post-image
خماسيات

(خمسة) من أكثر التهديدات الأمنية على الويب

(390) كلمة (3) دقيقة
تاريخ المقال طول المقال تتطلب قرائته
390 كلمة 3 دقيقة

الهندسة الاجتماعية

أغلب التهديدات الأمنية حاليا تتم عبر الاحتيال الرقمي الذي يستخدم أساليب الهندسة الاجتماعية وهو مصطلح يطلق على أساليب يستخدمها المهاجمون في اصطياد الضحايا بذكاء بالغ بناءً على معلومات سابقة لهم عن الضحية أو بسبب غباء وسذاجة الضحايا وطمعهم.

مثلا يتم هندسة الهجوم بالبداية عبر طلب إدخال بياناتك لتربح جائزة أو الاشتراك بخدمة ما، وبعدها يتصل بك المهاجم والذي أصبح يعرف عنك بيانات صحيحة ويدّعي بأنه جهة أمنية أو من طرف مصرفك الخاص ثم يطلب معلومات أكثر، ومن ثم في المرة الثالثة ينفذ الهجوم عليك بمساعدتك؛ فكل معلوماتك قد أصبحت لدى المهاجم الذي يستطيع ترتيب مسرحية وسيناريو مختلفين في كل مرة.


هجمات دفع الفدية

تعتبر نوعا من الفيروسات إلا أن الفيروسات التي قد تحذف بعض الملفات أو تتسبب في بعض الإزعاج تعتبر أليفة مقارنة بهذا النوع من الفيروسات؛ والتي تقوم بعملية تشفير لنظام التشغيل أو ملفاتك كلها ويطلب منك تحويل مبلغ مالي على شكل فدية لفك الرهن أو الحجز عن معلوماتك المشفرة، وفي حال لم ترضخ فإنك لن تستطيع الحصول على بياناتك أو معلوماتك التي تم تشفيرها.


إغراق الطلبات

من أقدم الطرق التي تتسبب في إيقاف الخدمات والسيرفرات (DDos Attack) والتي إن لم تعالج عبر وضع جدران نارية لمنع مثل هذه الطلبات المتكررة أو وضع إجراء لعدم توقف المشغّل للكود حيث يمكن كشف كل البيانات أمام المهاجم مما يفتح سماحيات أكثر في الهجوم.


الثغرات المنطقية

لإتمام أي مهمة هناك سلسلة من الإجراءات التي تتم تباعا لتحقيق الهدف النهائي، أحيانا قد تكون هناك ثغرة منطقية في التسلسل مما يسبب ثغرة  أمنية يمكن أن تستغل؛ على سبيل المثال عدم التحقق من بيانات الدخول في كل عملية أو إمكانية إدخال بيانات شخص آخر خلال العملية أو الرابط حيث تظهر بيانات شخص آخر وغيرها من آلاف السيناريوهات التي تتطلب من المبرمج التأكد من تغطيتها جميعا وأيضا اختبارها.


الأبواب الخلفية

وتسمى أيضا بالثغرات البرمجية والتي تكون في الغالب لحالات غير مكتشفة أو سيناريوهات غير مغطاة في الكود نفسه وأشهرها (Validations)؛ مثلا التحقق من كون الرقم المُدخل لا يحتوي على فاصلة في خانة مخصصة لأرقام الهواتف أو ترك إمكانية إضافة جمل استعلام ضمن خانات النصوص مما يتسبب في تنفيذ أوامر مثل (SQL Injection) أو ترك إمكانية الكتابة على الملفات من طرف الزوار أو رفع ملفات بأسماء لواحق يمكن تنفيذها على الخادم؛ وهناك آلاف السيناريوهات المعروفة وأكثر منها التي قد تكتشف لحالات محددة ويمكن استخدام أدوات اختبارات الاختراق التي تحدثنا عنها سابقا في المقال بعنوان (خمس أدوات من أجل اختبارات الاختراق لمشاريع الويب ) كما أدعوك لقراءة مقال أخر بعنوان (خمس) مخاطر غير تقنية تهدد تواجدك الرقمي .