-->
Ralmi2 Ralmi2
loading...
Digital currency exchangers list
آخر الأخبار

آخر الأخبار

آخر الأخبار
جاري التحميل ...

العثور على عيوب في موقع الويب الخاص بك قبل قيام القراصنة بذلك

فبراير 20, 2020
الرئيسية > الأمن الإالكتروني
دليل شامل حول كيفية حماية المواقع الخاصة بك من المتسللين:
لقد قطعت البشرية شوطًا طويلاً منذ أن أصبحت الإنترنت سائدة. ما بدأ كمشروع بحثي نمت ARPANET (شبكة وكالة مشاريع البحوث المتقدمة) بتمويل من DARPA بشكل كبير وأحدثت ثورة في السلوك البشري بمفرده.
عندما ظهرت WWW (الشبكة العالمية) ، كان من المفترض مشاركة المعلومات عبر الإنترنت ، ومن هناك جزء من خلال التطور الطبيعي وجزءًا من خلال ابتكارات القيادة عبر الويب ، تحولت شبكة الإنترنت وشبكة الاتصالات العالمية إلى شريان الحياة في العالم.
من الصعب أن نتخيل الآن كيف كان العالم يعمل قبل وقت الإنترنت. لقد لمست كل جانب من جوانب الحياة البشرية وأصبح الآن حاسمًا للوجود اليومي. لا يمكن أن يوجد عمل اليوم دون وجود على الإنترنت. لم يعد الأمر مجرد وسيلة لتبادل المعلومات ، لكن اقتصاديات العالم تعمل عبر الويب هذه الأيام.
تعتمد المنظمات والحكومات والأفراد على ذلك. لن تحدث حروب جديدة في العالم الحقيقي ولكن ستخوضها في عالم الإنترنت. بشكل أساسي ، يعتبر الأمن السيبراني مهمًا أو أكثر أهمية من الأمن المادي لأي عمل تجاري أو مؤسسة أو حكومة.
حاول الحصول على موقع على الإنترنت دون أي حماية ، وسوف تبدأ على الفور في رؤية بعض الزيارات على موقعك. ليس لأن موقعك هو شيء يبحث عنه الجميع ، لكنه أكثر لأن هناك روبوتات على الإنترنت تبحث باستمرار عن المواقع التي يمكن استغلالها. لفهم كيفية حماية موقعك ، يحتاج المرء إلى فهم كيفية حدوث الهجوم.

