تأمين المواقع | أخطر عشره مهددات لموقعك

م

مانع عثمان حسين

عضو جديد
4 نوفمبر 2011
11
0
0
الهند
مانع عثمان حسين

[FONT=&quot]هذا المقال يساعدك في إستعياب وتحديد أخطر عشره (ثغرات) أو مهددات لموقعك لتحديد ما إذا كان موقعك معرض للهجوم، وجاهزيته لمقابلة كل المخاطر وأخذ الخطوات اللازمه لتقليل هذه التهديدات بقدر الإمكان وإن كان عدمها.[/FONT]​
[FONT=&quot]والمهاجمين (الهاكرز) من المحتمل أن يتخذوا العديد من الخطوات والطرق من خلال موقعك لكي بحدثوا الضرر.[/FONT]​
[FONT=&quot]وكل واحد من هذه التهديدات (الثغرات) يمكن أن تمثل الخطر الأكيد ويجب أن تحوذ على إنتباهك الكلي لا الجزئي. مع الأخذ في الإعتبار بأن عملاءك يقوموا بالتعامل معك وهم أيضا يستخدمون أحدى هذه الطرق وبالتالي يجب عليك تقييم هذه المخاطر ووضعها في الإعتبار بحيث لا تحدث الضرر في عملك أو مشروعك على الإنترنت.

[/FONT]​
[FONT=&quot]وهذه أهم عشره عوامل التي تحدد الخطر الأكيد:

[/FONT]
[FONT=&quot]1. [/FONT][FONT=&quot]([/FONT][FONT=&quot]Injection & injection flaws[/FONT][FONT=&quot]) وهي من أخطر الثغرات التي يمكن أن تحدث وتتمثل في تنفيذ كود تابع لل [/FONT][FONT=&quot]SQL[/FONT][FONT=&quot] أو [/FONT][FONT=&quot]OS[/FONT][FONT=&quot] أو [/FONT][FONT=&quot]LDAP injection[/FONT][FONT=&quot] وتسمى عموماً (بالإس كيو إل إنجكشن)[/FONT][FONT=&quot] وهي عيوب أو ثغرات تسمح للهاكرز بتنفيذ أوامر خطيره جدا أو الوصول لبيانات غير مصرح لهم بها مثلاً يقوموا بعمليات الإضافه والحذف والتعديل في قواعد البيانات وغيرها من الأضرار الخطيره الناجمه عن ذلك.

[/FONT]​
[FONT=&quot]2. [/FONT][FONT=&quot]([/FONT][FONT=&quot]XSS Cross site scripting[/FONT][FONT=&quot]) وهذه الثغره تحدث عندما تؤخذ بيانات غير موثوقه وترسل لقاعدة البيانات عبر المتصفح من غير ضوابط ولا تقييد. ومن خلال هذه الثغره يقوم الهاكرز يتنفيذ ([/FONT][FONT=&quot]Script[/FONT][FONT=&quot]) كود يتبع لهم في متصفحات الضحايا والغريب في الأمر ان هذا ال[/FONT][FONT=&quot](Script)[/FONT][FONT=&quot] يمكن أن ينفذ على أي لغه مثل ال([/FONT][FONT=&quot]PHP, ASP, ASP.NET, VB.NET,…,etc[/FONT][FONT=&quot]) ومن خلال هذه الثغره يقوم الهاكرز بسرقة جلسات العملاء ([/FONT][FONT=&quot]Sessions[/FONT][FONT=&quot]) وسرقة معلومات الدخول (كلمات المرور – أسماء المستخدمين) أو إحداث ضرر ما.

[/FONT]​
[FONT=&quot]3. [/FONT][FONT=&quot]Broken Authentication and Session Management Application Function[/FONT][FONT=&quot] (ثغرة خاصه بالتحقق من توثيقات الدخول والدوال المستخدمه في إدارة والتحكم في الجلسات) وهذه الثغره تحدث عندما تكون الإجراءآت المستخدمه ضعيفه أو غير مستخدمه بالشكل الصحيح ومن خلالها يقوموا بإفتراض هويات المتستخدمين أو سرقة كلمات المرور وغيرها من الأضرار.

[/FONT]​
[FONT=&quot]4. [/FONT][FONT=&quot]تأمين الكينونات ([/FONT][FONT=&quot]Objects[/FONT][FONT=&quot]) الموجوده في الموقع أمر هام جدا وهي أحدى الثغرات ولكن بالضروره تأمين الوصلات أو الملفات المستخدمه في الرفع والتحميل ([/FONT][FONT=&quot]Files Upload & Download[/FONT][FONT=&quot]) وتأمين الوصلات وكذلك الوصلات المخفيه ([/FONT][FONT=&quot]Hidden Links[/FONT][FONT=&quot]) أو مفاتيح قواعد البيانات ([/FONT][FONT=&quot]Database keys[/FONT][FONT=&quot]) وتأمين المسارات ([/FONT][FONT=&quot]Directories[/FONT][FONT=&quot]) وهذه الثغره يستخدمها الهاكرز أيضا للوصول لبيانات غير مصرح لهم بها.

