ما هو المقصود اختراق التطبيقات ؟

عباره عن وصول المخترق الى اماكن غير مصرح له الوصول اليها unauthorized areas داخل التطبيق. يبدأ المهاجم في الغالب بإلقاء نظرة على طبقة التطبيق ، بحثًا عن الثغرات المكتوبة داخل التعليمات البرمجية ثم استغلال تلك الثغره.

على الرغم من أن الهجمات تستهدف لغات برمجة معينة أكثر من غيرها ، إلا أن مجموعة كبيرة من التطبيقات التي تمثل لغات مختلفة تتلقى هجمات: .NET و Ruby و Java و Node.js و Python وغيرها الكثير. يتم العثور على الثغرات الأمنية في كل من الاكواد البرمجية المخصصة وأطر العمل والمكتبات مفتوحة المصدر.

انواع  اختراق التطبيقات

1-Privilege Escalation تصعيد الصلاحيات

رفع الصلاحيات من مستخدم عادي الي مسؤول administrator  او root ، للوصول و تنفيذ مهام لا يستطيع المستخدم العادي تنفيذها.

سيناريو1: 

المحلل الأمني( security analyst) يجري تحقيقا جنائيا ثم يجد بيانات اعتماد مخترقه (compromised
account credentials) و باستخدام عارض الأحداث Event Viewer وجد الرسالة التالية  ‘’Special privileges assigned to new login.’ تم تعيين الامتيازات الخاصة لتسجيل الدخول الجديد. هذه الامتيازات لم تكن موجودة لهذا المستخدم من قبل. ما هو نوع الاختراق المحتمل ؟

هجوم Pass-the-Hash (PtH) هو أسلوب يقوم من خلاله المهاجم بالتقاط الهاش كلمة المرور (password hash) ثم تمريرها ببساطة للمصادقة والوصول الجانبي المحتمل إلى الأنظمة الأخرى المتصلة بالشبكة.

سيناريو2: 

تحتاج منظمة إلى تنفيذ ضوابط أكثر صرامة لبيانات اعتماد المسؤول خدمات الحسابات administrator/root credentials and service accounts
ما هو الحل المناسب ؟

الحل:

استخدام نظام  An OpenID Connect authentication system

عملة: من خلال خادم التفويض (Authorization Server) تتم المصادقة و السماح للعملاء بتأكيد هوية المستخدم النهائي.

(OpenID Connect authentication system)

2-Cross-site Scripting  or XSS

  ماهي ثغرات XSS؟

 ثغرات الـ Cross Site Scripting او ما يُختصر بـ XSS هي ثغرات أمنية منتشرة على الصعيد الواسع في برامج الويب. من خلال هذه الثغرات يقوم شخص (المهاجم) بحقن كود برنامج خبيث عادة ما يكون بلغة Javascript و التي يقوم المتصفح بتنفيد اوامر الكود عندما يتم تحميل الصفحة عند الشخص الثاني (الضحية).

سيناريو :

محلل(An analyst) يزور منتدى على الإنترنت بحثًا عن معلومات حول أداة معينه.
يجد المحلل تهديدًا يبدو أنه يحتوي على معلومات ذات صلة.
تقول إحدى المنشورات ما يلي:

هذا احد امثله XSS attack 

3-SQL Injection Attack حقن الكود

حقن SQL او SQL Injection  هو أسلوب إدخال رمز(بواسطه المخترق) من خلال بيانات الدخول لموقع معين  قد يؤدي إلى تدمير قاعدة البيانات الخاصة بذلك الموقع.

يعد حقن SQL أحد أكثر تقنيات اختراق الويب شيوعًا.

سيناريو :حصل اختراق و أثناء الاستجابة للحادث Incident responce ، يلاحظ المحلل الامني السجل التالي على خادم الويب.

ما هو نوع الاختراق المحتمل؟ ……..    من خلال السجل اعلاه نلاحظ استخدام الامر GET للحصول على ملف المنتجات .product_info.php و هذا الملف يعتبر ملف داخلي في قاعده البيانات.

اذن نوع الاختراق هو SQL Injection 

4-Buffer Overflow فيضان الذاكره

يحدث فائض في الذاكره عندما يتم اضافه بيانات أكثر من حجم الذاكرة المخصصة له.

على سبيل المثال، قد يتم تصميم التخزين المؤقت (Buffer) لبيانات اعتماد تسجيل الدخول بحيث يتوقع إدخال اسم مستخدم وكلمة مرور بحجم 8 بايت ، لذلك إذا كان الادخال بمقدار 10 بايت (أي 2 بايت أكثر من المتوقع) ، فقد يكتب البرنامج البيانات الزائدة خارج حدود الذاكره و هنا يحصل (Overflow) او الفيضان.

الحمايه من Buffer Overflow

يمكن للمطورين الحماية منه عبر إجراءات الأمان أثناء كتابة الكود لكن الافضل في الحمايه هو استخدام

EDR (Endpoint Detection and Response).

5-Replay Attack هجوم اعاده التشغيل

هجوم إعادة التشغيل هو فئة من هجمات الشبكة التي يكتشف فيها المهاجم عملية نقل البيانات وقد يتأخر أو يتكرر بشكل احتيالي. يتم تنفيذ تأخير أو تكرار نقل البيانات من قبل المرسل أو الكيان الضار ، الذي يعترض البيانات ويعيد إرسالها.

6-Request Forgeries او SSRF

نفس فصيله XSS وهي اختصار ل SSRF | Server Side Request Forgery

SSRF (تزوير الطلب من جانب الخادم )

هي هجمة تسمح للمهاجم بإرسال طلبات عن طريق الخادم المصاب بهذه الهجمة

بمعنى ترسل وتتصفح كأنك داخل الخادم.

خطورتها تكمن في :

١-  القدره على الوصول الى كل شيء داخلي. مثل الملفات و الخوادم و الخدمات.

٢- استخدام الخادم كوسيط لهجمات ddos و ايضا تصفح مواقع اخرى عن طريق الخادم.

سيناريو لاختراق CSRF:

المحقق الجنائي الرقمي (A forensics investigator)   يفحص عددًا من المدفوعات غير المصرح بها و التي تم الإبلاغ عنها على موقع الشركة. بعض إدخالات السجل log entries غير عادية.
مثلاً :بعض المستخدمين تلقوا بريدًا إلكترونيًا لقائمة بريدية غير مرغوب فيها وقاموا بالنقر فوق رابط لمحاولة إلغاء الاشتراك. أبلغ أحد المستخدمين عن البريد الإلكتروني عبر
كشف فريق التصيد phishing team

البريد الإلكتروني المُعاد توجيهه عن الرابط كالتالي:

CSRF Attack

7-Drive Manipulation التلاعب ببرامج التعريف

8-SSL Striping

فكرة هذا الهجوم ببساطه، يقوم بالتلاعب بشهادات الامان SSL و عمل تخفيض مستوى الامان

downgraded from https to http

9-Race Conditions حالة التسابق