ما هو اختبار الاختراق؟ دليل المبتدئين (2026)
23 يونيو 2001 · بواسطة Pentevo
اختبار الاختراق — أو «pentesting» — هو هجوم سيبراني مُصرّح به ومحاكى على نظام لاكتشاف نقاط الضعف الأمنية قبل أن يجدها مهاجم حقيقي. يتبنّى المختبِر عقلية الخصم، لكنه يعمل بإذن وضمن نطاق محدّد بوضوح، ثم يبلّغ عن كل ما يجده كي تتم معالجته.
تصوّر الأمر كأنك تستأجر شخصًا ليجرّب كل باب ونافذة في مبنى تملكه، ثم يسلّمك قائمة بما كان غير مقفل.
لماذا يهم ذلك
الماسحات الآلية بارعة في اكتشاف المشكلات المعروفة، لكنها لا تستطيع الاستنتاج حول منطق العمل، ولا ربط عيوب صغيرة في اختراق خطير، ولا إخبارك بأي نتيجة تهمّ فعلًا. أما المختبِر الماهر (وبشكل متزايد المختبِر المدفوع بالذكاء الاصطناعي) فيفعل ذلك تمامًا — إذ يحوّل كومة من «الاحتمالات» إلى قائمة قصيرة تقول «هذا ما سيفعله مهاجم حقيقي».
المراحل الخمس
تتّبع معظم المهام دورة الحياة نفسها:
- الاستطلاع — جمع المعلومات عن الهدف (النطاقات، والخدمات، والتقنيات، والأشخاص). يستخدم الاستطلاع السلبي المصادر العامة؛ أما النشط فيلامس الهدف مباشرة.
- الفحص — رسم خريطة المضيفين النشطين والمنافذ والخدمات المفتوحة. أدوات مثل Nmap هي أحصنة العمل هنا.
- الحصول على الوصول — اختبار ما إذا كانت نقاط الضعف المكتشفة قابلة للاستغلال فعليًا، دائمًا ضمن النطاق.
- الحفاظ على الوصول — التحقق مما إذا كان يمكن لموطئ القدم أن يستمر (وهو مهم لمحاكاة التهديدات المتقدّمة).
- إعداد التقرير — أهم مرحلة: توثيق النتائج والأدلة والأثر وخطوات المعالجة الواضحة.
اختبار الاختراق مقابل فحص الثغرات
يخلط الناس بينهما باستمرار:
| فحص الثغرات | اختبار الاختراق | |
|---|---|---|
| الطريقة | آلي | يقوده إنسان/ذكاء اصطناعي بعمق يدوي |
| المخرجات | قائمة بمشكلات محتملة | نتائج مثبتة ومرتّبة حسب الأولوية |
| الإنذارات الكاذبة | شائعة | مُتحقَّق منها قبل الإبلاغ |
| التكرار | مستمر | دوري / عند التغيير |
الفحص يخبرك أن بابًا قد يكون غير مقفل. واختبار الاختراق يفتحه ويريك ما بداخله.
الأنواع الشائعة لاختبار الاختراق
- الصندوق الأسود — لا يعرف المختبِر شيئًا مسبقًا (يحاكي مهاجمًا خارجيًا).
- الصندوق الأبيض — معرفة كاملة ووصول إلى الكود المصدري (أعمق تغطية).
- الصندوق الرمادي — معرفة جزئية (سيناريو واقعي لـ«مستخدم مخترَق»).
كما تُحدَّد نطاقات المهام حسب سطح الهجوم: تطبيق الويب، والشبكة/البنية التحتية، واللاسلكي، والسحابة، والأجهزة المحمولة، والهندسة الاجتماعية.
كيف تبدأ التعلّم
لست بحاجة إلى مختبر مليء بالخوادم. ابدأ بالأساسيات — الشبكات، ولينكس، وكيفية عمل تطبيقات الويب — ثم تدرّب على أهداف قانونية ومصمَّمة عمدًا لتكون قابلة للاختراق بغرض التعلّم. لا تختبر أبدًا أنظمة لا تملكها أو ليس لديك إذن كتابي صريح بتقييمها.
