السلام عليكم و رحمة الله و تعالى و بركاته
بسم الله الرحمان الرحيم
بسم الله الرحمان الرحيم
تطبيقات الويب تعتبر أكثر المنصات عرضة للإختراق لعدة أسباب،أهمها كثرة التقنيات الداخلة في تكوين هته التطبيقات،فالموقع العادي تتم برمجته باستخدام: HTML و CSS من أجل الواجهة،PHP أو إحدى اللغات البرمجية اﻷخرى بالإضافة إلى SQL من أجل التعامل مع الجهة الخلفية للموقع Back-end بالإضافة إلى استخدام الجافاسكريبت و هذا أقل ما يمكن.في كل نقطة من تلك النقاط نجد تقنيات أخرى مشتقة من التقنية الأم،فنجد أطر عمل خاصة بالـ HTML و CSS مثل Bootstrap،مثلا فيما يخص PHP نجد إطار عمل مثل CakePHP أو عندما يتعلق الأمر بروبي نجد Ruby on Rails و غيرها مما سيخلق إمكانية استخدامها للقيام بهجومات على الموقع...
يعتبر هجوم Click Jacking أكثر الهجومات استخداما عندما يتعلق اﻷمر بسرقة الحسابات في الموقع الألكترونية عموما و حسابات الشبكات اﻹجتماعية خصوصا مع استخدام بعض الطرق الخاصة،سألمح إليها في هذا الدرس.
هذا الهجوم بدوره يعتمد على الهندسة اﻹجتماعية بسبب أن هذا الهجوم يتم تنفيذه في العادة على صفحات اﻹشتراك في السحويات على هدايا وهمية أو من أجل الحصول على كتاب مثلا،في معظم اﻷحيان يطلب منك إدخال كلمة واحدة مرتين كأن يطلب منك إدخال جملة "I want to win" و بعدها يتم تحويلك لصفحة أخرى تخبرك بأنك قد دخلت السحب و سيتم مراسلتك عن طريق اﻹيميل الذي ستدخله.
في الحقيقة أنت لم بإدخال من أجل أن تربح فعلا و لكنك قمت بتغيير الباسوورد الخاص بك بيديك ﻷنه قد تم خداعك بالفورم السابقة و في الحقيقة قد تم جلب الفورم الخاص بتغيير الباسوورد في الموقع الذي أتيت منه و ليكن مثلا الفايسبوك،فعندما أدخلت الجملتين قمت بتغيير الباسوورد عوض الدخول في السحب.
سيقول البعض بأن معظم المواقع تطلب إدخال الباسوورد الحالي حتى تتمكن من تغيير الباسوورد،و هذا صحيح و لكن تذكروا بأن هنالك طرقا من جلب الباسوورد أو أخذ الصلاحيات باستخدام الكوكيز المحفوظة في الجهاز و هذا أمر يعتبر سهلا بالنسبة للكثيرين...
طرق تنفيذ الهجوم
--------------------------
طرق تنفيذ الهجوم
--------------------------
هناك عدة طرق لتنفيذ الهجمات، وتعتمد في مجملها على جعل المستخدم ينقر واجهة مخفية غير التي يعتقد أنه نقرها.
تخيل نفسك وقد ضغطت على أحد الأزرار في موقع ما، وإذا بك قد سمحت للموقع بتشغيل كاميرا حاسوبك أو مكروفون, وبدأ ببث كل ما يقع أمام العدسة على شبكة الإنترنت، أو نقل الأحاديث التي تدور حولك دون أن يكون لديك أدنى علم بذلك.
قد تعتقد أن هذه العملية صعبة، أو أنها تتطلب برامج خاصة. إن أحد أبسط الطرق هو البريمجات Flash، الموجودة في معظم صفحات الوب في هذه الأيام، والتي تعطي المواقع جمالاً لا يمكن الحصول عليه بغير طرق. تسمح Flash بتشغيل كاميرا الحاسوب أو المكروفون وبث الصورة عبر الشبكة، ولكن تتطلب هذه العملية موافقة المستخدم كنوع من مستويات الأمن كي يُسمح للـ Flash بالقيام بهذه العملية.
ماذا لو أخفى المهاجم صفحة الموافقة الأمنية في إطار أمام صفحة وب أخرى، ووضع خلف هذا الإطار نصاً مع زر ما قد يرغب المستخدم بنقره ؟
بهذه الطريقة يكون المستخدم قد سمح للبرنامج بفتح الكاميرا ونقل ما يمر أمامها عبر الشبكة.
