الأمن الإلكترونيتطبيقات

أعلى 10 ثغرات امنيه في تطبيقات الويب (تحديث ل 201 8)

تطبيقات الويب

اخبار التقنية news tech

 

المقدمة

يساعد مجتمع OWASP (مشروع أمن تطبيق الويب المفتوح) المؤسسات على تطوير تطبيقات آمنة. إنها تأتي بمعايير وأدوات مجانية ومؤتمرات تساعد المنظمات وكذلك الباحثين. OWASP top 10 هي قائمة أعلى 10 نقاط ضعف للتطبيقات بالإضافة إلى المخاطر والتأثيرات والتدابير المضادة. يتم تحديث القائمة عادة في كل 3-4 سنوات.

سيتم مناقشة الشيء نفسه مع بعض الأمثلة التي ستساعد على برعم أولئك الذين يساعدون في فهم نقاط الضعف هذه في التطبيقات واختبارها. لنبدأ!   

1. حقن

المقدمة

“تحدث هجمات الحقن عندما يكون المستخدم قادرًا على إدخال بيانات غير موثوقة تخدع التطبيق / النظام لتنفيذ أوامر غير مقصودة.”

يمكن أن تكون الحقن – استعلامات SQL ، استعلامات PHP ، استعلامات LDAP وأوامر نظام التشغيل. قبل أن نقفز إلى الأمثلة: لنفكر في بعض الأمور:

س: ماذا لحقن؟

ج: الاستعلامات وأوامر نظام التشغيل والرموز وتلاعبات عنوان URL.

س: أين يحقن؟

ج: في أي مكان يكون فيه إدخال المستخدم مطلوبًا أو يمكن استخدام تعديل البيانات. يمكن أن يكون مربع نص ، حقل اسم المستخدم / كلمة المرور ، حقول الملاحظات ، حقل التعليق ، عنوان URL إلخ.

س: لماذا بحقن؟

ج: للتحقق مما إذا كان التطبيق عرضة للخطر أم لا.

مثال

يوجد أدناه مربعين نصيين – الاسم الأول واسم العائلة. بمجرد إدخال الإدخال و النقر فوق GO ، يتم عرض الإدخال على الشاشة.

OWASP 01
المدخلات العادية

الآن دعنا ندخل بعض علامات HTML ونرى ما يحدث.

تتم معالجة علامات HTML ولدينا الإخراج المعروض. يضمن ذلك عدم التحقق من صحة إدخال المستخدم ويفترض أنه موثوق به ومعالج. لقد حددنا حالة حقن HTML الآن. وبالمثل ، يمكن اختبار حقن PHP ، حقن أوامر نظام التشغيل ، حقن iFrame ، LDAP ، وما إلى ذلك.

OWASP 02

مضاد

  • تطهير المدخلات: تطبيق نهج القائمة البيضاء على جانب الخادم لما يمكن قبوله جميعًا.
  • استخدام API الآمنة والاستعلامات parametrized.

2. مصادقة مكسورة

المقدمة

“تحدث المصادقة المعطلة عندما يسيء التطبيق إدارة المعلومات المتعلقة بالجلسة بحيث يتم اختراق هوية المستخدم. يمكن أن تكون المعلومات في شكل ملفات تعريف ارتباط الجلسة وكلمات المرور والمفاتيح السرية وما إلى ذلك. “

الهدف هنا هو إما الدخول في جلسة شخص آخر أو استخدام جلسة انتهى بها المستخدم أو سرقة المعلومات المتعلقة بالجلسة. دعونا نتحقق من بعض السيناريوهات. 

مثال

  1. اضغط على زر الرجوع بعد الخروج لمعرفة ما إذا كان يمكنك الدخول إلى الجلسة السابقة.
  2. حاول الوصول إلى عنوان URL مباشرةً بعد تسجيل الخروج للتحقق مما إذا كان بإمكانك الوصول إلى تلك الصفحة.
  3. تحقق من وجود المعلومات المتعلقة بالجلسة في عناوين URL. حاول التلاعب بها للتحقق مما إذا كنت قادراً على ركوب جلسة شخص آخر.
  4. حاول العثور على بيانات الاعتماد في التعليمات البرمجية المصدر. انقر بزر الماوس الأيمن على الصفحة وضرب مصدر العرض. في بعض الأحيان ، يقوم المبرمجون بترميز بيانات الاعتماد لتسهيل الوصول إليها والتي تبقى أحيانًا غير معروفة.

