الحديث عن أدوات مفيدة لل pentesters. في المقالة الجديدة سنلقي نظرة على أدوات تحليل أمان تطبيقات الويب.
زميلنا لقد فعلت بالفعل شيئا من هذا القبيل منذ حوالي سبع سنوات. ومن المثير للاهتمام معرفة الأدوات التي احتفظت بمكانتها وعززتها، وأي منها تلاشت في الخلفية ونادرًا ما تستخدم الآن.
لاحظ أن هذا يتضمن أيضًا Burp Suite، ولكن سيكون هناك منشور منفصل عنه وعن مكوناته الإضافية المفيدة.
المحتويات:
جمع
- أداة Go للبحث عن نطاقات DNS الفرعية وتعدادها ورسم خرائط للشبكة الخارجية. Amass هو مشروع OWASP مصمم لإظهار كيف تبدو المنظمات على الإنترنت لشخص غريب. يحصل Amass على أسماء النطاقات الفرعية بطرق مختلفة؛ تستخدم الأداة كلاً من التعداد المتكرر للنطاقات الفرعية وعمليات البحث مفتوحة المصدر.
لاكتشاف قطاعات الشبكة المترابطة وأرقام النظام المستقل، يستخدم Amass عناوين IP التي تم الحصول عليها أثناء التشغيل. يتم استخدام جميع المعلومات التي تم العثور عليها لبناء خريطة الشبكة.
الايجابيات:
- تشمل تقنيات جمع المعلومات ما يلي:
* DNS - بحث القاموس للنطاقات الفرعية، والنطاقات الفرعية bruteforce، والبحث الذكي باستخدام الطفرات بناءً على النطاقات الفرعية الموجودة، واستعلامات DNS العكسية والبحث عن خوادم DNS حيث يمكن تقديم طلب نقل المنطقة (AXFR)؛* بحث مفتوح المصدر - Ask، Baidu، Bing، CommonCrawl، DNSDB، DNSDumpster، DNSTable، Dogpile، Exalead، FindSubdomains، Google، IPv4Info، Netcraft، PTRArchive، Riddler، SiteDossier، ThreatCrowd، VirusTotal، Yahoo؛
* البحث في قواعد بيانات شهادات TLS - Censys، CertDB، CertSpotter، Crtsh، Entrust؛
* استخدام واجهات برمجة التطبيقات لمحركات البحث - BinaryEdge، وBufferOver، وCIRCL، وHackerTarget، وPassiveTotal، وRobtex، وSecurityTrails، وShodan، وTwitter، وUmbrella، وURLScan؛
* البحث في أرشيفات الويب على الإنترنت: ArchiveIt، ArchiveToday، Arquivo، LoCArchive، OpenUKArchive، UKGovArchive، Wayback؛
- التكامل مع Maltego؛
- يوفر التغطية الأكثر اكتمالا لمهمة البحث عن نطاقات DNS الفرعية.
سلبيات:
- كن حذرًا مع amass.netdomains - سيحاول الاتصال بكل عنوان IP في البنية التحتية المحددة والحصول على أسماء النطاقات من عمليات بحث DNS العكسية وشهادات TLS. هذه تقنية "رفيعة المستوى"، يمكنها الكشف عن أنشطتك الاستخباراتية في المنظمة قيد التحقيق.
- استهلاك كبير للذاكرة، يمكن أن يستهلك ما يصل إلى 2 جيجابايت من ذاكرة الوصول العشوائي (RAM) في إعدادات مختلفة، مما لن يسمح لك بتشغيل هذه الأداة في السحابة على VDS رخيص.
البديل
- أداة بايثون لتجميع القواميس لتعداد نطاقات DNS الفرعية. يسمح لك بإنشاء العديد من المتغيرات للنطاقات الفرعية باستخدام الطفرات والتباديل. لهذا، يتم استخدام الكلمات التي توجد غالبًا في النطاقات الفرعية (على سبيل المثال: الاختبار، التطوير، التدريج)، ويتم تطبيق جميع الطفرات والتباديل على النطاقات الفرعية المعروفة بالفعل، والتي يمكن إرسالها إلى إدخال Altdns. الإخراج عبارة عن قائمة بأشكال النطاقات الفرعية التي يمكن أن توجد، ويمكن استخدام هذه القائمة لاحقًا للقوة الغاشمة لنظام DNS.
