أنت لا تريد أن يجتاز زائر غير مرحب به نظام ملفات الخادم الخاص بك ، لكن المهاجمين وجدوا طريقة لسحب هذا الأمر. ما الذي تستطيع القيام به؟

عندما يزور المستخدمون موقع الويب الخاص بك ، فإنهم يثقون في أن بياناتهم آمنة وأنهم وغيرهم من المستخدمين لا يمكنهم الوصول إلى الملفات أو المجلدات غير المصرح لهم برؤيتها. ومع ذلك ، إذا كان موقع الويب الخاص بك عرضة لاجتياز الدليل ، فيمكن للمهاجمين استغلال نقطة الضعف هذه للانتقال من دليل إلى آخر وعرض الملفات الحساسة التي يجب تقييدها.

تستفيد هذه الهجمات من ثغرة أمنية في نظام ملفات موقع الويب الخاص بك ويمكن أن تكشف معلومات مهمة ، مما يؤدي إلى مخاطر أمنية خطيرة. في هذه المقالة ، سوف نستكشف ماهية هجمات اجتياز الدليل ، ولماذا تكون خطيرة للغاية ، وكيف يمكنك حماية موقع الويب الخاص بك منها.

ما هو اجتياز الدليل؟

يُعرف اجتياز الدليل أيضًا باسم اجتياز المسار أو تسلق الدليل. إنها ثغرة أمنية في مواقع الويب حيث يتمكن المهاجم من الوصول إلى الملفات أو قراءتها خارج الدليل الجذر لخادم الويب الذي يقوم بتشغيل التطبيق من خلال معالجة مدخلات تطبيق الويب.

عند تنفيذ هجوم اجتياز الدليل ، يكون المهاجمون قادرين على قراءة الملفات والأدلة المقيدة على خادم تطبيق الويب وإجراء تغييرات عليها في بعض الأحيان. قد يكونون قادرين على الوصول إلى الملفات السرية على الخادم مثل ملفات تكوين قاعدة البيانات وملفات التعليمات البرمجية المصدر وملفات كلمة المرور وملفات السجل.

instagram viewer

دليل اجتياز و CIA Triad

يؤدي اجتياز الدليل إلى تسوية جميع الجوانب الثلاثة لـ ما يعرف بثالوث وكالة المخابرات المركزية. ثالوث وكالة المخابرات المركزية ، وهو نموذج معترف به على نطاق واسع لأمن المعلومات ، يرمز إلى السرية والنزاهة والتوافر.

سرية

تنتهك هجمات اجتياز الدليل السرية لأن الملفات المقيدة والحساسة التي تحتوي على معلومات حول النظام والمستخدمين الآخرين تصبح في متناول المهاجم. يجب أن تظل جميع المعلومات التي لا تخص المستخدم سرية ويجب ألا تكون في متناول الأشخاص غير المصرح لهم. على سبيل المثال ، إذا تمكن المهاجم من الوصول إلى قاعدة بيانات المستخدمين ومعلومات التعريف الشخصية الخاصة بهم (PIIs) ، فإنه ينتهك سرية النظام وبيانات المستخدم.

نزاهة

من المهم ملاحظة أن اجتياز الدليل قد لا يتوقف فقط مع قدرة المهاجمين الإلكترونيين على قراءة الملفات والوصول إليها على خادم الويب الخاص بك. إذا لم يتم تكوين أذونات نظام الملفات على الخادم الخاص بك بشكل صحيح ، فقد يتمكن المخترق من التعديل أو حذف الملفات أو الدلائل المهمة على الخادم ، مما يضر بسلامة البيانات الموجودة على ذلك الخادم. على سبيل المثال ، قد يتمكن المهاجم من تعديل ملف التكوين لمنح نفسه حق الوصول الإداري إلى الخادم أو حذف ملفات النظام.

التوفر

هناك العديد من الطرق التي يمكن للمهاجم من خلالها استخدام هجوم اجتياز الدليل لكسر توفر الخادم الخاص بك. أحد الأمثلة هو حذف الملفات الهامة على الخادم الذي يعطل تشغيل الخادم أو يتسبب في عدم استجابة تطبيق الويب. مثال آخر هو قيام المهاجم بتصعيد الامتيازات وزيادة التحميل على الخادم بالطلبات التي تؤدي إلى تعطله.

