تطبيقات الويب هي عناصر حاسمة في تقديم الخدمات على الإنترنت.

لم يعد من الأخبار أن الكثيرين عانوا من ثغرات أمنية. يمكن أن يعرض موقع الويب الأفراد لمخاطر كبيرة إذا لم يكن محميًا بشكل صحيح.

يمكن للمهاجمين الوصول إلى الصفحات المقيدة وبيانات المستخدم السرية باستخدام عدة تقنيات ، بما في ذلك التصفح الإجباري.

في هذه المقالة سنناقش مفهوم التصفح الإجباري وكيف يعمل.

ما هو التصفح الإجباري؟

التصفح الإجباري هو أسلوب يستخدمه المهاجمون للوصول إلى صفحات الويب المقيدة ، أو الموارد الأخرى ، من خلال معالجة عنوان URL. يشار إليه أيضًا باسم التصفح القوي. تمامًا كما يوحي الاسم ، يتصفح المهاجم بقوة موردًا ليس لديه إذن به.

يستهدف مثل هذا الهجوم الملفات الموجودة في دليل خادم الويب ، أو عناوين URL المقيدة ، التي لا تتحقق من وجود إذن.

تكون هذه الموارد مربحة للمهاجمين إذا كانت تحتوي على بيانات حساسة. يمكن أن يكون عن موقع الويب نفسه أو عملاء الموقع. قد تشمل البيانات الحساسة ما يلي:

  • أوراق اعتماد
  • مصدر الرمز
  • ملفات النسخ الاحتياطي
  • السجلات
  • إعدادات
  • تفاصيل الشبكة الداخلية

إذا كان موقع الويب يمكن أن يقع ضحية لهجوم تصفح قسري ، فإنه ليس آمنًا بشكل صحيح.

instagram viewer

يجب أن يضمن التفويض حصول المستخدمين على الإذن المناسب للوصول إلى الصفحات المقيدة. يقدم المستخدمون تفاصيل تسجيل الدخول الخاصة بهم ، مثل اسم المستخدم وكلمة المرور ، قبل السماح لهم بالوصول. يحاول الاستعراض الإجباري تجاوز إعدادات الأمان هذه عن طريق طلب الوصول إلى المسارات المقيدة. يختبر لمعرفة ما إذا كان يمكنه الوصول إلى صفحة دون تقديم بيانات اعتماد صالحة.

كيف يعمل التصفح القسري؟

يعد التصفح الإجباري مشكلة شائعة في مواقع الويب التي لها أدوار مختلفة للمستخدم مثل المستخدمين العاديين والمستخدمين الإداريين. يقوم كل مستخدم بتسجيل الدخول من نفس الصفحة ولكن لديه حق الوصول إلى القوائم والخيارات المختلفة. ومع ذلك ، إذا كانت الصفحات التي تؤدي إليها تلك القوائم غير آمنة ، فقد يخمن المستخدم اسم صفحة صالحة ويحاول الوصول إلى عنوان URL الخاص بها مباشرةً.

تظهر عدة سيناريوهات كيفية عمل التصفح الإجباري ، سواء تم ذلك يدويًا أو باستخدام أداة آلية. دعونا نلقي نظرة على بعض الحالات.

1. صفحة حساب غير آمنة

يقوم المستخدم بتسجيل الدخول إلى موقع ويب ويكون عنوان URL لصفحة حسابه هو www.example.com/account.php؟ المستخدم = 4. يمكن للمستخدم المضي قدمًا في إجراء تدوير للأرقام وتغيير عنوان URL إلى www.example.com/account.php؟ المستخدم = 6. إذا تم فتح الصفحة ، فسيتمكنون من الوصول إلى معلومات المستخدم الآخر دون الحاجة إلى معرفة تفاصيل تسجيل الدخول الخاصة بهم.

2. صفحة طلب غير آمنة

يقوم مستخدم لديه حساب على موقع ويب للتجارة الإلكترونية بعرض أحد طلباته على www.example.com/orders/4544. لقد قاموا الآن بتغيير معرف الطلب بشكل عشوائي إلى www.example.com/orders/4546. إذا كانت صفحة الطلبات بها ضعف إجباري في التصفح ، فقد يكتشف المهاجم تفاصيل المستخدم بهذا الطلب. على أقل تقدير ، سوف يستردون معلومات حول أمر ليس أمرهم.

3. فحص URL

يستخدم المهاجم أداة الفحص للبحث عن الدلائل والملفات في نظام ملفات خادم الويب. قد يقوم بالبحث عن الأسماء الشائعة للمسؤول وكلمة المرور وملفات السجل. إذا حصلت الأداة على استجابة HTTP ناجحة ، فهذا يعني وجود مورد مطابق. ثم يمضي المهاجم قدما ويصل إلى الملفات.

طرق التصفح القسري

يمكن للمهاجم تنفيذ هجوم تصفح قسري يدويًا أو باستخدام أدوات آلية.

في التصفح اليدوي القوي ، يستخدم المهاجم تقنية تدوير الأرقام ، أو يخمن بشكل صحيح اسم دليل أو ملف ويكتبه في شريط العنوان. هذه الطريقة أصعب من استخدام الأدوات الآلية لأن المهاجم لا يمكنه إرسال الطلبات يدويًا بأي شيء مثل نفس التردد.

