في هذه المقالة ، الأولى من الثلاثة ، سنلقي نظرة على تهديدات أمان الويب ونتحدث أيضًا عن كيفية تعامل أدوات الأمان من جانب العميل مع فئة الهجمات السيبرانية التي غالبًا ما يتم تجاهلها ، ومن الأمثلة على ذلك مايكارت . ويصف تقنيات الدفاع عن تهديدات أمن الويب التقليدية التي تستند إلى معايير العميل مثل سياسة أمان المحتوى وتكامل الموارد الفرعية. يتم النظر إلى هذه الأساليب المتطورة في سياق منصة أمنية تمثيلية من جانب العميل.
المقدمة
ربما يكون حجر الزاوية للأمن السيبراني كتخصص مهني هو سيولة مستمرة. أي بمجرد ظهور الهجمات السيبرانية التي تؤثر على سرية بعض موارد الإنترنت أو تكاملها أو إمكانية الوصول إليها ، يتم تطوير الحلول المناسبة للقضاء عليها. بمجرد دمج هذه الحلول في البنية التحتية للمورد المعرض للخطر ، تظهر هجمات إلكترونية جديدة ، ويتم اختراع حلول جديدة وإغلاق الدورة.
في بعض الحالات ، تحتوي الحلول السيبرانية الدفاعية على آليات تتوقع أشكالًا جديدة من الهجمات الخبيثة - وفي الحالات التي ينجح فيها ذلك ، يمكن تجنب المخاطر الأمنية في العديد من السيناريوهات. على سبيل المثال ، تم إنشاء المصادقة ذات العاملين كمقياس ضد تخمين كلمة المرور ، وهي الآن مكون أمان مهم في تطوير بروتوكولات جديدة للاتصال بين أجهزة إنترنت الأشياء .
لا يوجد مكان واضح في عملية التهديدات الناشئة والتغلب عليها أكثر من مجال أمن الويب ، والذي يسمى أيضًا أمان تطبيقات الويب. نظرًا لأن الأصول القيّمة غالبًا ما تتم معالجتها وإدارتها من خلال واجهات الويب ، تستمر قيمة عمليات استغلال الويب في النمو. ومن نتائج هذا النمو أنه على الرغم من التقنيات العديدة لحماية موارد الويب ، فإن الفجوة بين عدد الهجمات ومستوى الحماية في ازدياد.
الفرضية الرئيسية لإنشاء هذه السلسلة الفنية من المقالات هي وجود فجوة في مجال أمن الويب ، والتي تظهر بسبب حقيقة أن معظم التطبيقات تعمل في المتصفحات الحديثة. لقد أدرك مجتمع أمان الويب منذ فترة طويلة الحاجة إلى نشر العناصر الوظيفية للحماية من نقاط الضعف من جانب الخادم التي توزع المحتوى الثابت والثابت على العملاء. ومع ذلك ، يتم إيلاء القليل من الاهتمام للأمان من جانب العميل ، والذي لا يقل جاذبية للمهاجمين ، ولكن يتم تجاهله إلى حد كبير من قبل البنية التحتية الأمنية الحديثة.
في هذه السلسلة المكونة من ثلاثة أجزاء ، نريد سد هذه الفجوة. في الجزء الأول ، سنتحدث عن أكثر الهجمات الإلكترونية شيوعًا على مواقع الويب. في الجزء الثاني ، سنلقي نظرة على حلول أمان الويب التي يتم نشرها في أغلب الأحيان في الإنتاج اليوم. وفي الجزء 3 ، سنستكشف كيف يمكن للحل الأمني التمثيلي من جانب العميل أن يساعد في العثور على نقاط الضعف في بنيتك الأساسية التي يمكن للمهاجمين استغلالها.
هجمات الموقع الشائعة
في منتصف التسعينات من القرن الماضي ، جنبًا إلى جنب مع أفكار Tim Berners-Lee من مستوى بروتوكولات نقل النص التشعبي ولغات الترميز إلى بروتوكول الإنترنت (IP) ، كانت هناك أيضًا وسائل لمهاجمة البنية التحتية والأنظمة والتطبيقات التي تشكل ما يسمى الويب أو الشبكة. ثم ولد مثل هذا النظام مثل أمن الويب ، والذي يمكن تعريفه على أنه مجموعة من التدابير الوقائية اللازمة لإدارة المخاطر في مجال أمن الحوسبة الشبكية.
