تعرف على BeEF ... واحدة من أقوى ادوات إختراق الويب بإستخدام الجافاسكربت (Browser Exploitation Framework)

تعرف على BeEF ... واحدة من أقوى ادوات إختراق الويب بإستخدام الجافاسكربت (Browser Exploitation Framework)

تعرف على BeEF ... واحدة من أقوى ادوات إختراق الويب بإستخدام الجافاسكربت (Browser Exploitation Framework)


 ما هي اداة BeEF وما هي خطورتها  : 

هي أداة إختبار إختراق تستغل متصفح الويب في هذه العملية، ويمكن أن نصنف اداة BeEF كواحدة من اقوى ادوات الهندسة الاجتماعية واختبار الاختراق الاجهزة  عن طريق المتصفح  الويب .
 تمكنك اداة BeEF من القيام بعمليات اختبار الاختراق عبر ارسال رابط تنتجه الاداة، وعندما يفتح الضحية الرابط سوف تتحكم بالمتصفح، ويمكن ارسال بعض الهجمات القاتلة للضحية وتتم عن طريق كود جافا سكربت يظهر جميع المعلومات الخاصة بالهدف مع أمكانيه تنفيذ بعض الهجمات عليها وإستغلال بعض الثغرات القاتلة في المتصفحات وإمكانية تنفيذ أكواد جافاسكربت وتنزيل Java Applet على جهاز  الضحية  والكثير من الأمور الفتاكة في عملية اختبار الاختراق، لكن للأداة بعض العيوب أيضا، ففور قفل الضحية المتصفح، ستفقد الإتصال معه و بذلك لن تستطيع إتمام المهمة، لكن يوجد حل لذلك أيضا.

تعمل هذه الاداة على  استغلال  الثغرات  الامنية   للمتصفح  في نظام كمبيوتر الضحية، ومن خلال الاداة  يمكن  تقييم  الوضع الامني لشخص المستهدف و إستغلال ثغرات المتصفحات للوصول لتطوير عملية إختبار الإختراق بواسطة أداة BeEF . 

وهذه الأداة القوية تستغل الثغرات الامنية الموجودة على الويب، عند النقر على الرابط الذي قمت بتجسيده بواسطة الاداة،  و مشاركته مع الضحية، سيؤدي هذا الى ربط متصفح الضحية مع اطار العمل  الذي يستخدمة مختبر الاختراق، ومن هنا يمكن  تشغيل  متصفح الضحية وقراءة البيانات المخزنة على  المتصفح الخاص به، ويمكن ايضا  الإطلاع على جميع الجلسات التي تمت  على  المتصفح (Sessions)، و يمكن أيضا القيام بعملية سحب مستلزمات الدخول لحسابات مواقع التواصل الاجتماعي، ستحتاج منك الاداة معرفة في لغة البرمجة روبي Ruby التي تم تطوير وبرمجة الاداة بواسطتها، يمكن أيضا تثبيت قناة اتصال بين جهاز الضحية  وبين  المختبر وامكانية  الدخول الى جهاز الضحية من خلال المتصفح في اي وقت .

 من خطورة هذه الاداة أيضا، أنه بعد عملية  الوصول الى ثغرة في المتصفح و استغلال الثغره والوصول الى جهاز  الضحية  تستطيع  تنزيل مكتبة جافا سكربت على جهاز الضحية  ويمكن استخدام هذه المكتبة في عدة امور داخل جهاز الضحية  من قراءة  الكوكيز على جهاز الكمبيوتر والوصول الى ملفات الضحية كما انها لا تعمل فقط على نظام  تشغيل ويندوز، أي يمكن تطبيق  الهجوم على انظمة اخرى من  بيئة عمل لينكس (Linux) . 


وتستخدم هذة الاداة مع اداة الشهيرة  في اخبتار الاختراق ميتاسبلويت (Metasploit) وتشغيل Meterpreter، اي تشغيل ثغرات المتصفح  وتحكم في جهاز المتصفح بعد استغلال ثغرات المتصفح  الموجودة على  ميتاسبلويت   ومن خلال استخدام اداة الميتا مع اداة BeEF يمكن إستخدام الخوادم المتصلة على المتصفح  لوصول الى جهاز الضحية حتى بعد اغلاق الضحية المتصفح  . 
  
وفي النهاية يجب على الجميع التاكد من الروابط التي يتم النقر عليها  حتى تحمي نفسك من الاختراق خصوصا عمليات الاختراق التي تتم عن طريق الجافا سكربت او المتصفح ، لذلك تأكد فقط من نقرك دائما على روابط صحيحة و غير ملغقة




كاتب هذه المقالة : 

الباحث في المعلوميات "ضرار محمد عبد الحميد ابو شيخة " خبير في امن المعلومات، اكثر من 10 سنوات خبرة في الاختراق الاخلاقي والهندسة العكسية للبرامج الخبيثة والضارة . 

شاركه على :