Zerious San نشر 14 ديسمبر 2025 أرسل تقرير نشر 14 ديسمبر 2025 شريت استضافة و الموقع الذي شريت منه يقدم استضافة و دومين. اريد ان اجرب اذا موقعي امن, هل يصلح ان اجرب ادوات التهكير على موقعي لاجل اكتشف الثغارت الامنية؟ ام هذا يعتمد على مزود الاستضافة اذا املك هذه الصلاحيات؟؟ 1 اقتباس
0 ياسر مسكين نشر 16 ديسمبر 2025 أرسل تقرير نشر 16 ديسمبر 2025 السلام عليكم ورحمة الله تعالى وبركاته، تقنيا تستطيع اختبار أمان موقعك الخاص لكن يجب أن تحصل على إذن مكتوب من شركة الاستضافة أولا حتى لو كنت تملك الموقع والدومين، فإن البنية التحتية للسيرفرات مملوكة لمزود الاستضافة وإجراء اختبارات الاختراق بدون إذنهم قد يعتبر هجوما غير مصرح به ويؤدي إلى إيقاف حسابك أو حتى مشاكل قانونية معهم. معظم شركات الاستضافة خاصة ال shared hosting لديها سياسات صارمة تمنع اختبارات الاختراق لأنها قد تؤثر على العملاء الآخرين على نفس السيرفر الحل المثالي هو مراجعة شروط الخدمة (Terms of Service) الخاصة بالاستضافة أو التواصل مع الدعم الفني لطلب الإذن الرسمي بتحديد نطاق الاختبار والأدوات المسموح باستخدامها فبعض المزودين الكبار مثل AWS يسمحون باختبارات محدودة دون إذن مسبق لخدمات معينة، لكن حتى هم يمنعون اختبارات DoS/DDoS. اقتباس
0 Sherif Aboghazala نشر 18 ديسمبر 2025 أرسل تقرير نشر 18 ديسمبر 2025 أولًا: هل مسموح لك تجربة “أدوات تهكير” على موقعك؟ الجواب: نعم بشرط، ولا في نفس الوقت إن استُخدمت بشكل خاطئ. أنت تملك الموقع، لكن: الخادم (السيرفر) لا تملكه، بل تملكه شركة الاستضافة. أي نشاط قد يسبب ضغطًا، مسحًا عدوانيًا، أو محاولات استغلال قد يُعتبر هجومًا على البنية التحتية الخاصة بهم. كثير من شركات الاستضافة تمنع صراحة: Port Scanning Brute Force Exploitation Scans DDoS-like traffic حتى لو كان الموقع موقعك. لذلك: قبل أي اختبار أمني نشط، يجب مراجعة سياسة الاستخدام (Terms of Service / Acceptable Use Policy). بعض الشركات تسمح باختبارات محدودة، وبعضها يطلب إذنًا مسبقًا. ثانيًا: ما الذي يمكنك فعله بأمان 100% دون مشاكل؟ هناك فرق بين: اختبار أمني قانوني (Security Testing) والاختراق (Hacking) المسموح والآمن عادة: الفحص السلبي (Passive Testing) هذا لا يسبب أي ضغط أو هجوم. مثل: التحقق من: HTTPS مفعّل شهادة SSL صحيحة رؤوس الأمان (Security Headers) إعدادات الكوكيز (HttpOnly, Secure) أدوات مثل: Security Headers Check SSL Test هذه آمنة ومسموح بها دائمًا. فحص التطبيق من منظور مطوّر بدون أدوات هجومية: هل ملفات حساسة مكشوفة؟ .env config backup files هل رفع الملفات محمي؟ هل التحقق من الصلاحيات صحيح؟ هل يوجد تحقق من المدخلات (Validation)؟ هذه اختبارات من داخل التطبيق نفسه. فحص الثغرات المنطقية (Business Logic) وهي أهم من أدوات “التهكير”: هل مستخدم عادي يستطيع: الوصول لصفحة Admin؟ تعديل بيانات غيره؟ إرسال طلب غير مصرح به؟ هذا لا يحتاج أدوات، بل تفكير. ثالثًا: متى تحتاج إذنًا من شركة الاستضافة؟ تحتاج إذنًا إذا أردت استخدام: Nmap Nikto SQL Injection scanners Brute force tools أي أداة تولّد طلبات كثيرة أو تحاول الاستغلال في هذه الحالة: إما تطلب إذنًا رسميًا أو تختبر على: Localhost VPS تملكه بالكامل بيئة Staging منفصلة ولا يُنصح أبدًا بالتجربة على الاستضافة المشتركة (Shared Hosting). رابعًا: الطريقة الصحيحة لاختبار أمان موقعك كمبتدئ الترتيب السليم: تأمين الأساسيات HTTPS تحديث الإطار البرمجي إخفاء معلومات السيرفر عدم عرض الأخطاء في الإنتاج مراجعة الكود Validation Authentication Authorization CSRF XSS SQL Injection (prepared statements) استخدام أدوات فحص آمنة غير هجومية تعطيك تقريرًا فقط لاحقًا، إن أردت التعمق تعلم أساسيات Web Security OWASP Top 10 ثم جرّب الأدوات على بيئة محلية الخلاصة لا تستخدم “أدوات تهكير” هجومية مباشرة على موقعك المستضاف دون مراجعة سياسة الشركة. نعم، يمكنك اختبار أمان موقعك بطريقة قانونية وآمنة. الأمان الحقيقي يبدأ من الكود والتصميم، لا من الأدوات.. اقتباس
السؤال
Zerious San
شريت استضافة و الموقع الذي شريت منه يقدم استضافة و دومين. اريد ان اجرب اذا موقعي امن, هل يصلح ان اجرب ادوات التهكير على موقعي لاجل اكتشف الثغارت الامنية؟ ام هذا يعتمد على مزود الاستضافة اذا املك هذه الصلاحيات؟؟
2 أجوبة على هذا السؤال
Recommended Posts
انضم إلى النقاش
يمكنك أن تنشر الآن وتسجل لاحقًا. إذا كان لديك حساب، فسجل الدخول الآن لتنشر باسم حسابك.