ثغرة الـ Cross Site Scripting التي يطلق عليها Xss وطريقة عملها بتفصيل
في مقال اليوم في دورة الحماية تحت عنوان "خفايا وأسرار الهاكرز" سيكون موضوع اليوم عن كل مايخص مواقع الويب والإختراقات التي يقومن بها الهاكرز Hacker بما في ذلك سنتطرق الى نصائح أمنية security لأصحاب المواقع.
الدرس الثاني: شرح أهم وأشهر أنواع الثغرات التي يستغلها الهاكرز Hacker
* الهاكرز ومواقع الويب
هذا الموضوع قد يكون متشعب جدا, ويصعب فعلا تغطيته في هذا المقال او حتى اكثر من مقالة لان هناك العديد من الحالات والاساليب التي يمكن نصنفها تحت مسمى إختراق المواقع, فمن الممكن مناقشة هذا الموضوع من جهة مطوري الموقع ,او من جهة اصحاب وملاك المواقع , ونظرا لأهمية الناحيتين, فسأناقش الموضوع من هذين الجانبين بشكل مختصر وغير مخل بإذن الله,
* أصحاب المواقع والإختراق
انت تمتلك موقعا, اذا بياناتك متاحة لملايين البشر, يفصلها عنهم فقط زوج من البيانات وهم (اسم المستخدم,,,,وكلمة المرور) ,والحصول على زوج البيانات هذا هو مهمة ذالك الهاكر ,وأحيانا يكون غير مضطر لمعرفة هذه البيانات, ببساطة يمكن للهاكر Hacker استغلال أحد ثغرات نظام التشغيل في السيرفر الشركة المستضيفة لموقعك, او أستغلال ثغرة من ثغرات التطبيقات التي تقوم بتركيبها في موقعك مثلا المنتديات او المجلات الالكترونية او اي تطبيق اي سكريبت تقوم بتركيبه.
معرفة هذه الثغرات ليس بأمر الصعب , يكفي ان يقوم أحد الهاكرز Hacker بإشتراك بالرسائل الأخبارية التي تأتي من شركة VB المنتجه لبرنامج المنتديات الشهير و التي تبلغ عن اي ثغرة تكتشف في نظام ليذهب ذلك Hacker الهاكر مسرعا يبحث عن المنتدى لم يقم بالترقية بعد ويستغل تلك الثغرة فيه.
* نصائح أمنية لأصحاب المواقع
-تأكد من شركة الإستضافة hosting التي تتعامل معها من إصدارة نظام التشغيل ولوحات التحكم لديهم وقم بالبحث عن هذه الإصدارات وتأكد ما إذا كانت تحتوي على ثغرات خطيرة او لا.
-استخدم في موقعك فقط الربمجيات التي تحتاج اليها فكرة الموقع فقط, اذا كانت لست بحاجة ماسة الى سجل زوار, فلا تضعه ,اذا لم تكن بحاجة لمحرك بحث داخلي ,فلا تضعه.
-ركب دائما أحدث السخ من البرمجيات التي تستخدمها في الموقع, سواء المنتديات او المجلات الالكترونية.
-لا تبالغ في تركيب الإضافات الغير أساسية على التطبيقات, كما هذه الاضافات تعرف بسم بالهاكات ايضا حيث تساهم كثيرا في فتح ثغرات في موقعك, وذالك لانها صممت وبرمجت من قبل هواة ولم تبرمج من قبل الشركة المنتجه لنفس البرنامج, على سبيل مثلا الهاكات المستخدمة في برامج المنتديات هي في غالب سبب إختراق معظم المنتديات, والعجيب أننا نرى اصحاب المنتديات يتفاخرون بعدد الهاكات التي يستخدمونها والتي هي في الحقيقة ابواب خلفية مفتوحة الاختراق مواقعهم.
-احرص دائما على تتبع اخبار البرمجيات التي تستخدمها في موقعك وتأكد من انك تقوم بالترقية في حالة وجود ثغرة خطيرة وليس فقط في حالة وجود ميزة جديدة في برنامج, كثرة الترقيات المبالغ فيها قد تسبب لك المشاكل ايضا.
-لاتثق في احد, لاتعطي بيانات موقعك لاي جهة رسمية مهما كان شكلها ,قد تحتاج التركيب برنامج او تصليح مشكلة موقعك, تأكد من انك تتعامل مع مواقع وجهات على درجة عالية من الموثوقية وليس مع بعض الهواة في المنتديات.
