לדלג לתוכן

בניית סביבת פיתוח לפריצת אתרים - המדריך למתחילים

אחת השאלות הראשונות שאנשים שואלים כשהם מתחילים ללמוד פריצת אתרים היא "אוקיי, אבל על מה בכלל אני מתרגל?". התשובה הקצרה היא - לא על אתרים אמיתיים באינטרנט. יש לכם צורך בסביבת עבודה משלכם, מבודדת, חוקית, ובנויה בדיוק בשביל תרגול. במדריך הזה נעבור על מה שצריך כדי לבנות אותה.

מערכת ההפעלה - למה לינוקס

רוב הכלים בעולם בדיקת האבטחה נבנים קודם כל בשביל לינוקס, וגם ההיגיון של עבודה מהטרמינל פשוט מתאים יותר לעולם הזה. אתם לא חייבים להתקין לינוקס כמערכת ראשית - יש כמה דרכים נוחות להתחיל:

  • מכונה וירטואלית - VM. מתקינים לינוקס בתוך תוכנה שמדמה מחשב שלם בתוך המחשב שלכם. זו הדרך הכי נקייה להתחיל, כי אפשר למחוק ולהתחיל מחדש בלי לגעת במערכת האמיתית.
  • WSL בווינדוס. ווינדוס מאפשר להריץ סביבת לינוקס מלאה בתוך המערכת עצמה, בלי מכונה וירטואלית נפרדת. נוח מאוד למי שכבר עובד על ווינדוס ולא רוצה להתעסק עם VM.
  • התקנה טבעית. למי שרוצה להתמסר לגמרי, אפשר להתקין הפצת לינוקס כמערכת עצמאית. לא הכרחי בשביל להתחיל.

יש הפצות לינוקס שמגיעות עם רוב הכלים הרלוונטיים כבר מותקנים מראש, מה שחוסך את שלב ההתקנה הידני בהתחלה.

כלי הפרוקסי - העין שרואה הכל

הכלי החשוב ביותר בארגז הכלים של בודק אתרים הוא כלי פרוקסי - Proxy - כמו Burp Suite. הרעיון פשוט: הכלי יושב בין הדפדפן שלכם לבין האתר, ומאפשר לכם לראות ואפילו לשנות כל בקשה ותשובה שעוברת ביניהם. פתאום כל בקשת HTTP שהדפדפן שולח בשקט, נגלית לעיניים שלכם, ואתם יכולים לשחק איתה - לשנות פרמטר, להוסיף כותרת, לשלוח שוב באופן ידני. זה הכלי שהופך "לגלוש באתר" ל"לבדוק איך האתר עובד באמת".

לצד כלי הפרוקסי, שווה להכיר טוב את כלי הפיתוח המובנים בדפדפן - developer tools. הם נותנים גישה למקור הדף, לבקשות הרשת, ולקוד ה-JavaScript שרץ בצד הלקוח, והם לרוב הצעד הראשון בכל בדיקה, עוד לפני שפותחים כלי חיצוני.

אפליקציות פגיעות מכוונות לתרגול

הדבר הכי חשוב להבין הוא שקיים עולם שלם של אפליקציות שנבנו במכוון עם חולשות, בדיוק בשביל תרגול חוקי. אלה לא אתרים אמיתיים שמישהו שכח לאבטח - הן נבנו מהיסוד כמגרש משחקים. כמה כיוונים מוכרים בתחום:

  • אפליקציות פגיעות שמתקינים מקומית, שנועדו ללמד חולשות קלאסיות כמו SQL Injection ו-XSS בסביבה מבוקרת.
  • פלטפורמות ווב פגיעות שמדמות חנות אונליין או אתר מסחרי אמיתי, עם עשרות חולשות מוטמעות ברמות קושי שונות.
  • סביבות מבוססות Docker, שמאפשרות להריץ אפליקציה פגיעה שלמה בפקודה אחת, ולמחוק אותה בלי להשאיר עקבות במחשב.
  • פלטפורמות CTF ואתגרי ווב אונליין, שנותנות לכם יעדים מתחלפים ברמות קושי עולות.

כל אחת מהאפשרויות האלה נותנת לכם מטרה חוקית שאפשר לתקוף בלי לדאוג לרגע אחד.

בידוד - הכלל שאסור לשבור

זה החלק שהכי קל לדלג עליו, ובדיוק בגלל זה חשוב להדגיש אותו. סביבת התרגול שלכם צריכה להיות מבודדת מהמחשב האמיתי שלכם ומהרשת הביתית שלכם ככל האפשר. מכונה וירטואלית עם snapshot - תמונת מצב שאפשר לחזור אליה - נותנת לכם את החופש לנסות דברים בלי לפחד "לשבור" משהו, ולאפס הכל בלחיצת כפתור אם צריך.

והכלל הכי חשוב מכל: תרגלו רק על מטרות שאתם מורשים לתקוף - אפליקציות שהותקנו במיוחד לתרגול, פלטפורמות CTF רשמיות, או תוכניות bug bounty שנתנו לכם אישור מפורש. פריצה לאתר אמיתי בלי רשות היא לא "תרגול", היא עבירה פלילית, גם אם החולשה שמצאתם אמיתית לגמרי.

אם אתם רוצים ללמוד לא רק איך בונים את הסביבה אלא גם מה עושים בה בפועל, שלב אחר שלב, מוזמנים לעבור על קורס פריצת אתרים למתחילים.

ואם אתם מתלבטים איזו סביבה מתאימה לכם, או נתקעים בהתקנה - בדיסקורד שלנו יש אנשים שכבר עברו את זה ושמחים לעזור.

הצטרפו לקהילה בדיסקורד

לסיכום

סביבת עבודה מסודרת היא לא פינוק, היא תנאי הכרחי ללמידה נכונה. לינוקס, כלי פרוקסי, אפליקציות פגיעות מכוונות, ומכונה מבודדת שאפשר לאפס בקלות - זה כל מה שצריך כדי להתחיל לתרגל בצורה חוקית, בטוחה, ובלי לחשוש לשבור משהו.