كما قد تتوقع ، فقد تطور تصنيف مشكلات أمان الويب بسرعة في اتجاهات مختلفة ، ولكن في المراحل المبكرة كان التركيز على منع هجمات رفض الخدمة ، وحماية البنية التحتية للاستضافة ، وضمان التدفق الحر لمحتوى الشبكة للمستخدمين. كان هذا التركيز على إمكانية الوصول مدفوعًا بحقيقة أنه إذا كان موقع الويب معطلاً أو لا يعمل كما هو متوقع ، فلن تتمكن المعاملات الإلكترونية من المضي قدمًا بأمان ، مع عائدات واضحة.
بالإضافة إلى المشاكل على مستوى البنية التحتية ، تم وضع الاعتبار في أن المشاكل على مستوى التطبيق يمكن أن يكون لها أيضًا عواقب وخيمة ، خاصة للعملاء الذين يزورون موقعًا على الويب. هكذا ولدت ما يسمى بالتهديد في مجال أمن الشبكات ، والذي تطور من قضية صغيرة إلى مهمة أمنية كبيرة. حتى اليوم ، من السهل العثور على تطبيق ويب ضعيف.
في السنوات القليلة الماضية ، ظهرت مجموعة قياسية من استراتيجيات الهجوم التي من الصعب للغاية قمعها. يرجع استمرار هذه المشاكل إلى تعقيد تطوير العديد من تطبيقات الويب ، فضلاً عن عدم الخبرة النسبية والجهل النسبي للعديد من مسؤولي الشبكة. أدناه نلخص أربع استراتيجيات تؤدي إلى نقاط ضعف في البنية التحتية للتجارة الإلكترونية وتشكل تحديات للعديد من الشركات وفرقها الأمنية.
البرمجة النصية عبر المواقع (XSS)
هجوم طبقة التطبيق الأكثر شيوعًا هو البرمجة النصية عبر المواقع ، أو ببساطة XSS . في جوهره ، يحمل الهجوم عبر المواقع طريقة مثل الحقن - هذا عندما يجد المهاجم طريقة لتضمين نص برمجي تابع لجهة خارجية في الموقع وجعله يعمل. الهدف النهائي هو أن يرسل تطبيق الويب المستهدف رمز المهاجم إلى متصفح المستخدم دون علم الأخير. يعمل هجوم XSS بشكل أفضل عندما يقبل موقع ويب ويعالج ويستهلك المدخلات دون الكثير من التحقق.
الهدف النهائي هو إدخال الشفرة في متصفح شخص ما. يتوقع المستخدم المخترق أن تكون جميع البرامج النصية القادمة آمنة حيث أن جميع المحتوى الديناميكي يأتي من موقع الويب الذي يزوره ويُفترض أنه موثوق به. سيقوم متصفح المستخدم بتنفيذ هذا الرمز ، غالبًا في جافا سكريبت ، وبالتالي الكشف عن المعلومات السرية للمهاجم مثل الرموز المميزة للجلسة أو ملفات تعريف الارتباط. يمكن لرمز XSS أيضًا إعادة توجيه المستخدم إلى موقع مصاب.
الشكل 1. تخطيطي لهجوم XSS
المنظمات مثل مشروع أمان تطبيق ويب المفتوح ( OWASP) تقدم حماية مختلفة ضد هجمات XSS. تتضمن توصياتهم ، التي لا يزال الممارسون يتجاهلونها ، كتابة تعليمات برمجية ذات معنى وإجراءات إدارة موارد الويب التي تعمل على تحسين معالجة البيانات الواردة من المستخدمين. يقترح معظمها التحقق من صحة المدخلات من جانب الخادم ، وهو إجراء أمني مرحب به ويجب أن يكون موجودًا في أي نظام بيئي للشبكة.
