هناك العديد من البرامج والطرق التي قد يستخدمها المختبر (Penetration Tester) في عملية اختبار الإختراق لكتابة النتائج. من هذه النتائج الخدمات الموجودة في الهدف، نتائج فحص nmap، ملاحظاته وغيرها. من الطرق اللتي يمكن استخدامها لكتابة هذه النتائج هي الطريقة التقليدية بإستخدام الورقة والقلم، او يمكن استخدام الـnotepad وغيره. لكن ماذا لو كنت في فريق وتحتاج لجمع المعلومات كفريق واحد او حتى لو كان عندك فريق متخصص في جمع المعلومات عن الهدف وفريق اخر متخصص في اختبار الثغرات ومشاركة هذه المعلومات بين اعضاء الفريق لابد منه، هل من المعقول مثلا ان تكون الطريقة باستخدام الورقة والقلم او حتى النودباد؟!!

من افضل البرامج في هذا المجال حسب تجربتي هو Dradis. فهو عبارة عن مشروع مفتوح المصدر لمشاركة النتائج وكتابة التقارير بين اعضاء الفريق اثناء عملية الإختراق. المشروع مكتوب بلغة ruby وهو يتكون من خادم server وعميل client. استخدام العميل يكون بالواجهة الرسومية عن طريق موقع يقوم بعمله الخادم.

مميزات المشروع

  1. سهولة في كتابة التقارير. ويمكنك تخصيص قالب (Template) خاص فيك للتقارير.
  2. يمكنك وضع مرفقات مثل اخذ صور، او ارفاق ملفات خاصة بالإختبار. هذه الميزة من اهم المميزات.
  3. هناك اضافات متوفرة مثل، امكانية رفع نتائج الفحص من nmap للمشروع ويقوم بتحليها، امكانية التصدير بعدد من الصيغ، وغيرها.
  4. اخذ نسخة احتياطية بشكل دوري لقاعدة البيانات.

صورة توضح المقصود بأخذ نتائج nmap وتحليلها

Dradis Nmap

تشغيل Dradis

بعد تحميل النسحة الأخيرة من الموقع حسب نظام تشغيلك، مثل نظام لينكس. نقوم بفك الضغط عن المجلد وكتابة الأمر التالي حتى يقوم dradis بعملية الإختبار ويخبرك اذا كانت بحاجه لتحميل اي اضافة لتشغيلة.

[bash]

./verify.sh

[/bash]

بعد ذلك نقوم بتعبئة الداتابيس(افترض هنا استخدامك لـSQLite3) بالجداول الخاصة بـdradis. من مجلد /dradis/server/ ، قم بكتابة الأمر التالي:

[bash]

rake dradis:reset

[/bash]

بعد الإنتهاء نقوم بتشغيل السيرفر بكتابة الأمر التالي من مجلد /dradis/server/ :

[bash]

ruby ./script/server

[/bash]

في ثواني سيقوم dradis بإعطائك عنوان الدخول للعميل، في الغالب يكون https://127.0.0.1:3004 . بعد دخولك يمكنك انشاء اسم مستخدام وباسورد مشترك بين اعضاء الفريق. كل ماعليك بعد ذلك هو تجربة المشروع، فالتجربة افضل طريقة لتعلمه. بالمناسبة استخدامه سهل جداً، ويوجد عدد من الشروحات في الموقع الخاص بالمشروع.

هذه صورة من استخدامي للمشروع في دراستي لدورة PWB

هل هناك برنامج او مشروع اخر تستخدمة لمثل هذا الغرض؟ او ماذا تستخدم؟