كيف ولماذا يحدث الهجوم؟
تحدث الهجمات في الموقع لأسباب عديدة ؛ قد يكون سرقة البيانات الخاصة أو بعض المكاسب المالية أو مجرد سبب ضار خالص لضمان عدم تمكن المستخدمين الحقيقيين من الوصول إلى موقعك.
مهما كان السبب ، فإن أي هجوم على الموقع يمكن أن يكون مؤلمًا ويمكن أن يكون له تأثير كارثي. يحاول المهاجمون بشكل عام استغلال الثغرات الأمنية الموجودة في التطبيقات واستغلالها ؛ مراحل مختلفة من الهجوم يمكن أن يعتقد عموما على النحو التالي.
هجوم الاستطلاع:
أثناء الهجوم الاستطلاعي ، يحاول المهاجمون الحصول على معلومات من موقع ويب ومعرفة أين توجد الثغرات الأمنية ، ويستفسر الدخيل عن عنوان IP الحي في الشبكة ثم عن المنافذ لتحديد نوع وإصدار التطبيق ونظام التشغيل الذي يعمل على الهدف المضيف ثم يحاول معرفة نقاط الضعف الموجودة في التطبيق.
يتم ذلك بشكل عام من خلال برامج الروبوت الآلية ، ويرجع ذلك إلى أنه عندما يتم تشغيل موقع على شبكة الإنترنت فورًا ، يكون هناك زيادة في حركة المرور والروبوتات الموجودة على الإنترنت ، والتي تستمر في البحث عن مواقع للحصول على أي معلومات يمكن للمهاجمين استخدامها. .
استغلال:
بمجرد العثور على ثغرات أمنية في أحد المواقع ، يقوم المهاجمون بعد ذلك بتسلح الطلبات بناءً على الثغرات التي تم العثور عليها وإطلاق الهجمات ، ويتم ذلك لاستغلال الثغرات الأمنية في بعض النوايا الخبيثة.
اعتمادًا على نية المهاجم ، يمكن شن الهجوم على الموقع إما لإسقاط الموقع بالكامل أو التصعيد من هناك.
القيادة والسيطرة:
إذا اختار المهاجم التصعيد ، ثم استخدم الاستغلال ، فقد يحاول التحكم في النظام الداخلي أو التحكم في الامتياز للتسلل إلى البيانات من موقع الويب المستهدف أو التسلل إلى بعض الجرائم المالية.
كيف تحافظ على أمن موقعك؟
"كن ذكيًا وفهم ملف تعريف المخاطر الخاص بك وتأكد من حماية موقعك دائمًا."
تتمثل إحدى الخطوات الأولى لحماية موقعك في وضع موقعك خلف جدار الحماية أو أي نظام لمنع الاختراق ، مما يساعدك على حماية الموقع من هجمات الاستطلاع الأساسية.
ومع ذلك ، فإن هذا لا يكفي لأنه مع تحسن التكنولوجيا ، أصبح المهاجمون أيضًا أكثر تطوراً - حيث يمكنهم اكتشاف نقاط الضعف في مواقع الويب لاستغلالها حتى لو كانت وراء جدار الحماية.
لذلك ، فإن أفضل دفاع هو عدم وجود تطبيق ضعيف على شبكة الإنترنت ، ولكي يتحقق ذلك ، يحتاج المرء إلى تحديد الثغرات الموجودة في التطبيق وإصلاحها.
يمكن العثور على نقاط الضعف من خلال عمليات المسح الآلي. هناك العديد من عمليات المسح التلقائي ، ولكن يجب أن يكون الماسح الضوئي الجيد قادراً على الزحف إلى التطبيق ، ومحاكاة سلوك المستخدم لتحديد مهام سير العمل المختلفة ، وتحديد نقاط الضعف.
ومع ذلك ، فإن الفحص التلقائي وحده لا يكفي لضمان اختبار التطبيق بدقة من منظور الأمان. تتطلب بعض العيوب ، مثل CSRF (تزوير الطلبات عبر المواقع) ونقاط الضعف في منطق الأعمال ، أن يكون الإنسان في الحلقة لاستغلال الثغرة الأمنية والتحقق منها.
يمكن أن يوفر اختبار القلم اليدوي فقط (MPT) التعرف والتحقق اليدوي من هذه الثغرات الأمنية. أي عيب حيث نحتاج إلى دعوة إنسانية حقيقية للحكم هو حيث يضيء اختبار القلم حقًا.
لا يمكن العثور على بعض فئات الثغرات الأمنية ، مثل مشكلات الترخيص وعيوب منطق الأعمال ، من خلال التقييمات التلقائية وستتطلب دائمًا اختبار تغلغل ماهر لتحديدها.
أثناء اختبار PT اليدوي ، يفهم اختبار الاختراق التطبيق من خلال إجراء استعراض شامل للتطبيق من خلال التحدث مع العميل وفهم طبيعة التطبيق ، مما يساعدهم على فهم وتحديد حالات اختبار منطق الأعمال بدقة وفقًا للتطبيق الذي يجب اختباره .
بعد ذلك ، يقومون باختبار التطبيق أثناء وقت التشغيل ومعرفة نقاط الضعف التي يتم دمجها جنبًا إلى جنب مع نتائج المسح الآلي والتي يتم تقديمها في تقارير اختبار شاملة تتضمن دليلًا على المفهوم ولقطات لكل ثغرة أمنية لاكتشاف الثغرات في عملية تدريجية. يقوم الخبراء أساسًا بالتسلل الأخلاقي لتحديد نقاط الضعف قبل قيام المهاجمين بذلك.
فيما يلي بعض الأمثلة على عيوب منطق الأعمال التي تقوم بها فرق اختبار القلم اليدوي في سيناريوهات الاختبار الخاصة بها:
تحميل الملفات الضارة ، حيث سيحاول فريق الاختبار تحميل الملفات غير الداعمة إلى التطبيق ومعرفة ما إذا كانت هذه الملفات يمكن أن تضع أي نوع من التأثير الشديد على الخادم.