الايجابيات:
- يعمل بشكل جيد مع مجموعات البيانات الكبيرة.
أكواتون
- كانت معروفة سابقًا كأداة أخرى للبحث في النطاقات الفرعية، لكن المؤلف نفسه تخلى عن ذلك لصالح Amass المذكور أعلاه. تمت الآن إعادة كتابة aquatone في Go وهو موجه أكثر نحو الاستطلاع الأولي على مواقع الويب. للقيام بذلك، يمر aquatone عبر النطاقات المحددة ويبحث عن مواقع الويب على منافذ مختلفة، وبعد ذلك يقوم بجمع كافة المعلومات حول الموقع ويلتقط لقطة شاشة. مناسب للاستطلاع الأولي السريع لمواقع الويب، وبعد ذلك يمكنك تحديد الأهداف ذات الأولوية للهجمات.
الايجابيات:
- يقوم الإخراج بإنشاء مجموعة من الملفات والمجلدات الملائمة للاستخدام عند العمل مع أدوات أخرى:
* تقرير HTML يحتوي على لقطات شاشة مجمعة وعناوين استجابة مجمعة حسب التشابه؛* ملف يحتوي على جميع عناوين URL التي تم العثور على مواقع الويب فيها؛
* ملف يحتوي على إحصائيات وبيانات الصفحة؛
* مجلد يحتوي على ملفات تحتوي على رؤوس الاستجابة للأهداف التي تم العثور عليها؛
* مجلد يحتوي على ملفات تحتوي على نص الرد من الأهداف التي تم العثور عليها؛
* لقطات من المواقع التي تم العثور عليها؛
- يدعم العمل مع تقارير XML من Nmap وMasscan؛
- يستخدم Chrome/Chromium بدون رأس لعرض لقطات الشاشة.
سلبيات:
- قد يجذب انتباه أنظمة كشف التسلل، لذلك يتطلب التكوين.
تم التقاط لقطة الشاشة لأحد الإصدارات القديمة من aquatone (v0.5.0)، حيث تم تنفيذ بحث النطاق الفرعي لنظام أسماء النطاقات (DNS). يمكن العثور على الإصدارات الأقدم في .
ماسدنس
هي أداة أخرى للعثور على نطاقات DNS الفرعية. الفرق الرئيسي بينه هو أنه يجعل استعلامات DNS مباشرة إلى العديد من محللات DNS المختلفة ويقوم بذلك بسرعة كبيرة.
الايجابيات:
- سريع - قادر على حل أكثر من 350 ألف اسم في الثانية.
سلبيات:
- يمكن أن يتسبب MassDNS في تحميل كبير على محللات DNS المستخدمة، مما قد يؤدي إلى حظر تلك الخوادم أو تقديم شكاوى إلى مزود خدمة الإنترنت. بالإضافة إلى ذلك، فإنه سيضع عبئًا كبيرًا على خوادم DNS الخاصة بالشركة، إذا كانت لديها هذه الخوادم وإذا كانت مسؤولة عن النطاقات التي تحاول حلها.
- قائمة أدوات الحل قديمة حاليًا، ولكن إذا قمت بتحديد أدوات حل DNS المعطلة وأضفت أدوات حل معروفة جديدة، فسيكون كل شيء على ما يرام.
لقطة شاشة لبرنامج Aquatone v0.5.0
nsec3map
هي أداة Python للحصول على قائمة كاملة بالنطاقات المحمية بـ DNSSEC.
الايجابيات:
- يكتشف المضيفين بسرعة في مناطق DNS مع الحد الأدنى من عدد الاستعلامات إذا تم تمكين دعم DNSSEC في المنطقة؛
- يتضمن مكونًا إضافيًا لـ John the Ripper والذي يمكن استخدامه لكسر تجزئات NSEC3 الناتجة.
سلبيات:
- لا تتم معالجة العديد من أخطاء DNS بشكل صحيح؛
- لا يوجد توازي تلقائي لمعالجة سجلات NSEC - يجب عليك تقسيم مساحة الاسم يدويًا؛
- استهلاك عالي للذاكرة.
