recent
أخبار ساخنة

الثغرات الأمنية التي تصيب تطبيقات الويب وانواعها

الثغرات الأمنية Security Bug

الثغرات الأمنية Security bug

الثغره gap (ثغرة أمنية) هي كلمة تُطلق على نقاط الضعف التي تمكن المتسللين من الدخول إلى نظام التشغيل (الهجمات) والتحكم بنظام التشغيل.

الثغرات الأمنية (بالإنجليزية: Security Bug) هو مصطلح يطلق على مناطق ضعيفة في أنظمة تشغيل الكمبيوتر،. هذه المناطق الضعيفة يمكن الهجمات عبرها إلى داخل نظام التشغيل، ومن ثم أنه يتم التعديل فيه لتدميره نهائيا مثلا، أو للتجسس على المعلومات الخاصة لصاحب الحاسب الالي المخترق وتجاوز أمن المستخدم، أو ما يعرف بجهاز الضحية.

تظهر الثغرات الأمنية في جميع البرمجيات أيضا بسبب قلة الأمان وليس فقط في نظام التشغيل وهي بسبب أخطاء البرمجية. أثناء تطويرها ارتكبها المطورين وهي تشكل خطرا أمنياً بسبب عدم اكتشافها احيانا لإصدار حل وترقيع لها مثل ثغرات. اليوم الصفر (بالإنجليزية: Zero-day) التي دائماً ما يستعين بها القراصنة في جرائمهم الإلكترونية.

فيقوم المتسلل بإستغلال الثغرات الأمنية أما بالتعديل على البيانات او التخريب او التنصت على مالك النظام او الجهاز المستهدف. (الضحية) أو نستطيع أن نقول عنها (الثغرات الأمنية) خطأ برمجي يقوم ذوي الخبره بإستغلاله و يسمح لهم بتنفيذ اوامرهم للتحكم بالجهاز و العثور على الملفات.

و لا تكمن الثغرات الأمنية في اجهزة الحاسوب فقط قد تكون في موقع او هاتف ....الخ كل يوم تظهر أنواع جديدة منها..

 

ما هي أسباب الثغرات الأمنية؟

السبب يعود إلى المطور أو المبرمج بسبب اخطاء برمجية تٌشكل خطراً. كبير إذا لم يتم اكتشافها و اصلاحها او ما يقال عنها "ترقيع الثغرة الأمنية".

هناك مواقع تقوم بنشر الثغرات الأمنية مثل ثغرات 0day التي يستعملها. القراصنة لإنجاز بعض مهامهم, و حالياً يوجد الكثير من المواقع تهتم في الثغرات الأمنية و إستغلالها مثل موقع exploit-db.

 

كيف تتم الحماية من الثغرات الأمنية vulnerabilities protected؟

بعض البرامج يٌكتشف بها بعض الثغرات الأمنية ويمكن لمستغل الثغره ان يخترق اي جهاز مثبت هذا البرنامج. في حال اكتشاف ثغرة أمنية تقوم الشركه بترقيع الثغره. الأمنية وتقوم بعمل تحديث للبرنامج.

هنا يستحسن او يكون إلزامي تحديث برامجك و انظمتك إلى آخر اصدار متوفر بشكل مستمر لتجنب استغلال الثغرات الأمنية به.

إذا كان لديك موقع الكتروني ولا تريد لأحد التخريب او العبث به....الخ, يمكنك استخدام احدى برامج او ادوات فحص المواقع.

سوف يقوم بكشف الثغرات الأمنية و انواع الثغراات و تقوم انت او المبرمج بترقيعها وتتم حل المشكله.

 

أنواع الثغرات الأمنية التي تُصيب الأنظمة و البرمجيات

توجد العديد من أنواع types الثغرات الأمنية التي تصيب البرمجيات و المواقع و الأنظمة و الهواتف سنذكر اهمها وأنواعها وهي:

  1. sql injection.
  2. XSS (Cross Site Scripting).
  3. LFI.
  4. bypass.
  5. File upload.
  6. Remote File Inclusion.
  7. Out-of-band SQL.
  8. Reflected XSS.

وهذه اشهر ثمان ثغرات أمنية تصيب المواقع.


أنواع الثغرات الأمنية التي تصيب الأنظمة

  • JASBUG التي اصابت اجهزة windows.
  • BlueKeep windows.
  • GHOST Linux.

 

الثغرات التي تصيب الهواتف الذكية

  • Bluefrag android.
  • Stagefright android.
  • CVE-2019-8566 IOS.

 

ثغرة Remote File Inclusion

ثغره Remote File Inclusion من اخطر الثغرات الأمنية المتنشرة وخاصة فى الاصدار الرابع. من php وخطورتها فى أنها تسمح بإستدعاء ملفات من خارج الموقع وتشغيلها على انها من ملفاته.

توجد هذه الثغرة بكثرة فى المواقع الخاصة بتدوينات المحتوى مثل Wordpress وجوملا وكما قولت انها تمكنه من رفع ملف على السيرفر (الخوادم) وهذا هو رفع الشل.

 

ثغرة SQL injections

هي من بين أكثر الثغرات تواجدا على مواقع الويب وهي ايضا ببساطة هجوم يتم فيه حقن كود يسمي  SQL بتطبيق الويب "المتصفح".

حتى يتم استخراج بعض البيانات من قاعدة االبيانات التي يعتمد عليها الموقع وهذا بسبب ان الثغرة تعتمد على خطأ وهوعدم معاينة. ما يتم إدخاله قبل ان يتم ارساله الي قاعدة البيانات كما يمكن تجاوز نافذة authentication ايضا باستعمال هذه الثغرة.

ويوجد انواع عديدة من ثغره SQL حتى انها حوالى سيع انواع.

 

ثغرة XSS (Cross Site Scripting)

ثغرات الـ Cross Site Scripting او ما يُختصر بـ XSS هي ثغرات أمنية منتشرة  في برامج الويب  وهي من أخطر الثغرات من بين أنواع مختلفة منها.

من خلال هذه الثغرات يقوم المهاجمين بحقن كود برنامج خبيث عادة ما يكون بلغة JavaScript التي يقوم المتصفح بتنفيد اوامر. الكود عندما يتم تحميل الصفحة عند الشخص الثاني (الضحية).

تم حقن الكود من قبل الشخص المهاجم بطرق عدة منها: وهم الضحية للظغط على رابط (XSS منعكس)، او انتظار الضحية ليتصفح صفحة في الموقع. الذي يحتوي على ثغرة من هذا النوع (XSS مخزن).

 

أداوت فحص المواقع من الثغرات

  • أداة nikto.
  • أداة owasp-zap.
  • أداة nmap.
  • أداة sqlmap.
  • أداة Vega.


تحميل كتاب الثغرات الأمنية

لتحميل كتاب يشرح لكم الثغرات بشكل اوسع يجب عليكم الضغط على زر "تحميل الآن".

google-playkhamsatmostaqltradent