الرئيسية تكنولوجيا موقع إلكتروني ما هي أخطر أنواع الثغرات في المواقع وكيف يمكن استغلالها

ما هي أخطر أنواع الثغرات في المواقع وكيف يمكن استغلالها

1 إجابات
profile/بشرى-ابوسويلم
بشرى ابوسويلم
بكالوريوس في نظم المعلومات (٢٠١٢-٢٠١٦)
.
١٧ أبريل ٢٠٢١
قبل ٤ سنوات
قد يقوم المهاجم بإدخال استعلامات قاعدة البيانات ورمز JavaScript وأوامر نظام التشغيل وما إلى ذلك. قد تشمل عواقب الدخول إلى هذه الثغرات بنجاح الكشف عن المعلومات مثل كشف بيانات تسجيل الدخول وغيرها من البيانات الحساسة للمهاجم وحتى اختراق النظام المستهدف بالكامل.

 سأعرفك الآن على أخطر الثغرات المحتملة في المواقع اعتمادًا على نوع الثغرة وهدف الهجوم وهي:
 
  • إدخال SQL
الغالبية العظمى من تطبيقات الويب مدعومة بقواعد البيانات، ومعظم أنظمة إدارة قواعد البيانات الشائعة تستخدم SQL (لغة الاستعلام الهيكلية) كلغة الوصول إلى البيانات. لتنفيذ هجوم على قاعدة بيانات SQL، يقوم المتسلل الضار بتضمين عبارة SQL في المعلومات التي يتم إدخالها في نموذج ويب أو حقل تعليق أو سلسلة استعلام أو قناة إدخال أخرى يمكن للمستخدم الوصول إليها.

  • البرمجة النصية عبر المواقع (XSS)
 البرمجة النصية عبر المواقع (XSS)، في جوهرها، ثغرة أمنية لإدخال النص البرمجي. قد يكون أي تطبيق ويب يفشل في التحقق من صحة المدخلات التي يوفرها المستخدم والتي تحتوي على كود JavaScript عرضة للبرمجة النصية عبر المواقع (XSS). لاستغلال ثغرة XSS، يقوم المهاجم بتزويد التطبيق بسلسلة نصية تحتوي على JavaScript ضار، على سبيل المثال عن طريق إدراجه كاسم مستخدم في عنوان URL. 
يمكن أن يكون لهجمات XSS عواقب وخيمة من موقع ضار إلى سرقة ملفات تعريف الارتباط والاستيلاء على بيانات المستخدم. لذا فإن كتابة تعليمات برمجية آمنة هي أفضل دفاع. 

  • ادخال أوامر نظام التشغيل OS 
تحتاج تطبيقات الويب أحيانًا إلى تنفيذ أوامر النظام في نظام التشغيل الأساسي. إذا كان التطبيق به ثغرة أمنية في إدخال الأوامر، فيمكن للمهاجمين توفير أوامر نظام التشغيل الخاصة بهم في مدخلات المستخدم. يمكن أن يكون الإدخال الناجح للأوامر خطيرًا للغاية، حيث يمكن أن يسمح للمهاجم باستخراج معلومات حول نظام التشغيل الأساسي وتكوينه أو حتى التحكم الكامل وتنفيذ أوامر النظام العشوائية.

للوقاية عليك اتباع الممارسات الجيدة وتجنب استدعاء أوامر النظام من تطبيقات الويب بالإضافة إلى التحقق بعناية من مدخلات المستخدم وتقييدها.

  •  إدخال الكود (أو تنفيذ الكود عن بعد)
بالنسبة لأي تطبيق ويب، يتم تنفيذ جزء كبير من كود التطبيق على خادم الويب. إذا كان المهاجم قادرًا على توفير رمز التطبيق والحصول على الخادم لتنفيذه، فإن التطبيق به ثغرة أمنية في إدخال الكود. على سبيل المثال، إذا كان التطبيق مكتوبًا بلغة PHP، فيمكن للمهاجم إدخال كود PHP الذي يتم تنفيذه بعد ذلك بواسطة مترجم PHP على الخادم.

 إذا تمكن المهاجم من تنفيذ التعليمات البرمجية عن بُعد، فيجب اعتبار النظام المستهدف مخترقًا، لذا فهذه ثغرة أمنية خطيرة جدا.