Acunetix
— ماسح ضوئي لثغرات الويب يعمل على أتمتة عملية التحقق من أمان تطبيقات الويب. يختبر التطبيق لحقن SQL وXSS وXXE وSSRF والعديد من نقاط الضعف الأخرى على الويب. ومع ذلك، مثل أي ماسح ضوئي آخر، فإن مجموعة متنوعة من نقاط الضعف على الويب لا تحل محل جهاز الاختراق، لأنه لا يمكنه العثور على سلاسل معقدة من نقاط الضعف أو نقاط الضعف في المنطق. ولكنه يغطي الكثير من نقاط الضعف المختلفة، بما في ذلك العديد من التهديدات الخطيرة، والتي ربما نسيها المخترق، لذا فهو مناسب جدًا لتحريرك من عمليات الفحص الروتينية.
الايجابيات:
- مستوى منخفض من الإيجابيات الكاذبة.
- يمكن تصدير النتائج كتقارير.
- ينفذ عددًا كبيرًا من عمليات التحقق من نقاط الضعف المختلفة؛
- المسح المتوازي لمضيفين متعددين.
سلبيات:
- لا توجد خوارزمية إلغاء البيانات المكررة (سيعتبر Acunetix الصفحات المتطابقة في الوظيفة مختلفة، لأنها تؤدي إلى عناوين URL مختلفة)، لكن المطورين يعملون على ذلك؛
- يتطلب التثبيت على خادم ويب منفصل، مما يزيد من تعقيد اختبار أنظمة العميل باستخدام اتصال VPN واستخدام الماسح الضوئي في جزء معزول من شبكة العميل المحلية؛
- قد تُحدث الخدمة قيد الدراسة ضجيجًا، على سبيل المثال، عن طريق إرسال عدد كبير جدًا من نواقل الهجوم إلى نموذج الاتصال الموجود على الموقع، مما يؤدي إلى تعقيد العمليات التجارية بشكل كبير؛
- إنه حل خاص، وبالتالي ليس مجانيًا.
بحث
— أداة Python لفرض الأدلة والملفات على مواقع الويب.
الايجابيات:
- يمكن التمييز بين الصفحات الحقيقية "200 OK" والصفحات "200 OK"، ولكن مع النص "لم يتم العثور على الصفحة"؛
- يأتي مزودًا بقاموس مفيد يتمتع بتوازن جيد بين الحجم وكفاءة البحث. يحتوي على مسارات قياسية مشتركة بين العديد من أنظمة إدارة المحتوى (CMS) ومجموعات التكنولوجيا؛
- تنسيق القاموس الخاص به، والذي يسمح لك بتحقيق كفاءة ومرونة جيدة في تعداد الملفات والأدلة؛
- إخراج مريح - نص عادي، JSON؛
- يمكنه القيام بالاختناق - التوقف المؤقت بين الطلبات، وهو أمر حيوي لأي خدمة ضعيفة.
سلبيات:
- يجب تمرير الامتدادات كسلسلة، وهو أمر غير مناسب إذا كنت بحاجة إلى تمرير العديد من الامتدادات في وقت واحد؛
- من أجل استخدام القاموس الخاص بك، سوف تحتاج إلى تعديل طفيف لتنسيق قاموس Dirsearch لتحقيق أقصى قدر من الكفاءة.
com.wfuzz
- Fuzzer تطبيق ويب بايثون. من المحتمل أنه أحد أشهر مطوري الويب. المبدأ بسيط: يتيح لك wfuzz التقسيم المرحلي لأي مكان في طلب HTTP، مما يجعل من الممكن التقسيم المرحلي لمعلمات GET/POST ورؤوس HTTP، بما في ذلك ملفات تعريف الارتباط ورؤوس المصادقة الأخرى. وفي الوقت نفسه، فهو مناسب أيضًا للقوة الغاشمة البسيطة للأدلة والملفات، والتي تحتاج إلى قاموس جيد لها. كما أن لديها نظام تصفية مرن، يمكنك من خلاله تصفية الردود من موقع الويب وفقًا لمعايير مختلفة، مما يسمح لك بتحقيق نتائج فعالة.
الايجابيات:
- متعدد الوظائف - هيكل معياري، يستغرق التجميع بضع دقائق؛
- آلية ترشيح وتشويش مريحة؛
- يمكنك تنفيذ أي طريقة HTTP، بالإضافة إلى أي مكان في طلب HTTP.
سلبيات:
- تحت التطوير.
ffuf
- يتيح لك ضباب الويب في Go، الذي تم إنشاؤه في "الصورة والمثال" لـ wfuzz، مسح الملفات والأدلة ومسارات URL وأسماء وقيم معلمات GET/POST ورؤوس HTTP، بما في ذلك رأس المضيف للقوة الغاشمة من المضيفين الظاهري. يختلف wfuzz عن أخيه في السرعة الأعلى وبعض الميزات الجديدة، على سبيل المثال، فهو يدعم قواميس تنسيق Dirsearch.