OWASP 03

 مضاد

  • استخدام المصادقة multifactor
  • عزل الجلسة
  • مهلة جلسة خمول
  • باستخدام ملفات تعريف الارتباط المضمونة

3. التعرض للبيانات الحساسة

المقدمة

“يمكن للمهاجمين شم أو تعديل البيانات الحساسة إذا لم يتم التعامل معها بشكل آمن من قبل التطبيق. تشمل بعض الأمثلة الاستخدام في حالة ضعف مفاتيح التشفير ، واستخدام طبقة النقل الآمنة الضعيفة “.

الهدف هو تحديد بتات البيانات الحساسة واستغلالها.

مثال

  • خوارزميات التشفير الضعيفة عرضة للهجمات وتعطي بيانات حساسة. في المثال التالي ، يتم إرسال اسم المستخدم وكلمة المرور باستخدام ترميز base64. 

 

OWASP - تعرض البيانات الحساسة

يمكن بسهولة اعتراض الطلب وفك ترميزه. يمكن للمهاجم أيضًا تشغيل هجمات SQL من خلال اكتساب هذه المعرفة. تحقق من كلمة المرور في الطلب الذي تم اعتراضه وفك ترميزه أدناه. يمكنك استخدام BurpSuite لاعتراض وفك.

 

OWASP - التعرض للبيانات الحساسة 2

  • لقد عطّلت التطبيقات المصرفية المختلفة إمكانية استخدام لقطة الشاشة لأنها قد تحتوي على بيانات حساسة.

مضاد

  • تشفير جميع البيانات العابرة وفي الراحة.
  • استخدام البروتوكولات والخوارزميات الآمنة.
  • تعطيل التخزين المؤقت للاستجابات مع البيانات الحساسة. قد يحصل المتسللون على النسخ المخزنة مؤقتًا ويسرقوا المعلومات منها.

4. كيانات XML الخارجية (XXE)

المقدمة

“التطبيق عرضة لهجمات XXE إذا كان ذلك يتيح للمستخدمين تحميل XML ضار والذي يستغل كذلك الكود الضعيف و / أو التبعيات”.

يمكن استخدام هذا لتنفيذ التعليمات البرمجية وسرقة البيانات وتنفيذ المهام الخبيثة الأخرى.  

مثال

مكنت صفحة الويب التالية المستخدم من تحميل ملف XML وسيتم معالجته / تحليله للبيانات وعرضه أدناه على نفس الصفحة. يرسل المستخدم العالم والتي تتم معالجتها.

OWASP - كيانات XML الخارجية

إذا أرسل المستخدم شيئًا مثل XML المقدم أدناه ، فسيتم معالجة ذلك بواسطة المحلل اللغوي وستتغير الاستجابة.

OWASP - 4. كيانات XML الخارجية 2

مواقع الويب المختلفة التي تطلب بيانات كبيرة من المستخدم مشاركة ملفات EXCEL مع الحقول. يطلب من المستخدم ملء ورقة اكسل وتشغيل ماكرو لتحويل الملف إلى ملف XML الذي يقوم المستخدم بتحميله. وقد اتبعت هذه التقنية سابقا لتقديم الإقرار الضريبي الهندي. في مثل هذه الحالات ، تحقق مما إذا كان XML الذي تم تحميله يتم تعقيمه أو رفضه قبل أن يتم تحليله.

مضاد

  • تجنب تسلسل البيانات الحساسة
  • تطبيق نهج القائمة البيضاء على جانب الخادم لمنع تحميل XML الخبيث.
  • استخدام WAF للكشف عن XXE وحظره.
  • مراجعة التعليمات البرمجية 

5. التحكم في الوصول المكسور

المقدمة

“يحدث التحكم في الوصول المكسور إذا كان المستخدم قادرًا على الوصول إلى موارد غير مصرح بها ، وهذا يمكن أن يكون الوصول إلى الصفحات المقيدة ، وقاعدة البيانات ، والأدلة وغيرها.”

تشتمل التطبيقات على أنواع حسابات مختلفة بناءً على المستخدمين: المشرفين والمشغلين ومجموعات التقارير وما إلى ذلك. وتتمثل إحدى المشكلات الشائعة في قيام المطورين بتقييد الامتيازات على جانب واجهة المستخدم فقط وليس على جانب الخادم. إذا تم استغلالها ، يمكن أن يكون لكل مستخدم حقوق المسؤول.