يجري تنفيذ هذا عادةً بإنشاء إطار (iFrame) يسمح للمستعرض بتقسيم النافذة إلى أجزاء (segments)، وبهذا يجري عرض أغراضٍ مختلفة في كل جزء. يجري وضع الرماز الخبيث (رماز تشغيل الكاميرا مثلاً) في إحدى هذه الأجزاء وتُجعل مخفية على المستخدم؛ وعندما ينقر المستخدم هذا الجزء المخفي، يُشغَّل الهجوم حسب الرماز الذي يحتويه.
وبعد ذلك، يكفي وضع هذا الجزء أمام أي رابط أو زر قد يبدو ذا أهمية للمستخدم.
يتم جلب فورم تغيير الباسوورد من المواقع باستخدام الوسم iframe و في معظم اﻷحيان يتم التلاعب به من أجل إيهام الضحية بأنه في موقع مختلف...
الاختلاف بين Clickjacking و Phishing:
الاختلاف بين Clickjacking و Phishing:
--------------------------------------------------
قد يبدو Click jacking للحظة الأولى مثل phishing، فكلاهما يعتمد على خَدْعِ المستخدم وَقَوْدِهِ إلى صفحات أخرى دون علمه.
ويكمن الاختلاف الجوهري بين Clickjacking و phishing في أن الثانية تعتمد على توجيه المستخدم إلى مواقع مزورة مطابقة لمواقع حقيقية (موقع خدمات مصرفية مثلاً)، ومن ثَم سرقة المعلومات الخاصة بالمستخدم. على حين تعتمد Clickjacking على المحافظة على الموقع الأصلي، أي إن المستخدم يتصفح موقعاً قانونياً، لكن يجري الهجوم بإدخال رماز خبيث (malicious code) إلى هذا الموقع يظهر من خلاله صفحات مخفية، أو عبر إدراج صفحات الموقع ضمن أخرى خبيثة.
كيف نمنع الهجوم
--------------------------
اتُّخِذت عدة إجراءات بقصد الحماية من هذا النوع من الهجمات، ويمكننا أن نجدها على عدة مستويات:
· من ناحية الزبون (متصفح الإنترنت):
مثلاً، Flash Player 10 يوفر بعض الحماية بمنع أي شيء من أن يحجب مربع حوار الإذن الأمني لتشغيل البريمجات حتى لا تخفى على المستخدم.
ويوجد أداة لحماية المستخدم من هذا النوع من الهجمات تدعى "Comitari Web Protection Suite" وهي تنصب في المستعرض كـ add-on، وهي إصدار مجاني.
يبقى الخيار الأخير، وهو تعطيل Javascript في المستعرض لمستخدمي Internet Explorer، على حين بإمكان مستخدمي Firefox (الأكثر أماناً) أن يفعّلوا add-on تدعى "NoScript" تتيح للمستخدم تعطيل javascript لمواقع محددة يختارها المستخدم أو لكل المواقع، كما أنها تحوي خيار "ClearClick" أي النقر الواضح الموجه خصوصاً للحماية من هجمات Clickjacking.
· من ناحية المخدّم:
يمكن لمديري المواقع إضافة أدوات تسمح بحماية المستخدمين من هذا النوع من الهجمات، وذلك بإضافة Javascript إلى الصفحات يمنع تأطيرها ضمن صفحات أخرى.
· كلا المخدم والزبون:
· أدرجت شركة مايكروسوفت ضمن إصدار Internet Explorer 8 خاصية تسمح لمصممي مواقع الوب أن يختاروا منع الصفحات من أن تتأطر ضمن صفحات أخرى. لكن هذا يعني أن الأفراد المحميين هم فقط من مستخدمي Internet Explorer 8.
في النهاية ننصح المستخدمين بعدم نَقر أي نافذة تظهر أمامهم، وخاصةً إن بدت غريبة وظهرت أول مرة. كما نذكر المستخدمين بأن بعض أنواع الكاميرات الجديدة تضيء LED صغيراً عندما يجري تشغيلها، وبهذا يمكن الانتباه في حال تشغيلها من البرامج، وهذا يمكن أن يكون أحد العوامل التي تدخل أثناء اختيار الكاميرا.
أعلم بأن هته الدروس تحوي بعض النقاط غير المفهومة و ذلك بسبب ضمان عدم استخدام الدروس في أعمال غير مشروعة و سيكون هناك فيديوهات بادن الله تعالى ... و بالتالي حتى تستطيع استخلاص كل المفاهيم عليك استخدام مخيلتك ...
دمتم بود و سلام.
دمتم بود و سلام.
مع تحيات اعضاء مدونة محترفي الحماية الاختراق
خارج الموضوع تحويل الاكوادإخفاء الابتساماتإخفاء