الايجابيات:
- تشبه المرشحات مرشحات wfuzz، فهي تسمح لك بتكوين القوة الغاشمة بمرونة؛
- يسمح لك بتشويش قيم رأس HTTP وبيانات طلب POST وأجزاء مختلفة من عنوان URL، بما في ذلك أسماء وقيم معلمات GET؛
- يمكنك تحديد أي طريقة HTTP.
سلبيات:
- تحت التطوير.
gobuster
— أداة Go للاستطلاع، لها وضعان للتشغيل. يُستخدم الأول لفرض القوة الغاشمة على الملفات والأدلة الموجودة على موقع ويب، ويستخدم الثاني لفرض القوة الغاشمة على نطاقات DNS الفرعية. لا تدعم الأداة في البداية التعداد العودي للملفات والأدلة، مما يوفر الوقت بالطبع، ولكن من ناحية أخرى، يجب إطلاق القوة الغاشمة لكل نقطة نهاية جديدة على موقع الويب بشكل منفصل.
الايجابيات:
- سرعة تشغيل عالية سواء للبحث العنيف في نطاقات DNS الفرعية أو للقوة الغاشمة للملفات والأدلة.
سلبيات:
- الإصدار الحالي لا يدعم إعداد رؤوس HTTP؛
- افتراضيًا، تعتبر بعض رموز حالة HTTP فقط (200,204,301,302,307) صالحة.
أرجون
- أداة للقوة الغاشمة لمعلمات HTTP المخفية في معلمات GET/POST، وكذلك في JSON. يحتوي القاموس المدمج على 25 كلمة، والتي يتحقق منها Ajrun في حوالي 980 ثانية. الحيلة هي أن Ajrun لا يتحقق من كل معلمة على حدة، ولكنه يتحقق من حوالي 30 معلمة في المرة الواحدة ويرى ما إذا كانت الإجابة قد تغيرت. إذا تغيرت الإجابة، فإنه يقسم هذه المعلمات الـ 1000 إلى جزأين ويتحقق من أي من هذه الأجزاء يؤثر على الإجابة. وبالتالي، باستخدام بحث ثنائي بسيط، يتم العثور على معلمة أو عدة معلمات مخفية أثرت على الإجابة، وبالتالي قد تكون موجودة.
الايجابيات:
- سرعة عالية بسبب البحث الثنائي.
- دعم معلمات GET/POST، بالإضافة إلى المعلمات في شكل JSON؛
يعمل البرنامج المساعد لـ Burp Suite على مبدأ مماثل - ، وهو أيضًا جيد جدًا في العثور على معلمات HTTP المخفية. سنخبرك المزيد عنها في مقال قادم حول Burp ومكوناته الإضافية.
LinkFinder
- برنامج نصي Python للبحث عن الروابط في ملفات JavaScript. مفيد للعثور على نقاط النهاية/عناوين URL المخفية أو المنسية في تطبيق الويب.
الايجابيات:
- سريع؛
- يوجد مكون إضافي خاص لمتصفح Chrome يعتمد على LinkFinder.
.
سلبيات:
- الاستنتاج النهائي غير مريح؛
- لا يقوم بتحليل جافا سكريبت مع مرور الوقت؛
- منطق بسيط جدًا للبحث عن الروابط - إذا كانت JavaScript غامضة بطريقة أو بأخرى، أو كانت الروابط مفقودة في البداية وتم إنشاؤها ديناميكيًا، فلن تتمكن من العثور على أي شيء.
JSParser
هو برنامج نصي بايثون يستخدم и لتحليل عناوين URL النسبية من ملفات JavaScript. مفيد جدًا لاكتشاف طلبات AJAX وتجميع قائمة بطرق واجهة برمجة التطبيقات (API) التي يتفاعل معها التطبيق. يعمل بفعالية مع LinkFinder.