[/FONT]​
[FONT=&quot]5. [/FONT][FONT=&quot]([/FONT][FONT=&quot]Cross-Site Request Forgery[/FONT][FONT=&quot]) ([/FONT][FONT=&quot]CSRF[/FONT][FONT=&quot]) وهي ثغره تسمح للهاكرز بإرسال طلب مزور من خلال برتوكول ال([/FONT][FONT=&quot]HTTP[/FONT][FONT=&quot]) عند دخول تسجيل دخول الضحيه وفتح جلسه مع السيرفر، فيقوم بالإستيلاء على ال[/FONT][FONT=&quot]Cookies[/FONT][FONT=&quot] تبع الصحيه وبالتالي سرقة معلومات تسجيل الدخول.

[/FONT]​
[FONT=&quot]6. [/FONT][FONT=&quot]([/FONT][FONT=&quot]Security Misconfiguration[/FONT][FONT=&quot]) التأمين الجيد يطلب التهيئات الأمنيه المطبقه بالشكل الصحيح مثل ([/FONT][FONT=&quot]frameworks, application server, web server, database server, and platform[/FONT][FONT=&quot]) كل هذه التهيئات يجب أن تكون مطبقه بالشكل الصحيح هذا وبالإضافه للتطبيقات الأمنيه الإفتراضيه، ويمكّن برمجياتك من التحديثات الأمنيه بما فيها الدوال المستخدمه في حماية الصفحات.

[/FONT]​
[FONT=&quot]7. [/FONT][FONT=&quot]([/FONT][FONT=&quot]Cryptographic Storage [/FONT][FONT=&quot]) العديد من المواقع (أو التطبيقات) لايجروا الحمايه الكافيه للبيانات الحساسه مثل بيانات البطاقات الإئتمانيه وأرقام حسابات البنوك، وغيرها من البيانات الحساسه، لايجروا لها الحمايه بتشفير ([/FONT][FONT=&quot]Cryptic[/FONT][FONT=&quot]) أو هاشينج ([/FONT][FONT=&quot]Hashing[/FONT][FONT=&quot]) بالمستوى المطلوب ويستغل الهاكرز هذه الثغره ويقوموا بسرقة هذه البيانات الحساسه وسرقة الهويات أو تزوير البطاقات الإئتمانيه أو جرائم أخرى.

[/FONT]​
[FONT=&quot]8. [/FONT][FONT=&quot]([/FONT][FONT=&quot]Failure to Restrict URL Access[/FONT][FONT=&quot]) وهي الفشل في تقييد الوصول للوصلات ([/FONT][FONT=&quot]URL[/FONT][FONT=&quot]) وكذلك العديد من المواقع تختبر قيد الوصول للوصله قبل تقديم الوصلات المحميه أو الأزرار المحميه، ومع ذلك يجب أن يطبق هذا الإختبار في كل مره تكون فيها الصفحه مفتوحه. وإلا الهاكرز سيكونوا قادرين على كشف هذه الوصلات المحميه أو المخفيه على أي حال.

[/FONT]​
[FONT=&quot]9. [/FONT][FONT=&quot]([/FONT][FONT=&quot]Insufficient Transport Layer Protection[/FONT][FONT=&quot]) عدم كفاية حماية الطبقه الناقله للبيانات وكثيرا ما تفشل في التوثيق أو المصادقه أو التشفير وبالتالي حماية سرية وسلامة سير البيانات داخل الشبكه.

[/FONT]​
[FONT=&quot]10. [/FONT][FONT=&quot]يجب الإنتباه جيداً إلى ([/FONT][FONT=&quot]Redirects and Forwards[/FONT][FONT=&quot]) المستخدمه في توجيه المستخدم عند تسجيل دخوله او حالات أخرى لتقوم بإعادته أو تقديمه إلى صفحات أخرى في الموقع، وبإستخدام بيانات غير موثوقه وبدون رقابه في عملية التوجه يقوم الهاكرز بتوجيه المستخدمين إلى مواقع للتجسس أو يستخدموا عملية ال([/FONT][FONT=&quot]Forward[/FONT][FONT=&quot]) للدخول لمناطق غير مصرح لهم بالتواجد بها.[/FONT]​
 
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.
أعلى أسفل