقت لا يتجاوز بضع ثواني !!!

نعم الكاتب يركز على جميع الطرق الممكنة ويشرح الـ Idle Scan بطريقة رائعة ومفهومة لأي شخص بصراحة … بالإضافة الى إنه يركز كثيراً على جانب الـ Performance في عملية الفحص ويركز على عملية الـ Reporting وكيف ممكن تستفيد من ميزات Nmap العديدة في الـ Reporting وطرق الحصول عليه أيضاً … الكتاب يوضح بشكل كبير كيفية عمل Nmap في مسائل الـ OS Detection ومسائل الـ Service Version وحتى الـ Application … أيضاً يوضح طرق تجاوز الـ IDS وحتى طرق تخريبها !!!
Continue reading

حل مشكلة db_sqlite3 عند تشغيل Fast-Track على Ubuntu

السلام عليكم ورحمة الله وبركاته

قد يكون أحدكم قد قام بتثبيت Metasploit وأيضاً Fast-Track على توزيعة Ubuntu وعند تشغيله لـ Fast-Track واجه مشاكل مثل هذه:
msf > load db_sqlite3
[-] Error while running command load: no such file to load -- sqlite3
msf > db_destroy pentest
[-] Unknown command: db_destroy.
msf > db_create pentest
[-] Unknown command: db_create.
msf > db_nmap 172.16.0.55
[-] Unknown command: db_nmap.
msf > db_autopwn -p -t -e
[-] Unknown command: db_autopwn.

لا تقلق حلها بسيط إن شاء الله … أول شي تأكد من تنصيب Metasploit و Fast-Track في نفس المجلد (هذه كما يقولون recommended) … بعد ذلك قم بالتأكد من تركيب الأدوات التالية: Continue reading

Unix Privilege Escalation Checker

السلام عليكم ورحمة الله وبركاته

unix-privesc-check عبارة عن Shell Script جميل كتب من أجل مساعدة الـ Penetration Testers في فحص الخوادم أو الاجهزة التي تعمل عليها أنظمة كـ GNU/Linux و BSD و Solaris وحتى HPUX في البحث عن الأخطاء والثغرات في الإعدادات اللازمة للنظام وأيضاً معرفة هل بإمكان أحد عمل Escalate لصلاحياته من صلاحيات عادية الى صلاحيات إدارية مثلاً … الأداة طبعاً ربما لن تكشف الكثير من العيوب على أنظمتنا الحالية كما ذكر المطور لها … ولكن لو كنت بفريق لعمل Pentest لشركة وكان لديهم أنظمة قديمة ستفيدك بشكل كبير جداً … ولكن مع هذا ممكن تجد عيوب في نظامك الحالي من يدري، كل شيء وارد … لا تحتاج الى تركيب أو شيء كل ما هو عليك فعله هو تحميلها من هنا … ومن ثم فك ضغط الملف وبعد ذلك تنفيذها بهذه الطريقة:

./unix-privesc-check > output.txt

ستقوم بعمل فحص لأمور مثل: Continue reading

كتاب: Computer Security and Penetration Testing

السلام عليكم ورحمة الله وبركاته

هذا كتاب آخر أنهيت قرائته قبل فترة وهو شبيه الى الكتاب الذي كتبت عنه في كتاب: Hands-On Ethical Hacking and Network Defense ولكن فيه فصول أكثر وتجارب أحدث خاصة وإنه من طبعة 2008 وليس 2006 كالسابق … الكتاب يسلك نفس المنهج الذي في الكتاب السابق وهو شرح الفصل مع طلب عمل Lab منك حول ما تم شرحه … وبآخر كل فصل يوجد عدة إستفسارات على شكل أسئلة ضع فراغ أو صح وخطأ وبالأخير يوجد مشاريع يطلب منك القيام بتنفيذها … طبعاً يختلف المشروع من فصل الى آخر … Continue reading

Pages: 1 2 Next