الايجابيات:
- تحليل سريع لملفات جافا سكريبت.
sqlmap
ربما تكون إحدى الأدوات الأكثر شهرة لتحليل تطبيقات الويب. يقوم Sqlmap بأتمتة البحث عن حقن SQL وتشغيلها، ويعمل مع العديد من لهجات SQL، ويحتوي على عدد كبير من التقنيات المختلفة في ترسانته، بدءًا من علامات الاقتباس المباشرة إلى المتجهات المعقدة لحقن SQL المستندة إلى الوقت. بالإضافة إلى ذلك، فهو يحتوي على العديد من التقنيات لمزيد من الاستغلال لمختلف أنظمة إدارة قواعد البيانات (DBMS)، لذا فهو مفيد ليس فقط كأداة فحص لحقن SQL، ولكن أيضًا كأداة قوية لاستغلال حقن SQL الموجودة بالفعل.
الايجابيات:
- عدد كبير من التقنيات والنواقل المختلفة؛
- انخفاض عدد النتائج الإيجابية الكاذبة؛
- الكثير من خيارات الضبط الدقيق، والتقنيات المتنوعة، وقاعدة البيانات المستهدفة، والنصوص البرمجية للتلاعب لتجاوز WAF؛
- القدرة على إنشاء تفريغ الإخراج.
- العديد من القدرات التشغيلية المختلفة، على سبيل المثال، لبعض قواعد البيانات - التحميل/التفريغ التلقائي للملفات، والحصول على القدرة على تنفيذ الأوامر (RCE) وغيرها؛
- دعم الاتصال المباشر بقاعدة البيانات باستخدام البيانات التي تم الحصول عليها أثناء الهجوم؛
- يمكنك إرسال ملف نصي يتضمن نتائج Burp كمدخل - لا داعي لإنشاء جميع سمات سطر الأوامر يدويًا.
سلبيات:
- من الصعب، على سبيل المثال، تخصيص بعض الشيكات الخاصة بك بسبب ندرة الوثائق الخاصة بذلك؛
- وبدون الإعدادات المناسبة، فإنه ينفذ مجموعة غير كاملة من عمليات التحقق، مما قد يكون مضللاً.
NoSQLMap
— أداة Python لأتمتة البحث واستغلال حقن NoSQL. إنه مناسب للاستخدام ليس فقط في قواعد بيانات NoSQL، ولكن أيضًا بشكل مباشر عند تدقيق تطبيقات الويب التي تستخدم NoSQL.
الايجابيات:
- مثل sqlmap، فهو لا يجد ثغرة أمنية محتملة فحسب، بل يتحقق أيضًا من إمكانية استغلاله لـ MongoDB وCouchDB.
سلبيات:
- لا يدعم NoSQL لـ Redis، Cassandra قيد التطوير في هذا الاتجاه.
oxml_xxe
— أداة لتضمين عمليات استغلال XXE XML في أنواع مختلفة من الملفات التي تستخدم تنسيق XML بشكل ما.
الايجابيات:
- يدعم العديد من التنسيقات الشائعة مثل DOCX وODT وSVG وXML.
سلبيات:
- لم يتم تنفيذ دعم PDF، JPEG، GIF بشكل كامل؛
- يقوم بإنشاء ملف واحد فقط. لحل هذه المشكلة يمكنك استخدام الأداة ، والتي يمكنها إنشاء عدد كبير من ملفات الحمولة في أماكن مختلفة.
تقوم الأدوات المساعدة المذكورة أعلاه بعمل رائع في اختبار XXE عند تحميل المستندات التي تحتوي على XML. ولكن تذكر أيضًا أنه يمكن العثور على معالجات تنسيق XML في العديد من الحالات الأخرى، على سبيل المثال، يمكن استخدام XML كتنسيق بيانات بدلاً من JSON.
لذلك ننصحك بالاهتمام بالمستودع التالي والذي يحتوي على عدد كبير من الحمولات المختلفة: .
com.tplmap
- أداة بايثون لتحديد واستغلال الثغرات الأمنية في حقن القالب من جانب الخادم تلقائيًا، ولها إعدادات وإشارات مشابهة لـ sqlmap. يستخدم العديد من التقنيات والمتجهات المختلفة، بما في ذلك الحقن الأعمى، ولديه أيضًا تقنيات لتنفيذ التعليمات البرمجية وتحميل/تحميل الملفات العشوائية. بالإضافة إلى ذلك، لديه في ترسانته تقنيات لعشرات محركات القوالب المختلفة وبعض تقنيات البحث عن عمليات حقن التعليمات البرمجية المشابهة لـ eval() في Python وRuby وPHP وJavaScript. إذا نجحت، فإنه يفتح وحدة تحكم تفاعلية.
