هل تعلم أن معظم المواقع تحتوي على لوحات تحكم سرّية لا تظهر في Google أو في صفحات الموقع؟
من خلال عملي كهاكر أخلاقي، إليك الطرق التي نستخدمها لكشف هذه الصفحات المخفية:
🔍 1. استخدام أدوات زحف ذكية مثل Dirsearch أو Gobuster
تفحص الأدوات آلاف المسارات خلال ثوانٍ للعثور على:
/admin – /cpanel – /dashboard – /hidden-login – وغيرها.
🧠 2. تحليل ملفات مثل robots.txt و sitemap.xml
أحياناً يُترك أثر صغير عن صفحات سرية في هذه الملفات عن طريق الخطأ.
🌐 3. استخدام Google Dorks
مثل:
$$
vbnetCopyEditinurl:admin site:example.com
intitle:“admin login”
$$
⚙️ 4. تجربة كلمات مرور شائعة أو كلمات مرور مسرّبة
غالبًا ما تكون صفحات الدخول غير محمية كفاية.
🧪 5. تحليل كود JavaScript للعثور على روابط داخلية غير مرئية
كل هذه التقنيات قانونية عند استخدامها في اختبار اختراق مصرح به فقط.
لكنها تكشف كيف أن الكثير من المواقع لا تزال تضع الأبواب الخلفية بدون قصد.
🔐 النصيحة للمطورين:
إذا كنت تملك موقعاً، لا تكتفِ بإخفاء الصفحة… قم بحمايتها بطبقات أمان حقيقية، مثل:
1. المصادقة الثنائية (2FA):
حتى لو سُرّب اسم المستخدم وكلمة المرور، لن يتمكن المهاجم من الدخول بدون رمز التحقق الثاني.
2. تقييد الوصول عبر IP:
اسمح فقط بعناوين IP الموثوقة بالوصول إلى لوحة الإدارة (مثلاً IP المكتب فقط).
3. تعطيل الدخول عند عدد محاولات خاطئة:
تطبيق نظام إقفال تلقائي بعد 5 محاولات فاشلة يحمي من هجمات التخمين (Brute-force).
4. تغيير رابط لوحة التحكم لمسار مخصص وغير معروف:
مثل:
/admin-monsif-zone بدلًا من /admin أو /login
5. تفعيل HTTPS وشهادة SSL:
تشفير الاتصال بين المستخدم والخادم يمنع التجسس على البيانات الحساسة.
6. مراقبة الدخول والتنبيهات:
استخدم نظام إشعارات يرسل تنبيهات فور أي محاولة دخول مشبوهة أو غير مصرّح بها.
7. استخدام Web Application Firewall (WAF):
لحظر الهجمات الشائعة مثل SQL Injection و XSS وملفات الفحص التلقائي.
—
🧠 تذكّر:
أغلب الهجمات تبدأ من صفحة admin ضعيفة الحماية.
تأمينها بشكل قوي هو أول خطوة لحماية موقعك بالكامل.
👨💻 Monsif Hmouri
مختبر اختراق أخلاقي | أختبر نقاط ضعفك… قبل أن يُستغلّها غيرك.