مثال

فيما يلي أمثلة لمستخدمين اثنين “Jsmith و admin user”. ليس لدى Jsmith حقوق تحرير المستخدمين ، لكن لدى المشرف حقوق لذلك. يمكن التحقق من ذلك من خلال الامتيازات الظاهرة على الجانب الأيسر لكل مستخدم. 

OWASP - التحكم في الوصول المكسور

تتمثل الثغرة الأمنية في أن مستخدم jsmith يمكنه الوصول مباشرةً إلى عنوان URL لصفحة مستخدم التحرير وتعديل المستخدمين ، على الرغم من أنه ليس المسؤول. 

OWASP - التحكم في الوصول المكسور 2

مضاد

  • إبطال الرموز المميزة وملفات تعريف الارتباط بعد الخروج.
  • تسجيل الدخول / الخروج بعد تغيير كلمة المرور.
  • تقييد مورد الخادم الجانبية مثل الدلائل.
  • تقييد الوصول إلى جميع الأدوار أساس الموارد.

6. أخطاء تكوين الأمان

المقدمة

يضمن المطورون وموظفو تقنية المعلومات الوظائف وليس الأمان. تتم عمليات التهيئة على خادم التطبيقات ، يجب أن يكون خادم DB والوكيل والتطبيقات والأجهزة الأخرى متوافقاً مع متطلبات الأمان. تغفل معظم متطلبات الأمان ما لم يتم تحديدها من قبل الخبراء أو المتسللين.

ومن أمثلة هذه الأخطاء الخاطئة في الأمان كلمات المرور ضعيفة ، وكلمات المرور الافتراضية ، والنصوص الافتراضية المخزنة على الخوادم ، والدلائل الافتراضية ، ورسائل الخطأ الافتراضية إلخ. 

مثال

  • قائمة الدليل المتاحة

OWASP - تصرفات الأمان الخاطئة

  • رسائل الخطأ الافتراضية من قبل الخادم يمكن للمهاجمين الحصول على بصمة إصدار الخادم عبد وإطلاق الهجمات المستهدفة.

OWASP - تكوين أخطاء أمان 2

مضاد

  • قم بإجراء عملية تصلب لكل من الأجهزة والتطبيقات. تأكد من تغيير الإعدادات الافتراضية.
  • قم بتثبيت الميزات المطلوبة فقط من إطار العمل.
  • راجع أمان التهيئات على فترات زمنية محددة.

7. عبر برمجة الموقع (XSS)

المقدمة

يحدث البرمجة النصية عبر المواقع عندما يتمكن أحد المهاجمين من إدراج بيانات / برامج نصية غير موثوق بها في صفحة ويب. يمكن للبيانات / البرامج النصية التي تم إدخالها من قبل المهاجمين تنفيذها في المتصفح سرقة بيانات المستخدمين ، وتشويه المواقع الإلكترونية وما إلى ذلك.

XSS من 3 أنواع:

  • انعكست
  • مخزن
  • استنادا DOM-     

مثال

  • صفحة تحتوي على حقل بحث: يقوم المستخدم بإدخال جافا سكريبت على النحو التالي ، وبمجرد أن يتم الضغط على البحث ، تتم معالجة نص المدخلات ويتم عرض المنبثقة على الشاشة. يمكن الآن تغيير البرنامج النصي حسب الحاجة لسرقة البيانات وتدمير المواقع. هذا هو مثال XSS المنعكس.

OWASP - البرمجة عبر الموقع (XSS)OWASP - البرمجة عبر الموقع (XSS)

  • يوجد أدناه مثال XSS مخزن – تحتوي صفحة الويب على حقل تعليق ويتم تخزين تعليقات المستخدم وعرضها. يمكن للمستخدم إدخال البرامج النصية الضارة في حقل التعليقات وفي كل مرة يتم تحميل الصفحة ، سيتم تنفيذ النص البرمجي.

OWASP - البرمجة عبر الموقع (XSS) 2

مضاد

  • تشفير الإخراج وهروب الأحرف غير موثوق بها.
  • تمكين سياسة أمان المحتوى (CSP)

8. عدم التسلسل غير آمن

المقدمة

بعض التطبيقات حفظ البيانات على جانب العميل وقد تكون استخدام التسلسل الكائن. قد تسمح التطبيقات التي تعتمد على العميل للحفاظ على حالة العبث بالبيانات المتسلسلة. هذا إدخال جديد في القائمة وهو يصعب استغلاله. 