الايجابيات:
- عدد كبير من التقنيات والنواقل المختلفة؛
- يدعم العديد من محركات عرض القالب؛
- الكثير من تقنيات التشغيل.
سي دبليو إل
- مولد قاموس في روبي، تم إنشاؤه لاستخراج كلمات فريدة من موقع ويب محدد، ويتبع الروابط الموجودة في الموقع إلى عمق محدد. يمكن استخدام القاموس المجمع للكلمات الفريدة لاحقًا لفرض كلمات المرور على الخدمات أو استخدام ملفات وأدلة القوة الغاشمة على نفس موقع الويب، أو لمهاجمة التجزئات الناتجة باستخدام hashcat أو John the Ripper. مفيد عند تجميع قائمة "الهدف" بكلمات المرور المحتملة.
الايجابيات:
- سهل الاستخدام.
سلبيات:
- يجب أن تكون حذرًا فيما يتعلق بعمق البحث حتى لا تلتقط نطاقًا إضافيًا.
تمريرة ضعيفة
- خدمة تحتوي على العديد من القواميس بكلمات مرور فريدة. مفيد للغاية لمختلف المهام المتعلقة باختراق كلمات المرور، بدءًا من القوة الغاشمة البسيطة عبر الإنترنت للحسابات على الخدمات المستهدفة، إلى القوة الغاشمة خارج الخط للتجزئة المستلمة باستخدام أو . ويحتوي على حوالي 8 مليار كلمة مرور يتراوح طولها من 4 إلى 25 حرفًا.
الايجابيات:
- يحتوي على قواميس محددة وقواميس تحتوي على كلمات المرور الأكثر شيوعًا - يمكنك اختيار قاموس محدد يناسب احتياجاتك الخاصة؛
- يتم تحديث القواميس وتجديدها بكلمات مرور جديدة؛
- يتم فرز القواميس حسب الكفاءة. يمكنك اختيار خيار القوة الغاشمة السريعة عبر الإنترنت والاختيار التفصيلي لكلمات المرور من قاموس ضخم يحتوي على أحدث التسريبات؛
- هناك آلة حاسبة توضح الوقت الذي يستغرقه تسجيل كلمات المرور على أجهزتك.
نود تضمين أدوات فحص CMS في مجموعة منفصلة: WPScan وJoomScan وAEM hacker.
AEM_hacker
هي أداة لتحديد نقاط الضعف في تطبيقات Adobe Experience Manager (AEM).
الايجابيات:
- يمكن تحديد تطبيقات AEM من قائمة عناوين URL المقدمة إلى مدخلاتها؛
- يحتوي على نصوص برمجية للحصول على RCE عن طريق تحميل غلاف JSP أو استغلال SSRF.
جومسكان
— أداة Perl لأتمتة اكتشاف نقاط الضعف عند نشر Joomla CMS.
الايجابيات:
- القدرة على اكتشاف عيوب التكوين ومشاكل الإعدادات الإدارية؛
- يسرد إصدارات Joomla ونقاط الضعف المرتبطة بها، وبالمثل بالنسبة للمكونات الفردية؛
- يحتوي على أكثر من 1000 استغلال لمكونات Joomla؛
- إخراج التقارير النهائية بتنسيقات نصية وHTML.
WPScan
- أداة لمسح مواقع WordPress، بها نقاط ضعف في ترسانتها سواء بالنسبة لمحرك WordPress نفسه أو بالنسبة لبعض المكونات الإضافية.
الايجابيات:
- قادر على إدراج ليس فقط المكونات الإضافية والموضوعات غير الآمنة في WordPress، ولكن أيضًا الحصول على قائمة بالمستخدمين وملفات TimThumb؛
- يمكنه تنفيذ هجمات القوة الغاشمة على مواقع WordPress.
سلبيات:
- وبدون الإعدادات المناسبة، فإنه ينفذ مجموعة غير كاملة من عمليات التحقق، مما قد يكون مضللاً.
بشكل عام، يفضل الأشخاص المختلفون أدوات مختلفة للعمل: كلهم \uXNUMXb\uXNUMXbجيدون بطريقتهم الخاصة، وما يحبه شخص ما قد لا يناسب الآخر على الإطلاق. إذا كنت تعتقد أننا تجاهلنا بشكل غير عادل بعض الفوائد الجيدة، فاكتب عنها في التعليقات!
المصدر: www.habr.com