الاستطلاع واكتشاف الأهداف
الاستطلاع السلبي
4 دقيقة للقراءة
الاستطلاع السلبي يجمع المعلومات دون التفاعل المباشر مع الهدف. هذا النهج خفي، قانوني في كل مكان، وغالباً يكشف سطح هجوم حرج.
لماذا نبدأ بالسلبي؟
- غير قابل للكشف: لا حركة مرور لأنظمة الهدف
- قانوني: معلومات عامة فقط
- فعال: ساعات من البيانات في دقائق
- أساس: يُعلم استراتيجية الاستطلاع النشط
سجلات شفافية الشهادات
شهادات SSL/TLS مسجلة علنياً. هذا يكشف النطاقات الفرعية:
# استخدام crt.sh API
curl -s "https://crt.sh/?q=%.example.com&output=json" | jq -r '.[].name_value' | sort -u
# بديل: certspotter
curl -s "https://api.certspotter.com/v1/issuances?domain=example.com&include_subdomains=true&expand=dns_names" | jq -r '.[].dns_names[]'
اكتشاف حقيقي: اكتشف باحث staging.internal.example.com من سجلات CT—تبعها ثغرة بقيمة 5,000 دولار.
Wayback Machine وأرشيفات الويب
اللقطات التاريخية تكشف:
- نقاط نهاية قديمة لا تزال قابلة للوصول
- وظائف محذوفة بها ثغرات
- ملفات JavaScript بمفاتيح API
- تعليقات التطوير
# استخدام waybackurls
echo "example.com" | waybackurls | sort -u > wayback-urls.txt
# استخدام gau (GetAllUrls)
gau example.com --threads 5 > all-urls.txt
# فلترة الامتدادات المثيرة
cat all-urls.txt | grep -E "\.(js|json|xml|config|env|sql|bak)$"
Google Dorking
عوامل البحث المتقدمة تجد الأصول المكشوفة:
| Dork | الغرض |
|---|---|
site:example.com filetype:pdf |
إيجاد المستندات |
site:example.com inurl:admin |
لوحات الإدارة |
site:example.com "error" "sql" |
رسائل الخطأ |
site:example.com ext:env OR ext:config |
ملفات التكوين |
"example.com" password |
بيانات اعتماد مسربة |
# dorks منتجة شائعة
site:example.com intitle:"index of"
site:example.com inurl:wp-content
site:*.example.com -www
site:example.com filetype:log
GitHub وتسريبات الكود المصدري
المطورون يرتكبون أخطاء بتسريب الأسرار:
# بحث GitHub (يدوي)
# - بحث: "example.com" password
# - بحث: "example.com" api_key
# - بحث: org:examplecorp filename:.env
# استخدام trufflehog
trufflehog github --org=examplecorp
# استخدام gitleaks
gitleaks detect --source=. --report-format=json
اكتشافات شائعة: مفاتيح AWS، بيانات اعتماد قاعدة البيانات، رموز API، URLs داخلية.
Shodan و Censys
الماسحات واسعة الإنترنت تفهرس الخدمات المكشوفة:
# Shodan CLI
shodan search "hostname:example.com"
shodan search "ssl:example.com"
# بحث Censys
# - certificates.parsed.subject.common_name: example.com
# - hosts services
ابحث عن:
- قواعد بيانات مكشوفة (MongoDB، Elasticsearch، Redis)
- واجهات الإدارة
- بيئات التطوير/الاختبار
- إصدارات برمجيات قديمة
أتمتة OSINT
دمج المصادر مع الأتمتة:
# استخدام theHarvester
theHarvester -d example.com -b all
# Amass الوضع السلبي
amass enum -passive -d example.com -o passive-results.txt
# Subfinder (سلبي بالافتراضي)
subfinder -d example.com -all -o subdomains.txt
قالب التوثيق
## الاستطلاع السلبي: example.com
### شفافية الشهادات
- وُجد: 47 نطاق فرعي فريد
- ملحوظ: staging.*، dev.*، api-internal.*
### URLs التاريخية
- وُجد: 2,340 URL فريد
- مثير: /api/v1/debug، /backup/
### تعرض GitHub
- وُجد: 3 مستودعات تذكر الهدف
- محتمل: ملف .env في مستودع مؤرشف
### الخطوات التالية
- التحقق من وجود النطاقات الفرعية
- فحص نقاط النهاية التاريخية للوصول
- التحقيق في اكتشافات GitHub
نصيحة احترافية: شغّل الاستطلاع السلبي قبل بدء أي اختبار نشط. عدم تماثل المعلومات يمنحك ميزة على الصيادين الآخرين.
في الدرس التالي، سنعدد النطاقات الفرعية باستخدام تقنيات نشطة. :::