-راقب سجلات الدخول Logs في موقعك متى ما أحسست ان هناك امر مريب يجري, فسجلات الدخول كنز من المعلومات يجدر بك استغلاله لأغراض الامنية او إحصائية.
-حدد صلاحيات المشاركات في موقعك, اذا كنت تمتلك متدى فلا تسمح للأعضاء بإضافة وسوم Html او جافا سكريبت, احدهم قد يسرق ملفات الكوكيز الخاصة بك بهذه الطريقة.....
اذ لم تكن قادرا على تولي تنفيذ هذه النصائح المنية بنفسك, فيمكنك استئجار جهة خارجية موثوق بها لتقوم بذلك بدل عنك, أحد أفضل المواقع العربية في هذا المجال هو "موقع الحلول الأمنية" والمخصص بتقديم الخدمات الامنية لأصحاب المواقع.
* الهاكرز يامطوري تطبيقات الويب
# هل سمعت عن XSS ؟
# هل تعرف ماهي حقن لغة الإستعلام SQL Injection ؟
# هل قرأت عن إقتحام الجلسات Session Hijacking ؟
# حسنا, هل قرأتـــــ عن الـ CRLF Injection ؟
# ماذا عن الـ Directory Travesal ؟
# وماذا عن التلاعب بالمتغيرات Parameters Manipulation ؟
حسنا ... هذه الاسئلة ستعطي إنطباع عن ان الموضوع متشعب جدا, لم أذكر هنا الى أهم وأشهر أنواع المشاكل والثغرات التي يستغلها الهاكرز لتدمير التطبيقات التي تبرمجها, و اذا كنت لم تسمع بواحد او اكثر من هذه المصطلحات, فأنت في خطر !
بما ان هذا الجزء من مقالة يهم مطوري المواقع اكثر من غيرهم , فلن اسهب كثيراا بشرح هذه المصطلحات وطريقة عملها, أتواقع انك كامطوري قادر على البحث بنفسك عن تفاصيل هذه المصطلحات ومعرفة ماهو المعني البرمجي لها باضبط, عموما سأذكر رؤوس أقلام عن هذه المصطلحات للمهتمين بتمنية ثقافتهم الأمنية في شتى المجالات.
أهم وأشهر أنواع الثغرات التي يستغلها الهاكرز لتدمير المواقع
*** الـــ Cross Site Scripting ***
يطلق عليها إختصار Xss وليس Css تميزا لها عن صفحات الانماط المتعددة Cascading Style Sheet
بإختصار هي نوع من هجمات التخريبية على تطبيقك يحدث عندما يتمكن أحدهم من إدخال بيانات مختلطة مع بعض الأوامر في نماذج الصفحات موقعك ينتج عن ذلك تشويه شكل صفحة موقعك او إظهار رسائل خطاء متكررة عند زيارة الصفحة التي تم تخريبها, او سرقة بعض البيانات الحساسة من زوار او صاحب الموقع نفسه..
تنتج هذه المشكلة نتيجة عدم فحصك لمدخلات الزوار في نماذج وسماحك لهم بإدخال وسوم Html او Java Script في نماذج الموقع مما يجعلهم قادرين على تلويث صفحات موقعك بشفرات ليست جزء من شفرة تطبيقك الذي كتبته ,, بحيث يمكن Hacker للهاكر ايضا العبث في المتغيرات التي يمررها تطبيقك عن طريق عناوين URL وإضافة أجزاء اليها تجعله قادر على السيطرة جزئيا او كليا على تطبيقك , او اقل تشويه شكل التطيق, لعلك تتذكر الثغرة التي كان مصاب بها نظام بريد الــ Hotmail قبل 12 سنة تقريبا, والتي كانت تسمح للهاكر Hacker بقرائة صندوق البريد الوارد للضحية, تلك الثغرة كانت تحت الــ XSS
الى هنا يتنهي مقالة اليوم في الدرس الثاني من دورة خفايا وأسرار الهاكرز واكتفينا فقط في شرح ثغرة واحدة XSS لمعرفة خطورتها لدى الهاكرز و المواقع الويب. حيث في مقالة القديم سوف نقوم بسرد الثغرات الاخرى بإذن الله مهم الواجب معرفتها, في مقالة القادمة في الدرس الثالث.
اتمنى ان اكون وفقت في شرحي لا تبخل علينا بمشاركة موضوع مع اصدقائك و نرجو منك الاشتراك عبر بريد الالكتروني و الإلتحاق بصفحتنا على الفيسبوك كي تتواصل باخرى الحصريات و وكالعادة فى انتظار تعليقاتكم واستفسارتكم حول هذا الموضوع.