التلاعب بالأسعار والتلاعب بالمنتجات في تطبيقات التجارة الإلكترونية حيث سيحاولان تغيير سعر أو كمية المنتجات للتغلب على التحقق من صحة الأعمال من أجل التسعير.
سيقوم اختبار القلم أيضًا بالتحقق من صحة جميع حالات اختبار التفويض التي سيحاولون خلالها تجاوز آلية الترخيص والوصول إلى الصفحات / الملفات / البيانات المصرح بها من مستخدم غير مصادق / مستخدم أقل امتيازًا.
بمجرد العثور على الثغرات الأمنية ، يجب إصلاح ثغرة أمنية للتطبيق قبل تشغيل التطبيق بحيث لا يوجد أي تطبيق ضعيف ويمكن استغلاله بواسطة المهاجمين.
لسوء الحظ ، على الرغم من أن العديد من المؤسسات تبذل قصارى جهدها لضمان عدم تعرض مواقع الويب الخاصة بها وتطبيقات الويب للخطر على الويب ، إلا أن الواقع بدأ يبرز.
هناك دائمًا ضغوط على الشركات للتطور والابتكار باستمرار ، وفي هذا المسعى ، يحتل الأمن مقعدًا خلفيًا. في كثير من الأحيان ، لا تملك المؤسسات الخبرة الأمنية للتأكد من أن مواقعها آمنة ، وبالتالي ينتهي الأمر بهم إلى استخدام الأدوات الخاطئة أو أن التدابير الأمنية التي اتخذوها في معظم الوقت تظل غير كافية.
كيف يمكن لـ AppTrana مساعدتك؟
AppTrana هو الحل الوحيد في الصناعة الذي يوفر حلاً شاملاً لتزويد المؤسسات بالقدرة على تحديد ملف تعريف المخاطر الخاص بتطبيقها وحمايتها على الفور. أفضل جزء هو أنه ليس من المتوقع أن تحصل المؤسسات على أي خبرة أمنية ، AppTrana هو حل أمني مدار بالكامل.
مع AppTrana ، يحصل العملاء على القدرة على فحص تطبيقهم من خلال الماسح الضوئي التلقائي الخاص به لمعرفة نقاط الضعف. بالإضافة إلى ذلك ، يمكن للعملاء أيضًا طلب Premium Scans (عمليات المسح اليدوي لاختبار القلم) حيث يقوم خبراء أمان Indusface بمسح التطبيق من خلال طرق اختراق أخلاقية للعثور على أي ثغرات في منطق العمل في التطبيق ومنح العملاء ملف تعريف مخاطر كامل لتطبيقهم.
أنها لا تتوقف عند هذا الحد. يأتي AppTrana مزودًا بجدار حماية لتطبيق ويب يحمل في ثناياه عوامل حيث يمكن حماية الثغرات الموجودة على الفور.
تتم كتابة القواعد في بوابة AppTrana من قبل خبراء الأمن في Indusface. ليست هناك حاجة للعملاء لديهم أي خبرة. يحتوي AppTrana على 3 مجموعات من القواعد:
Advance - والتي تم ضبطها بشكل دقيق مع FPs ، ويمكن وضعها في وضع الكتلة على الفور.

بريميوم - الذي يتم مراقبته وضبطه للحصول على أحرف التطبيق

مخصص - والتي يمكن للعملاء طلبها بناءً على احتياجات التطبيق المحددة.
يوفر AppTrana نظرة شاملة على الثغرات الموجودة في التطبيق ، وتشير حالة الحماية إلى أنها محمية في طبقة WAF أم لا. بناءً على هذه ، يمكن للعملاء ضمان أن تكون تطبيقات الويب الخاصة بهم ومواقع الويب آمنة دائمًا ، ولا توجد أصول معرضة للخطر ، والتي يمكن للمهاجمين استغلالها.

 

شاهد أيضاً

التعليقات



إذا أعجبك محتوى مدونتنا نتمنى البقاء على تواصل دائم ، فقط قم بإدخال بريدك الإلكتروني للإشتراك في بريد المدونة السريع ليصلك جديد المدونة أولاً بأول ، كما يمكنك إرسال رساله بالضغط على الزر المجاور ...

إتصل بنا

اشترك معنا فى يوتيوب

مدونة مكتبة الكتب التعليمية

جميع الحقوق محفوظة

Ralmi2

2016