يتضمن التصفح الإجباري بمساعدة الأدوات الآلية استخدام أداة للبحث عن الأدلة والملفات الموجودة على موقع الويب. عادةً ما يتم إخفاء العديد من الملفات المقيدة ولكن أدوات الفحص يمكنها التخلص منها.

تقوم الأدوات الآلية بمسح العديد من أسماء الصفحات المحتملة وتسجيل النتائج التي تم الحصول عليها من الخادم. يقومون أيضًا بتخزين عناوين URL التي تتوافق مع كل طلب صفحة. سيستمر المهاجم في إجراء تحقيق يدوي لاكتشاف الصفحات التي يمكنهم الوصول إليها.

بكلتا الطريقتين ، التصفح الإجباري مثل هجوم القوة الغاشمة ، حيث المهاجم يخمن كلمة المرور الخاصة بك.

كيفية منع التصفح الإجباري

إليك شيء يجب مراعاته: إخفاء الملفات لا يجعل الوصول إليها غير ممكن. تأكد من أنك لا تفترض أنه إذا لم تقم بالارتباط بصفحة ، فلن يتمكن المهاجم من الوصول إليها. التصفح الإجباري يفضح هذا الافتراض. ويمكن بسهولة تخمين الأسماء الشائعة المخصصة للصفحات والأدلة ، مما يجعل الموارد في متناول المهاجمين.

فيما يلي بعض النصائح لمساعدتك في منع التصفح الإجباري.

1. تجنب استخدام الأسماء الشائعة للملفات

يخصص المطورون عادةً أسماء شائعة للملفات وأدلة الويب. قد تكون هذه الأسماء الشائعة "المسؤول" أو "السجلات" أو "المسؤول" أو "النسخ الاحتياطي". بالنظر إليهم ، من السهل جدًا تخمينهم.

تتمثل إحدى طرق إبقاء التصفح الإجباري بعيدًا في تسمية الملفات بأسماء غريبة أو معقدة يصعب اكتشافها. مع وجود ذلك في مكانه ، سيكون لدى المهاجمين صعوبة في كسرها. نفس الأسلوب يساعد في إنشاء كلمات مرور قوية وفعالة.

2. احتفظ بقائمة الدليل الخاصة بك معطلة على خادم الويب

يشكل التكوين الافتراضي خطرًا أمنيًا لأنه قد يساعد المتسللين على الوصول غير المصرح به إلى الخادم الخاص بك.

إذا قمت بتمكين قائمة الدليل على خادم الويب الخاص بك ، فيمكنك تسريب المعلومات التي ستدعو المهاجمين. يجب عليك إيقاف تشغيل قائمة الدليل وإبقاء تفاصيل نظام الملفات بعيدًا عن العرض العام.

3. تحقق من مصادقة المستخدم قبل كل عملية آمنة

من السهل تجاهل الحاجة إلى مصادقة مستخدمي الموقع على صفحة ويب معينة. إذا لم تكن حريصًا ، فقد تنسى القيام بذلك.

تأكد من أن صفحات الويب الخاصة بك لا يمكن الوصول إليها إلا للمستخدمين المصادق عليهم. قم بنشر فحص التفويض في كل خطوة للحفاظ على الأمان.

4. استخدم ضوابط الوصول المناسبة

يتضمن استخدام ضوابط الوصول المناسبة منح المستخدمين وصولاً صريحًا إلى الموارد والصفحات التي تتوافق مع حقوقهم وليس أكثر.

تأكد من تحديد أنواع الملفات التي يمتلك المستخدمون الإذن بالوصول إليها. على سبيل المثال ، يمكنك منع المستخدمين من الوصول إلى ملفات النسخ الاحتياطي أو قاعدة البيانات.

اذهب وجها لوجه مع المهاجمين

إذا كنت تستضيف تطبيق ويب على الإنترنت العام ، فأنت تدعو المهاجمين لبذل قصارى جهدهم لإجبارهم على الدخول. مع وضع هذا في الاعتبار ، لا بد أن تحدث هجمات التصفح القسري. السؤال هو: هل ستسمح للمهاجمين بالوصول عندما يحاولون ذلك؟

لا داعي لذلك. ضع مقاومة قوية من خلال نشر طبقات مختلفة من الأمن السيبراني على نظامك. تقع على عاتقك مسؤولية تأمين أصولك الرقمية. افعل كل ما عليك القيام به لتأمين ما يخصك.

هجمات القوة الغاشمة 5 مرات تؤدي إلى خروقات أمنية ضخمة

يتعرض مستخدمو الإنترنت لتهديد مستمر من الانتهاكات الأمنية ، وتعد هجمات القوة الغاشمة سببًا خاصًا للقلق. هنا بعض من الأسوأ.

اقرأ التالي

يشاركسقسقةبريد الالكتروني
مواضيع ذات صلة
  • حماية
  • حماية
  • تطوير الشبكة
  • الأمن على الإنترنت
نبذة عن الكاتب
كريس أودوجو (34 مقالة منشورة)

كريس أودوجو كاتب شغوف ملتزم بنقل المعرفة من خلال كتاباته. كصحفي مدرب ، حاصل على درجة البكالوريوس في الاتصال الجماهيري ودرجة الماجستير في العلاقات العامة والإعلان. هوايته المفضلة هي الرقص.

المزيد من Chris Odogwu

اشترك في نشرتنا الإخبارية

انضم إلى النشرة الإخبارية لدينا للحصول على نصائح تقنية ومراجعات وكتب إلكترونية مجانية وصفقات حصرية!

انقر هنا للاشتراك