أبرز المخاطر الأمنية المعرضة لها تطبيقات الويب - الجزء الأول

بواسطة : | في : | نشر في : , , ,
السلام عليكم و رحمة الله و بركاته 
معكم أخوكم أسامة ريان


شبكة الأنترنت هي شبكة عملاقة تضم ملايين مواقع الأنترنت في العالم جميع هذه المواقع تستخدم تقنيات و لغات برمجية في برمجة و تصميم المواقع الخاصة بها ... هذه المواقع صممت من قبل الإنسان و كما نعلم فالإنسان مخلوق من الله عز و جل و لا بد أن يخطئ لذلك في جميع مواقع الويب الموجودة على العالم لم نجد موقع لم يخترق أو لم يتم إكتشاف ثغرة برمجية فيه لذلك جميع المواقع و جميع التطبيقات الموجودة في العالم معرضة لهجمات الويب .
هجمات الويب هي هجمات و مخاطر أمنية معدة لإستغلال ضعف هذا النظام البرمجي ( الموقع ) إما لتخريبه و إما لسرقة معلومات أو حتى إيقاف الموقع ! و هنالك بالطبع العديد من الثغرات المنتشرة بشكل واسع علنا في سكريبتات معينة و في برمجيات خاصة لذلك يجب على مختبر الإختراق أن يبقى على إطلاع دائم بآخر المستجدات في عالم الحماية و إختبار الإختراق و يجب عليه أيضا أن يحاول إكتشاف الثغرات البرمجية بنفسه و ترقيتها و أن يحاول أن يطور بيئة خاصة به لكي يبقى على إطلاع واسع كما ذكرت على آخر الثغرات التي من الممكن أن تهدد نظامه أو موقعه أو حتى عميل لديه في حال كان العمل على شركات .
دعونا الآن نتطرق لبعض الثغرات البرمجية التي من الممكن أن تصيب التطبيقات المبرمجة في لغات مشهورة مثل                ( ASP - ASPX - PHP ) :

1 - ثغرات Sql injection : 

sql_injection
تعد هذه الثغرات من أكثر الثغرات إنتشارا في عالم الويب و هذه الثغرات تصيب التطبيقات التي يكون فيها تحاور و عملية إتصال ما بين التطبيق و قاعدة البيانات حيث يحاول المخترق حقن أكواد و إستعلامات خاصة بقواعد البيانات سواء كانت      
( Mysql - Mssql - postgersql ) و إستخراج المعلومات الخاصة بالقاعدة منها بكل سهولة و هنا يأتي دور المحترق بإستغلال مثل هذه الثغرات إما من خلال الأدوات المتوافرة مثل Sqlmap لحقن هذه القاعدة و التحكم فيها ... من الجدير بالذكر أيضا أن هذه الثغرة مثل معظم الثغرات تنتج من خلال عدم التأكد من المدخلات و عدم فلترة المدخلات بشكل جيد أثناء تنفيذ الإستعلام مما يؤدي إلى إستغلال الإستعلام كما ذكرت في أمور تخريبية هدفها إستخراج المعلومات و السيطرة على قاعدة البيانات ... و من الأمثلة على ثغرات Sql injection :
  • Blind Sql injection
  • error based sql injection
  • Boolean SQL injection

2 - ثغرات Cross-site scripting أو ما يعرف xss : 

xss
تعد هذه الثغرات قوية و فعالة في الكثير من الحالات ... فهي تسمح لك بحقن أكواد html - javascript داخل صفحة معينة مصابة ... و تكمن الإصابة في عدم التأكد الفعلي من القيم المدخلة و عدم فلترتها فعلى سبيل المثال يستطيع المخترق إدخال كود javascript بسيط داخل الحقل المصاب و الذي لا يوجد عليه أي حماية و لا أي عمليات فلترة خاصة بالإدخال لذلك نجد أن أغلب المواقع مصابة بمثل هذه الثغرات ... و هذه الثغرة أيضا لها أنواع و تقسم إلى :
    • Reflected XSS : و تكون الإصابة فقط ظاهرية و بشكل سطحي دون أن تخزن في قاعدة البيانات و يتم عرضها كأنها صفحه أو طلب معين .
    • Stored XSS : تكون الإصابة عميقة و يتم تخزين هذه الثغرة داخل قاعدة البيانات و عرضها بشكل دائم للمستخدم و تعد أخطر و أقوى من النوع الأول .
    مع العلم أن هنالك أنواع أخرى من الثغرة مثل DOM based XSS و لكنها تعتبر حالة خاصة .
    يوجد هنالك الكثير من المراجع الأمنية لترتيب الثغرات و يعد OWASP top 10 أقواها لأنه يصنف و يشرح جميع الثغرات و يعطي جميع المعلومات عنها و أنصح بالإطلاع عليه .



      هل أعجبك الموضوع ؟

      بقلم أسامة ريان

      إسمي أسامة ريان عمري 15 سنة أهتم بالجديد في عالم الأمن المعلوماتي و الهكر الأخلاقي أنشأت هذه المدونة من أجل تقديم كل ما أعرفه و إفادتكم إن شاء الله



      ضع تعليقاك

      رجاء تجنب استعمال التعليقات لبث روابط إعلانية. كذلك ننبه إلى ضرورة الالتزام بصلب الموضوع و عدم الخروج عليه وشكرا

      ليست هناك تعليقات:

      إرسال تعليق

      عن المدونة

      مدونة أسامة ريان للمعلوميات هي عبارة على مدونة تضم عدد كبير من الفيديوهات المصورة عن طريق حلقات متسلسلة نتطرق فيها إلى مختلف المواضيع التقنية و مواضيع تخص الأمن المعلوماتي و الهكر الأخلاقي القريبة من الشباب العربي ، بالإضافة إلى مقالات . مدونة أسامة ريان للمعلوميات تأسست سنة 2016 حيث تستقطب الآن عدد كبير من الزوار من كافة ربوع الوطن العربي ، حيث أن مقرها الرئيسي بتونس و مديرها أسامة ريان ،
      جميع الحقوق محفوظة لمدونة أسامة ريان للمعلوميات ©