ياريت حضرتك تقولنا ايه الاساسيات اللازمه ل تخطي الواف بمعني ايه الي انا محتاج اكون فاهمه كويس عشان اقدر اجتهد في تخطي الواف يعني مثلا الي فكر في نقطه ال double url encoding كان مزاكر ايه عشان يقول انا هجرب ده --- لو خدنا مثال ال double url encoding ف انا اساسا بقول مابيني و مابين نفسي ال payload يتعمله encoding مره واحده عشان لما يوصل يتعمله decode مره واحده ف يرجع ل الشكل الاصلي بتاعه ف البتالي يتعمله interpretation و يشتغل و كلو يبقا تمام اما في حاله مثلا لو انا عملتله double url encoding ف هو لما يتعمله decode ف هيبقا slug و ال interpretation بتاعته مش هتم زي ما احنا عايزين -- بعتذر لو طولت بس بحاول اوضح ل حضرتك المعلومه الي انا بدور عليها او الي انا بحاول اقوله ايه المعلومات التكنيكال الي انا محتاجها بحيث اقدر اخترع انا طريقه ل تخطي الواف
@gentil.security8 күн бұрын
سؤال ممتاز .. خليني اولآ اوضحلك فكرة الـ Double Url Encoding وعلي اساسه هتعرف انت المفروض تذاكر اية. فيه انواع من الـ WAF مصممة علي انها تفك تشفير البيانات اللي جايلها مرة واحدة (Single Decoding). وفيه انواع اخري من الـ WAF مصممة علي انها تفك تشفير البيانات اللي جايلها علي مرتين (Double Decoding). فلو انا جيت وبعت Payload مشفر (Double Encoding) للـ WAF اللي شغال بأسلوب ال Single Decoding .. ال Payload بتاعي هينجح وهيتنفذ .. طيب لية بقي هينجح؟ لأن ال WAF هيعمله فك تشفير في المرحلة الاولي فهيلاقيه غير ضار فـ هيعديه ويخليه يوصل للسيرفر (Backend) كـ قيمة مشفرة فالسيرفر هيفك تشفيرها ودي هي المرحلة التانية .. يبقي كدا ال WAF فك تشفير المرحلة الأولي والسيرفر فك تشفير المرحلة التانية فـ أتنفذ ال Payload. بالنسبة للـ WAF اللي شغال بالـ (Double Decoding) الـ Payload بتاعي مش هينجح اصلآ في الوصول للسيرفر .. هتقولي طيب ممكن نعمل (Triple or Quadruple Encoding) هقولك (جرب) ولكن في الشائع ان ال WAF الحديثة لما بتلاقي الترافيك متعدد التشفير بتعتبره ترافيك مشبوه وتمنعه من الوصول. طيب اللي اخترع فكرة ال Double Encoding فكر فيها ازاى؟ (بالتجربة + جمع اكبر قدر من المعلومات) مفتاح تعلمك وتطورك في المجال ده هو التجربة ولذلك اسمه (Penetration Testing) ولكن التجربة مش هتيجي من غير المعرفة .. فهو عرف ان الويب ابلكيشن بيستخدم WAF وان ال WAF ده بيستخدم طريقة ال Single Decoding .. عرف ازاى المعلومة دي؟ (بالتجربة) .. وكمان كان عارف ان ال Backend بيفك التشفير في المرحلة الأخيرة .. فوصل للنهاية لـ Payload فريد من نوعة وبينفع فقط في السيناريو ده (ويمكن سيناريوهات اخري مشابهه). في النهاية نصيحتي ليك , ركز اوي علي الأساسيات وتعمق فيها , أدرس التارجيت اللي شغال عليه بالتفصيل , ادرس الWAF اللي هو بيستخدمه وده من ضمن ال (Recon) عشان لما تقابلك أي حاجة تقدر تتعامل معاها وتبقي فاهم المفروض تضيع وقتك فيها ولا لأ.
@dukedud97437 күн бұрын
@@gentil.security متشكر جدا لحضرتك <3 <3
@freefirefreefire54648 күн бұрын
14😍
@dijasimoyodija87209 күн бұрын
الاول
@ibrahimkandel37369 күн бұрын
أتمنى لو يكون فى كورس ل ال fortimail و ال fortiAthunticator ولو ال waf يكون فيه شرح ل ال Box و ال dashboard بتاعته شكرا على شرحك ❤
@abodeidmo9 күн бұрын
ممتاز 💙💙
@TaherHarbe9 күн бұрын
هو المفروض اني اخد CCNA مع ال Road map دي + انا متابع A+ مع قناه يوتيوب أخري شكرا لحضرتك على ال Road map الجامدة دي❤
@gentil.security9 күн бұрын
@@TaherHarbe لا مش شرط .. كبداية يكفي ال N+
@ASPECT-ALIWAHEED9 күн бұрын
جزاك الله خيرا ❤
@gentil.security10 күн бұрын
رابط الكورس المذكور : kzbin.info/aero/PLX621demLUSaA7ngeN7UfVzYJihHnEfv0 لا تنس الاشتراك في القناة وتفعيل جرس التنبيهات لتبقى على اطلاع بأحدث مقاطع الفيديو التعليمية في مجال الأمن السيبراني. شارك الفيديو مع اصدقائك ، واترك تعليقًا إذا كان لديك أي استفسار أو اقتراح لمواضيع قادمة . ️ اللهم صل على محمد وعلى آل محمد ️❤️ #bugbounty #الأمن_السيبراني #cybersecurity #freecourses #gentilsecurity #shorts
@AKM-kt7uq10 күн бұрын
انا حاليين تعلمت مبتدأ تعلمت html . css و تعلمت الشبكات و تعلمت اللينكس بس مابدات العملي و كمان ناوي اتعلم js . py هل ابدا العملي و لا بعد مااخلص من تعلم js . py ابدأ العملي ؟ انصحوني
@gentil.security10 күн бұрын
@@AKM-kt7uq خلص الاول js . py عشان تكون الامور واضحة .. ومافيش حاجة تعرقلك
@Mr_Midman10 күн бұрын
الله إيجازيك خويا انا من المغرب ، إن شاء الله سأفعل مابوسعي لكي أحترف هذا المجال ❤