אודות הפרויקט: סורק אבטחה (POC)

הקונספט: הנגשת סריקות אבטחה

פרויקט זה נולד מתוך הרצון להדגים כיצד ניתן לקחת כלי אבטחה מתקדמים, הפועלים בדרך כלל משורת הפקודה (CLI), ולהפוך אותם לנגישים יותר באמצעות ממשק Web אינטראקטיבי. המטרה היא ליצור Proof of Concept (POC) המציג את הארכיטקטורה והיכולת לשלב בין:

• צד שרת (Backend) חזק: מבוסס על Spring Boot (Java), האחראי על תזמון והרצה של סריקות אבטחה מורכבות.
• צד לקוח (Frontend) אינטואיטיבי: ממשק משתמש וובי (המשחקים ודף זה) הבנוי עם HTML, CSS ו-JavaScript, המאפשר למשתמש להפעיל סריקות ולקבל משוב ויזואלי.
• תקשורת API: שימוש ב-REST API לתקשורת יעילה בין צד הלקוח לצד השרת.

צד השרת: מנוע הסריקות (Spring Boot)

ליבת הפרויקט נמצאת בשרת ה-Spring Boot (securityscanner.onrender.com). שרת זה מפעיל מספר סורקי אבטחה ידועים:

• Port Scanner: סריקה ראשונית לאיתור פורטים פתוחים בכתובת היעד.
• Nmap: כלי רב עוצמה למיפוי רשתות וסריקת פורטים מעמיקה יותר (כולל זיהוי שירותים וגרסאות) על הפורטים הפתוחים שנמצאו.
• Dirsearch: סריקת Web לאיתור קבצים ותיקיות נסתרות או נפוצות בשרת היעד (רץ על הפורטים הפתוחים הרלוונטיים).
• SQLMap: כלי אוטומטי לבדיקת פגיעויות מסוג SQL Injection.

השרת משתמש ב-CompletableFuture של Java כדי להריץ חלק מהסריקות הללו במקביל, במטרה לקצר את זמן ההמתנה הכולל. התוצאות מכל הסורקים נאספות ומעובדות ליצירת דוח PDF מסכם.

מגבלות גרסת ההדגמה (POC)

חשוב להדגיש שזוהי גרסת הדגמה (POC) בלבד. ככזו, קיימות מגבלות משמעותיות בפונקציונליות המלאה, בעיקר משיקולי משאבים, זמן פיתוח ואבטחה בסביבה ציבורית:

• היקף סריקה מוגבל: הסריקות בפועל (במיוחד אלו המופעלות דרך משחק ה-"הגן על השרת!") בודקות לרוב רק קבוצה מצומצמת של פורטים נפוצים או מריצות את הכלים עם פרמטרים בסיסיים. זאת כדי למנוע עומס יתר על השרת ולאפשר הדגמה מהירה.
• לא בדיקת חדירות מלאה: הדוח המופק והבדיקות המבוצעות אינם מהווים תחליף לבדיקת חדירות (Penetration Testing) מקצועית ומקיפה.
• שימוש לימודי בלבד: כפי שמצוין בהצהרה לפני הסריקה, הכלי מיועד למטרות לימוד והדגמה בלבד ואין להשתמש בו כנגד מערכות ללא אישור.

למרות המגבלות, הפרויקט מדגים בהצלחה את הארכיטקטורה, את יכולת האינטגרציה בין Frontend ל-Backend מבוסס Java, ואת הפוטנציאל להנגשת כלים טכניים מורכבים.

"מפת האתר" (רכיבי הפרויקט)

• homeScanner.html: דף הכניסה הראשי.
• NeonRacer.html / pop-balloon.html: משחקים להדגמת יכולות Frontend ב-JS.
• server-defense.html: הדגמת האינטגרציה עם ה-API - הפעלת סריקה (מוגבלת) דרך ממשק משתמש וקבלת דוח.
• explain.html: דף זה.
• API Backend (Spring Boot): מנוע הסריקות ותזמון הכלים (Nmap, Dirsearch, SQLMap, PortScanner) ויצירת PDF.

אודות המפתח ויצירת קשר

הפרויקט פותח על ידי עמיחי חדד, מהנדס פיתוח תוכנה | Software Developer Engineer.

ניתן ליצור קשר במייל: HadadAmichai@gmail.com
הורד קורות חיים (PDF)
פרופיל לינקדאין

חזרה לדף הראשי