المحتوى وحقن الإعلان
في الآونة الأخيرة ، أصبحت الهجمات المتعلقة بحقن المحتوى والإعلان ، والمعروفة باسم الإعلانات الخبيثة ، شائعة بشكل متزايد . ومع ذلك ، لا ينبغي أن يأتي هذا الاتجاه كمفاجأة نظرًا لظهور نظام الإعلان البيئي عبر الإنترنت باعتباره القوة الدافعة وراء أعمال اليوم. تشير بعض التقديرات إلى أن الإعلان عبر الإنترنت يصل حاليًا إلى 100 مليار دولار. ويدرك المتسللون والمجرمون هذا الاتجاه ويستفيدون من نقاط الضعف المتاحة.
مبدأ تشغيل الإعلاناتعلى غرار XSS: يجد المهاجمون طريقة لإدخال شفرتهم إلى مواقع الويب من خلال شبكات الإعلانات الشرعية. والهدف مشابه أيضًا لـ XSS ، حيث إنه إعادة توجيه الزائرين من موقع إلى موقع مستهدف آخر باستخدام شفرة ضارة في قلب أي هجوم ، مثل ، على سبيل المثال ، سرقة بيانات الاعتماد.
بعض الناس يتحدثون عن عملية الحقن كتنزيل بالسيارة . يشير هذا المصطلح إلى مستخدم يشاهد الإعلانات في متصفح به ثغرة أمنية (وهو للأسف سيناريو شائع جدًا). عندما يتفاعل المستخدم مع أحد الإعلانات ، تحدث إعادة توجيه ، مما يؤدي إلى وصول البرامج الضارة إلى زائر موقع غير مرغوب فيه.
الشكل 2. تحميل محرك عن طريق Malvertising
الحل التقليدي لهذه المشكلة هو استخدام عنصر تحكم مثل جدار حماية تطبيق ويب (WAF). سيتم تكوين WAF لاستخدام التوقيع أو التحليل السلوكي لوقف تنفيذ التعليمات البرمجية الضارة من مصادر غير موثوق بها. كما هو الحال مع XSS ، تُستخدم هذه الحماية من جانب الخادم بشكل شائع في النظم البيئية للإعلان كعنصر تحكم أساسي. ينطبق النهج الموصوف على الإعلانات الخبيثة ، ولكنه لن يعمل ضد جميع أشكال الهجمات.
ماجيكارت
نشأت مجموعة القراصنة Magecart منذ عدة سنوات ، بعد أن بدأت في ترويع مواقع الويب بهجوم مثل تخطي البطاقة. عادة ما تظهر مجموعات القراصنة وتختفي بسرعة ، ولكن Magecart جعلت مواقع الويب وتطبيقات الويب الخاصة بالشركات في حالة عصبية لفترة طويلة. تأثر عدد كبير من المنظمات بالقرصنة ، ولم تكن الحلول الأمنية واضحة لمعظم الضحايا.
هاجم رجل في الوسطمن Magicart بسيطة بما يكفي: أولاً ، تتم إضافة الرمز الضار إلى رمز JavaScript الذي يتم إرساله من الخادم إلى العميل. بعد ذلك ، يتتبع الرمز الضار ويجمع البيانات الحساسة ، مثل معلومات بطاقة الائتمان من المستخدمين الذين يزورون الموقع من خلال متصفحهم. يتم إرسال البيانات إلى موقع ضار وتحميلها بشكل غير قانوني. كل شيء بسيط للغاية.
الشكل 3. بطاقات القشط من Magicart
ومع ذلك ، فإن المشكلة الرئيسية هي أن الأمان التقليدي من جانب الخادم لا يراعي هجوم الرجل في المتصفح ( MITB ) كما يحدث على جانب العميل. على سبيل المثال ، جدران حماية تطبيق الويب ( WAF) لا ترى إجراءات JavaScript وليس لديك مسح ضوئي للمكتبة من أجل إدخال التعليمات البرمجية. عندما يأتي هجوم من مواقع طرف ثالث ، تكون النتيجة متتالية ، ويحدث ما يسمى بدعم الخنازير .
تعلم المزيد عن الدورة.