شهادة الهاكر الأخلاقي المعتمد (CEH)

الدليل الشامل لجميع ما تحتاج معرفته للتحضير لشهادة CEH مع أمثلة عملية كافية للمذاكرة

ابدأ التعلم

عن شهادة CEH

شهادة الهاكر الأخلاقي المعتمد (CEH) هي واحدة من أشهر الشهادات في مجال أمن المعلومات. تهدف إلى تعليم المختبرين كيفية اختبار أنظمة الحماية وكشف الثغرات الأمنية بنفس طريقة الهاكرز، ولكن بغرض أخلاقي لحماية الأنظمة.

تُقدم هذه الشهادة من قبل المجلس الدولي لمستشاري التجارة الإلكترونية (EC-Council) وتعتبر معياراً صناعياً للمهنيين في مجال الأمن السيبراني.

مثال على الهاكر الأخلاقي:

شركة تطلب من متخصص أمني لاختبار نظامها. يقوم المتخصص بمحاولة اختراق النظام لاكتشاف نقاط الضعف وإبلاغ الشركة بها لإصلاحها قبل أن يستغلها هاكرز حقيقيون.

المنهج الدراسي لشهادة CEH

1. مقدمة في الاختراق الأخلاقي

تعريف الاختراق الأخلاقي، أنواع الهاكرز، مراحل الاختراق، الإطار القانوني والأخلاقي.

مثال:

الفرق بين الهاكرز ذو القبعة البيضاء (أخلاقي)، والقبعة السوداء (غير أخلاقي)، والقبعة الرمادية (في المنتصف).

2. استكشاف الشبكات

تقنيات مسح الشبكات، تحديد الأنظمة النشطة، اكتشاف المنافذ المفتوحة، تحديد نظام التشغيل والخدمات.

مثال عملي:

استخدام أداة Nmap لمسح شبكة: nmap -sS -A 192.168.1.0/24 لمسح شبكة كاملة وتحديد الأنظمة النشطة والمنافذ المفتوحة.

3. فحص الثغرات

مقدمة في فحص الثغرات، أنواع الثغرات، أدوات فحص الثغرات، تقييم مستوى الخطورة.

مثال:

استخدام أداة Nessus لفحص ثغرات نظام وتصنيفها حسب مستوى الخطورة (منخفض، متوسط، مرتفع، حرج).

4. هجمات النظام

استغلال الثغرات، هجمات تجاوز سعة المخزن المؤقت، تصعيد الصلاحيات، حصان طروادة والجذور الخفية.

مثال:

استخدام أداة Metasploit لاستغلال ثغرة MS17-010 (EternalBlue) في أنظمة Windows للحصول على صلاحيات نظام.

5. هجمات الويب والتطبيقات

ثغرات OWASP Top 10، هجمات SQL Injection، XSS، CSRF، تكسير كلمات المرور.

مثال على SQL Injection:

في حقل اسم المستخدم إدخال: ' OR '1'='1 لمحاولة تجاوز صفحة تسجيل الدخول.

6. الهندسة الاجتماعية

تقنيات التصيد، pretexting، baiting، tailgating، الوعي الأمني والتدريب.

مثال على هجوم التصيد:

إرسال بريد إلكتروني يبدو أنه من البنك يطلب تحديث بيانات الحساب، مع رابط يؤدي إلى موقع مزيف.

7. هجمات الشبكات اللاسلكية

تهكير شبكات Wi-Fi، أنواع التشفير، هجمات KRACK، أدوات اختبار أمن الشبكات اللاسلكية.

مثال:

استخدام أداة Aircrack-ng لاختراق شبكة WPA2 عن طريق اعتراض مصافحة الاتصال وكسر كلمة المرور.

8. إخفاء الهوية والتغطية

تقنيات إخفاء الهوية، VPN، Tor، البروكسي، محو الأدلة، تجنب أنظمة كشف التسلل.

مثال:

استخدام شبكة Tor لإخفاء عنوان IP الحقيقي أثناء إجراء اختبارات الاختراق.

9. اختبارات الاختراق للشبكات

منهجيات اختبار الاختراق، جمع المعلومات، المسح، الاستغلال، الحفاظ على الوصول، إعداد التقارير.

مثال:

اتباع منهجية PTES (معيار اختبار اختراق التنفيذ) لإجراء اختبار اختراق شامل.

10. الأمن السحابي والجوال

تهديدات الأمن السحابي، أمن تطبيقات الجوال، اختبار اختراق البنية التحتية السحابية.

مثال:

فحص إعدادات أمان دلو S3 في AWS للتأكد من أنه غير مفتوح للعامة.

11. إنترنت الأشياء (IoT)

تهديدات أمن إنترنت الأشياء، اختبار اختراق الأجهزة الذكية، الثغرات الشائعة في IoT.

مثال:

اختبار اختراق كاميرا IP من خلال البحث عن ثغرات في واجهة الويب أو خدمات الشبكة المفتوحة.

12. العمليات والامتثال

معايير الأمن، إدارة الحوادث، الاستجابة للاختراقات، إعداد التقارير الأمنية.

مثال:

إعداد تقرير اختبار اختراق يتضمن ملخص التنفيذ، النتائج، التوصيات، ومستوى الخطورة.

معلومات الامتحان

تفاصيل امتحان CEH:

  • عدد الأسئلة: 125 سؤال
  • مدة الامتحان: 4 ساعات
  • نوع الأسئلة: اختيار من متعدد
  • درجة النجاح: تختلف حسب صعوبة الامتحان (عادة بين 60%-85%)
  • رسوم الامتحان: حوالي 1199 دولار أمريكي
  • متطلبات ما قبل الامتحان: سنتان خبرة في مجال أمن المعلومات أو حضور دورة معتمدة
نموذج سؤال:

أي من التقنيات التالية تستخدم لتحديد نظام التشغيل على مضيف بعيد دون إرسال أي حزم إلى المنافذ المفتوحة؟

أ) TCP SYN Scan

ب) UDP Scan

ج) NULL Scan

د) Passive OS Fingerprinting

الإجابة الصحيحة: د) Passive OS Fingerprinting

الموارد التعليمية

الكتب الموصى بها:

  • CEH Certified Ethical Hacker All-in-One Exam Guide
  • CEH Official Certified Ethical Hacker Review Guide
  • The Web Application Hacker's Handbook

أدوات يجب التدرب عليها:

  • Nmap - لمسح الشبكات
  • Metasploit - framework لاستغلال الثغرات
  • Wireshark - لتحليل حركة الشبكة
  • Burp Suite - لاختبار تطبيقات الويب
  • John the Ripper - لتكسير كلمات المرور
  • Nessus - لفحص الثغرات

منصات تدريب عملية:

  • Hack The Box
  • TryHackMe
  • VulnHub
  • OverTheWire

اتصل بنا

إذا كان لديك أي استفسارات حول شهادة CEH أو تحتاج إلى مساعدة في التحضير للامتحان، لا تتردد في التواصل معنا.

البريد الإلكتروني: info@ceh-guide.com