مثال

تغيير الكائنات المتسلسلة في ملفات تعريف الارتباط لتصعيد الامتياز.

X: x: {z: z: “NAME”: r: “USER”} – >> Normal cookie 
X: x: {z: z: “NAME”: r: “ADMIN”} – >> ملف تعريف الارتباط المتغير موضوع

مضاد

  • تشفير البيانات المتسلسلة.
  • Deserializers لتشغيل مع امتيازات على الأقل

9. استخدام المكونات ذات الثغرات المعروفة

المقدمة

إذا تم استخدام أي مكونات بها ثغرات معروفة بواسطة التطبيق ، فقد يؤدي ذلك إلى حدوث خروقات أمان أو الاستيلاء على الخادم. يمكن أن تكون المكونات عبارة عن أطر ترميز ومكتبات ووظائف مستضعفة وأطر شبكات وما إلى ذلك.

مثال

  1. استخدام إصدار PHP الضعيف
  2. نسخة قديمة للنواة – لينكس
  3. نوافذ غير متطابقة. 
  4. إصدار jQuery ضعيف

الحصول على نسخة jQuery المستخدمة

OWASP - استخدام مكونات بها ثغرات أمنية معروفة

OWASP - استخدام المكونات ذات الثغرات المعروفة 2

المرجع: https://domstorm.skepticfx.com/modules؟id=529bbe6e125fac0000000003

مضاد

  • عملية الترقيع المتكررة.
  • الاشتراك في المنتديات المختلفة التي تشارك أحدث نقاط الضعف جنبا إلى جنب مع أرقام CVE وتقنيات / إصلاح التخفيف. تحقق مما إذا كانت الثغرة تؤثر على الأجهزة / البرامج في مخزونك وتصحيحها.

10. عدم كفاية التسجيل والرصد

المقدمة

مع كل التدابير المضادة في مكان ما زالت تحدث الهجمات والتي لا يلاحظ إلا بعد وقوع الحادث. إذا لم يتم الكشف عن المهاجمين يمكن أن يكون قد تعرض للخطر النظم طويلة إلى الوراء واكتسبت الثبات. 
لضمان ملاحظة النية الخبيثة للمهاجمين مسبقًا ، من الضروري تسجيل كل النشاط ومراقبته لأي سلوك مشبوه.  

مثال

  1. هناك عدد كبير جدًا من محاولات تسجيل الدخول الفاشلة من مصدر معين.
  2. قد تكون طلبات كثيرة للغاية من مصدر معين بمعدل سريع / بطيء / ثابت للغاية محاولة من DOS. هل تحقق وتتصرف.
  3. حركة غير هامة
  4. المسامير في نمط حركة المرور عندما لا يكون متوقعًا.

OWASP - عدم كفاية التسجيل والرصد

مضاد

  • مراقبة 24×7 من حركة المرور التطبيق والتحليل السجل.
  • إجراءات الأمان والاستجابة الفعالة في مكانها وممارستها. 

استنتاج

تعمل نقاط الضعف العشرة الأولى في نظام OWASP كمعيار وكذلك تساعد الإدارة على تحديد شدة نقاط الضعف بطريقة أكثر دقة. يمكن استخدام هذه جنبا إلى جنب مع عدد قليل من نقاط التفتيش الأخرى لتطوير معيار لاختبار أمن التطبيقات للمنظمة. بعض الشيكات الأخرى يمكن أن تكون:

  • Clickjacking
  • تجاوز سعة المخزن المؤقت
  • واجهة برمجة تطبيقات غير آمنة

في ما يلي مقارنة لأهم 10 نقاط ضعف لعام 2013 مقارنة بعام 2017. تحقق من كل هذه الثغرات لأن بعضها قد يكون قد تم تدوينه في القائمة ولكن لا يزال موجودًا.

مقارنة بين أعلى 10 نقاط ضعف لعام 2013 مقارنة بعام 2017

المرجع: https://www.owasp.org/

الوسوم

اترك تعليقاً

إغلاق
إغلاق

أنت تستخدم إضافة Adblock

برجاء دعمنا عن طريق تعطيل إضافة Adblock