Blog Wallpaper
A
ALI ALAKABRالأربعاء، 2 يوليو 2025

Katana

هي أداة قوية ومفتوحة المصدر مخصصة لاكتشاف المسارات (paths) والروابط في المواقع، تم تطويرها بلغة Go من قبل فريق ProjectDiscovery.

منذ شهرين تقريبا

Area Iconالأمن السيبراني - إختبار الإختراقv1.1.3 النسخة

شنو هي Katana؟

هي أداة زحف (Web Crawler) سريعة جداً ومرنة، مصممة خصيصاً لاكتشاف روابط ومصادر موقع الويب بشكل شامل، وخصوصاً المفيدة لاختبار الاختراق مثل:

  • الروابط الداخلية والديناميكية
  • استدعاءات JavaScript
  • النماذج والأزرار القابلة للتفاعل
  • البارامترات المحتملة
  • وأمور ثانية تفيدك بكشف الثغرات

أهم ميزة بيها؟ تعدد الطبقات بالزحف ودعم JavaScript Extraction، وهذا الشي يخليها تتفوق على أدوات مثل hakrawler أو gospider.

لماذا أستخدم Katana؟

أغلب الأدوات تطلعلك روابط ثابتة أو مكشوفة بالـ HTML. بس المواقع الحديثة صارت تعتمد على JavaScript بشكل كبير، وهذا يعني أكو روابط تظهر فقط بعد تنفيذ السكربتات.

وهنا Katana:

  • تزحف الـ HTML والـ JS بنفس الوقت
  • تسحب البارامترات من السكربتات
  • تدعم ملفات robots.txt و sitemap.xml
  • تقدر تبثها مباشرة لـ أدوات ثانية (مثل nuclei)

تثبيت الأداة:

١. المتطلبات الأساسية:

  • Go نسخة 1.20 أو أحدث
  • نظام تشغيل: Linux / macOS / Windows (يفضل Linux)

٢. خطوات التثبيت:

go install github.com/projectdiscovery/katana/cmd/katana@latest

بعد ما تخلص، تأكد إنو الأداة نزلت بنجاح:

katana -h

إذا طلعلك المساعدة، يعني تثبتت.

تشغيل الأداة
تشغيل الأداة

استخدامات Katana الأساسية

زحف رابط معين:

katana -u https://cyberr.iq

راح تطلعلك كل الروابط الداخلية الي يكتشفها Katana من الصفحة.

حفظ النتائج بملف:

katana -u https://cyberr.iq -o links.txt

الزحف باستخدام ملف يحتوي على روابط:

katana -list urls.txt

استخدام مستوى زحف أعمق:

katana -u https://cyberr.iq -d 3

-d معناها depth (عمق الزحف) وكلما زاد الرقم، زاد الوقت والدقة.

استخراج البارامترات من السكربتات:

katana -u https://cyberr.iq -jsl

هذا الخيار -jsl يخلي Katana تستخرج روابط JavaScript وتفكك البارامترات منها.

دمج Katana مع أدوات ثانية:

تقدر تربط الأداة مباشرة مع أدوات مثل nuclei لتفحص الثغرات بالروابط المكتشفة:

katana -u https://cyberr.iq | nuclei -t templates/

أقوى الخصائص (Features):

الخاصيةالشرح
JS Analysisتحليل سكربتات الجافاسكربت لاستخراج روابط مخفية أو بارامترات
Headless Modeيشتغل وكأنه متصفح ويتعامل مع عناصر الـ DOM
Custom Headersتقدر تضيف هيدر مخصص (مثل توكن أو كوكي)
Rate Limitingالتحكم بسرعة الطلبات لتجنب الحظر
Filteringفلترة النتائج (مثلاً روابط تنتهي بـ .php فقط)
Integration Readyمتوافق مع باقي أدوات ProjectDiscovery بشكل مثالي

2. فحص شامل لموقع داخلي:

katana -u http://intranet.local -d 4 -rl 2 -jc -o deepcrawl.txt

3. دمجها بسكربتاتك الخاصة:

تقدر تدمج Katana بسكربت Bash أو Python بسهولة لأن مخرجاتها نظيفة وتدعم الـ JSON.

ملاحظات ونصائح

  • ما تسوي تحليل للثغرات، وظيفتها الزحف فقط، فلا تعتمد عليها كحل نهائي.
  • كل ما زدت الـ depth لازم تكون صبور لأن الزحف يصير أبطأ.
  • انتبه لمواقع تحظر IP بسرعة، يفضل تستخدم VPN أو proxy.

المصادر الرسمية