Currently Browsing: الأمن الإلكتروني

الثغرات الأمنية الاكثر شيوعاً في تطبيقات الاجاكس AJAX

إن أكثر الثغرات شيوعاً في تطبيقات الـ AJAX هي بناء واجهات برمجية للتطبيقات (API) غير أمنة، أكبر الأجزاء في تطبيقات الويب كالصفحات البرمجية أياً كان نوعها و إن حوت على الـ JavaScript فإنها تمتلك بحد ذاتها إمكانيات عالية من حيث الصلاحيات و التراخيص إلى حد ما، و مع ذلك يكمن الخطر في استدعاء واجهات التطبيقات البرمجية دون أي مصادقة و نظام أذونات للوصول، و هذا يعني أن الواجهات البرمجية للتطبيقات قد لا تعير اي اهتمام لقيمة الكعكات Cookies التي تدل على العميل و لا حتى إلى معرف الجلسات المخزنة .

الكعكات  Cookie :
هي كتلة من المعطيات التي يخزنها مخدم الويب على نظام الزبون. عندما يعود المستخدم إلى ذات الموقع، يعيد المتصفح إرسال نسخة من الكتلة إلى المخدم، تستخدم الكعكات لتعيين هوية المستخدمين، وللإيعاز إلى المخدم بأن يرسل إصداراً مخصصاً من صفحة الويب المطلوبة، و لتقديم معلومات عن حساب المستخدم، و لأسباب أخرى تتعلق بقوامة و حماية النظام .

لنتخيل معاً تطبيقاً بنكياً يستخدم صفحة برمجية صغيرة لعرض ملخص عن جميع حساباتك البنكية و عملياتك المالية فيها من سحب و إيداع و تحويل، عند الضغط على أشارة ” + ” بجانب كل حساب يتم استدعاء الـJavaScript  التي تطلب من واجهة التطبيق البرمجية (API) لجلب أخر عمليات مالية على الحساب البنكي و عرضها ضمن مربع يتوسع لذلك، من الثغرات و الأخطاء الشائعة في مثل هذه التطبيقات هو عدم تحقق واجهة التطبيق البرمجية (API) من الجهة (المستعرض) الذي قامت بطلب البيانات، هذا هو بيت القصيد الواجهة البرمجية قامت بقبول رقم الحساب و قامت بإرجاع أخر خمس عمليات مالية عليه من دون التحقق من أن المستعرض لديه الأذن بطلب هذه العمليات المالية لهذا الحساب، مثل هذه الثغرات و الأخطاء و إن كانت واضحة  فهي للأسف شائعة جداً .

(المزيد…)

الإختبارات الأمنية لتطبيقات الـ AJAX

من أجل تحقيق الفائدة القصوى للاختبارات الأمنية لتطبيقات الـ AJAX هنالك بعض الامور الاساسية المهمة عن الـ AJAX يجب معرفتها و الإحاطة بها و بالتالي نحقق الوصول الى اختبارات قوية و مهيكلة بشكل صحيح تؤمن بعض النصائح و الأفكار حول كل ما هو مريب و يدعو إلى القلق من الناحية الأمنية .

في البداية … في تطبيقات الـ AJAX هنالك قسمين اساسين يتم العمل بينهما بشكل متناغم، بينما في تطبيقات الـ Web 1.0 هنالك طرف واحد يعمل على ذلك و لم يكن هنالك داع للقلق تجاه الشيفرة البرمجية التي تنفذ في طرف المستخدم حيث ان الشيفرة في ذلك الطرف لا تمتلك اي مخاطر امنية عند تطبيقها في مستعرض الإنترنت، عند اجراء الإختبارات الأمنية كان التركيز الأهم في الإختبارات الأمنية متجهاً نحو المخدم و وظائفه و ما يتم تنفيذه عليه، أما في تطبيقات الـ AJAX هنالك شيفرة برمجية خطرة تعمل في طرف المستخدم يجب الانتباه إليها .

الحقيقة الثانية التي يجب الانتباه إليها أن تطبيقات الـ AJAX تتطلب العديد من الواجهات البرمجية للتطبيقات (API) على المخدم، و ذلك حتى يصل تحميل صفحة الويب إلى الاكتمال الوظيفي و البنيوي، هذه الواجهات البرمجية للتطبيقات (API) تستجيب لطلبات البيانات عبر الـ XML أو الـ JSON التي قامت بطلبها و إرسالها الـ JavaScript من خلال متصفح الويب.
(المزيد…)

كلمات السر و هاجس الأمن الإلكتروني

هل تعلمون أن نسبة كبيرة من عمليات الاختراق تتم نتيجة تخمين كلمات السر للمستخدمين، نعم هنالك عدد كبير من عمليات الاختراق تتم عن طريق تخمين كلمات السر بكلمات و أرقام تخص المستخدم بطريقة أو بأخرى أما رقم الهاتف الجوال أو تاريخ الميلاد أو رقم لوحة السيارة أو أنها تكون موحدة في حسابات متعددة و يكشف عن إحدى فتكشف بقية الحسابات و تخترق جميعها بلمحة عين .

أخطاء و عثرات في اختيار كلمة السر:

  • لا تستخدم أي شي يعلمه عنك الجميع في كلمات السر الخاصة بك مثل ( اسمك – اسم والدك – رقم الهاتف – رقم لوحة السيارة – تاريخ ميلادك ) .
  • لا تستخدم سلاسل من محارف لوحة المفاتيح مثل ( qwerty – asdfgh – zxcvb – 123456789 – 147258369 ) .
  • لا تستخدم كلمات سر موحدة في جميع حسابات المواقع و المنتديات خصوصاً .
  • استخدم خيارات الأمان و استعادة كلمات السر بشكل حقيقي (مكان و تاريخ الولادة و السؤال السري) .


كيف تؤلف كلمة سر صعبة على المخترق و سهلة عليك :
عليك باختيار جملة محببة إليك على الأغلب ستكون بيت من الشعر باللغة الانكليزي أو أي شي أخر تحبه و لكن انتبه أن يكون معروفاً عنك كما ذكرت بالملاحظات السابقة، اكتبه و من ثم اختزله بالحروف الأولى و رمزه بتبديل بعض الحروف بالأرقام و انتهى الأمر .

مثال : قول مأثور جميل بالانكليزية ” Always laugh when you can. It is cheaper than medicine ” بعد الاختزال يصبح “alwyciictm” الآن نستبدل بعض الحروف ببعض الأرقام ألا ترى أن الرقم 1 يعادل الحرف I بالشكل و إشارة @ تعادل a أيضاً، بعد التعديل تصبح (lwyc11ctm@) نضيف عليها تغير في الحروف الكبيرة و الصغيرة لتصبح (lwYc11Ctm@) الآن استخرجت كلمة السر قوية بنسبة تزيد عن 90 بالمئة مبارك عليك . (المزيد…)