إذا أردت مسارًا منظّمًا، فإن أكاديمية Pentevo المجانية تأخذك من الصفر عبر المفاهيم نفسها التي يغطّيها امتحان CEH، بمقاطع فيديو قصيرة واختبارات قصيرة.
القاعدة الذهبية: التصريح أولًا، دائمًا. اختبار الاختراق دون إذن كتابي ليس اختراقًا أخلاقيًا — إنه جريمة.
الأسئلة الشائعة
ما هو اختبار الاختراق؟
اختبار الاختراق هو هجوم سيبراني مُصرّح به ومحاكى على نظام لاكتشاف نقاط الضعف الأمنية قبل أن يجدها مهاجم حقيقي. يتبنّى المختبِر عقلية الخصم، لكنه يعمل بإذن وضمن نطاق محدّد بوضوح، ثم يبلّغ عن كل ما يجده كي تتم معالجته.
ما الفرق بين اختبار الاختراق وفحص الثغرات؟
فحص الثغرات آلي ويعطي قائمة بالمشكلات المحتملة، غالبًا مع كثير من الإنذارات الكاذبة. أما اختبار الاختراق فيقوده إنسان أو ذكاء اصطناعي بعمق، ويتحقق من كل نتيجة قبل الإبلاغ عنها، ويرتّب حسب ما قد يستغلّه مهاجم حقيقي فعلًا. باختصار: الفحص يخبرك أن بابًا قد يكون غير مقفل؛ واختبار الاختراق يفتحه ويريك ما خلفه.
ما هي المراحل الخمس لاختبار الاختراق؟
الاستطلاع (جمع المعلومات عن الهدف)، والفحص (رسم خريطة المضيفين النشطين والمنافذ والخدمات المفتوحة)، والحصول على الوصول (اختبار ما إذا كانت نقاط الضعف قابلة للاستغلال)، والحفاظ على الوصول (التحقق مما إذا كان يمكن لموطئ القدم أن يستمر)، وإعداد التقرير (توثيق النتائج والأدلة والأثر وخطوات المعالجة).
ما أنواع اختبار الاختراق؟
حسب مستوى المعرفة هناك الصندوق الأسود (لا يعرف المختبِر شيئًا مسبقًا)، والصندوق الأبيض (معرفة كاملة ووصول إلى الكود المصدري)، والصندوق الرمادي (معرفة جزئية). وحسب سطح الهجوم تُصنَّف الاختبارات إلى تطبيقات الويب، والشبكة/البنية التحتية، واللاسلكي، والسحابة، والأجهزة المحمولة، والهندسة الاجتماعية.
هل اختبار الاختراق قانوني دون إذن؟
لا. اختبار الاختراق دون تصريح كتابي ليس اختراقًا أخلاقيًا، بل جريمة. التصريح يأتي أولًا دائمًا. لا تختبر أبدًا أنظمة لا تملكها أو ليس لديك إذن كتابي صريح بتقييمها.
مقالات ذات صلة
شرح الـ VPN: ماذا يفعل (وماذا لا يفعل) — 2026
كيف يعمل الـ VPN فعلًا، ومِمّ يحميك، ومِمّ لا يحميك، وكيف تختار واحدًا — دون مبالغات التسويق.
Fundamentalsثغرات اليوم صفر: شرح كامل (2026)
ما هي ثغرة اليوم صفر، ولماذا هي بالغة الخطورة، وكيف تُستخدم هجمات اليوم صفر، وما الذي يستطيع المدافعون فعله حيال المجهول.
Fundamentalsما هو الـ CVE؟ فهم معرّفات الثغرات (2026)
ماذا يعني CVE، وكيف يعمل الترقيم، وكيف تساعدك درجة الخطورة CVSS ودرجات EPSS على تحديد الأولويات، وكيف تتابع الثغرات المهمة.
Guidesاختبار الاختراق: الدليل الكامل (2026)
كل ما يخص اختبار الاختراق — الأنواع، والمراحل الخمس، والمنهجيات، والأدوات، وإعداد التقارير، وكيف يغيّره الذكاء الاصطناعي. مرجعك الشامل.
طبّق هذا عمليًا
أكاديمية Pentevo تحوّل هذه المفاهيم إلى دروس موجّهة وفيديوهات واختبارات — مجانًا.
ابدأ التعلّم مجانًا