شرح أهم وأشهر أنواع الثغرات التي يستغلها الهاكرز لتدمير المواقع وكيف حماية منها
في مقال اليوم في دورة الحماية تحت عنوان "خفايا وأسرار الهاكرز" سيكون موضوع اليوم عن شرح أهم وأشهر أنواع الثغرات التي يستغلها الهاكرز Hacker بحيث نمكل الدرس السابق.
درس الثالث: شرح ثغرة Session Hijacking وطريقة عملها وحماية منها
***ثغرة الـــ Session Hijacking إقتحام الجلسات***
اقتحام الجلسات هي عملية السيطرة على جلسة المستخدم Session الذي يقوم بإستخدم النظام , عملية إقتحام الجلسه تلزم ان يقوم الهاكرHacker بإلتقاط رقم الجلسة Session ID , او توليد إجباري لها Brute Force او إعادة توليد للرقم Revers Engineering, قد يبدو المفهوم صعب لذا سأسترسل بشرحه أكثر.
من المعروف ان هناك نوعين من الجلسات ,الجلسات الدائمة Persistent وهي التي يتم من احلها تعريف ملفات الإرتباط اي الكوكيز وحفظها في جهاز المستخدم لكي يتعرف عليه النظام عند عودته في اي وقت مرة أخرى.
النوع التاني هي الجلسات الغير الدائمة non-Persistent وهي التي تنتهي بمجرد إغلاق المستخدم للمتصفح, في كلا النوعين يتم تعريف رقم جلسة Session ID للمستخدم, رقم الجلسه هذا يستخدم لمعرفة متغيرات المستخدم الذي يرسلها او يستقبلها خلال جلسته على نظام , هذا الرقم ينشئ عادة بشكل إفتراضي من لغة البرمجة التي تستخدمها من خلال رقم أي بي IP المستخدم وقت الجلسه يدمج معها بعض المتغيرات الاخرى.
بعض المبرمجين يكتفي بتوليد هذا الرقم بشكل إفتراضي دون ان يسعى لتشفيره او إضافة المزيد من العوامل عليه لجعل عملية التوليد الاجبارية او إعادة التوليد له تكون صعبة, وهنا تكمن المشكلة حيث يقوم الهاكر Hacker بمحاولة توليد رقم الجلسة بمعرفة بعض المعطيات اللحظية و يرسلها عن الطريق HTTP Request الى نظام الذي يقراء رقم الجلسه ويقارنه برقم الجلسه الموجود لديه في ذاكرة , فإذا تطابق, فهذا يعني من وجهة نظر النظام ان الهاكر Hacker هو المستخدم الحقيقي.
ويمنحه بذلك حق الوصول لمنطقة المستخدم الخاصة اي حسابه البنكي على سبيل المثال , الجدير بالذكر ان هجمات الــ Xss يمكن ان تستخدم للإستلاء على الجلسات وذلك عن طريق تمرير كود جافا سكريب للنظام يقوم بقراءة رقم الجلسة المستخدم وإرسال هذا الرقم للهاكر...
* نصائح لي اصحاب مواقع لتجنب هذا النوع من المشاكل
- حاول تشفير رقم الجلسة وتعقيدها قدر المستطاع.
- إستخدام الــ SSL لتشفير البيانات الحساسة المرسلة والمستقبلة من و الى نظامك.
- برمجيا قم بإنهاء اي جلسه يمضي عليها وقت كافي تقدر بأن المستخدم خلالها قد انتهى فعلا من عمله خلالها او انه قد ترك شاشة النظام مفتوحة ولم يعد يستخدمها.
- حصن نظامك ضد هجمات الــ XSS.
الى هنا يتنهي مقالة اليوم في الدرس الثالث من دورة خفايا وأسرار الهاكرز واكتفينا فقط في شرح عمل ثغرة Session Hijacking وحماية من هذه الهجمات على المواقع الويب. حيث في مقالة القديم سوف نقوم بسرد الثغرات الاخرى بإذن الله الواجب معرفتها.
اتمنى ان اكون وفقت في شرحي لا تبخل علينا بمشاركة موضوع مع اصدقائك و نرجو منك الاشتراك عبر بريد الالكتروني و الإلتحاق بصفحتنا على الفيسبوك كي تتواصل باخرى الحصريات و وكالعادة فى انتظار تعليقاتكم واستفسارتكم حول هذا الموضوع.