كيف يعمل هجوم اجتياز الدليل؟

يمكن أن يحدث هجوم اجتياز الدليل بطرق مختلفة. عندما يشك المهاجمون في أن أحد مواقع الويب عرضة لهجمات اجتياز الدليل ، فإنهم يبدأون في صياغة طلبات ضارة لإرسالها إلى تطبيق الويب هذا.

تعرض بعض مواقع الويب الملفات عبر معلمة URL. خذ ، على سبيل المثال ، عنوان URL لموقع الويب هذا: https://www.website.com/download_file.php? اسم الملف = file.pdf. هذا يعني أن تطبيق الويب يستدعي ملف "file.pdf" من الخادم باستخدام مسار URL نسبي. في هذه الحالة ، يقرأ التطبيق من المسار: www / var / documents / file.pdf.

مثال بسيط على هجوم اجتياز الدليل هو هجوم اجتياز الدليل dotdotslash. في أنظمة UNIX و Windows ، فإن ملف ../ تستخدم الرموز للعودة إلى دليل واحد. قد يستبدل المهاجم اسم المستند بـ ../../../../../ الخ / ممر. يبدو عنوان URL بعد ذلك على النحو التالي: https://www.website.com/download_file.php? اسم الملف =.. /.. /.. /.. /.. / etc / passwd

حقوق الصورة: Marco Verch Professional Photographer /فليكر

يمكن للمهاجم استخدام هذه الحمولة في تطبيق الويب لاجتياز عدة أدلة إلى الوراء لمحاولة استرداد ملف "/ etc / passwd" من نظام ملفات الخادم.

في الأنظمة المستندة إلى Unix ، يكون الملف "/ etc / passwd" عبارة عن ملف نصي عادي يحتوي على معلومات حول ملفات حسابات المستخدمين المحليين على النظام ، مثل أسماء المستخدمين ومعرفات المستخدمين والأدلة الرئيسية و shell التفضيلات. يمكن أن يكون الوصول إلى هذا الملف مفيدًا للمهاجمين لأنه يمكن أن يوفر معلومات حول حسابات المستخدمين المحتملة ونقاط الضعف في النظام.

تشمل الأشكال الأخرى لهجمات اجتياز الدليل ترميز URL ، والتشفير المزدوج ، وهجمات البايت الفارغ.

لماذا تعتبر هجمات اجتياز الدليل خطيرة للغاية؟

تعتبر هجمات اجتياز الدليل خطيرة للغاية لأنها لا تكاد تكون هجمات قائمة بذاتها. قد تؤدي ثغرة اجتياز الدليل عند استغلالها إلى العديد من الثغرات الأمنية الأخرى. بعض هذه الثغرات الأمنية تشمل:

الإفصاح عن المعلومات

يحدث الكشف عن المعلومات عندما يتمكن المهاجم من الوصول إلى معلومات حساسة غير مصرح له برؤيتها. يمكن أن تؤدي هجمات اجتياز الدليل إلى ثغرات أمنية في الكشف عن المعلومات لأنها تسمح للمهاجمين بالوصول إلى الملفات والأدلة خارج النطاق المقصود لتطبيق الويب. باستخدام حمولات اجتياز الدليل والطلبات الضارة ، يمكن للمهاجمين تسلق التسلسل الهرمي للدليل للوصول إلى الملفات والأدلة الحساسة على الخادم. يمكن استغلال هذه الثغرة الأمنية لاستخراج معلومات حساسة مثل كلمات المرور أو بيانات المستخدم.

تضمين الملف المحلي

يمكن مسح الدليل أيضا يؤدي إلى هجمات تضمين الملف المحلي (LFI). LFI هي ثغرة أمنية في تطبيقات الويب تسمح للمهاجم بتضمين وتنفيذ الملفات المخزنة على نفس الخادم مثل تطبيق الويب في LFI الهجوم ، يمكن للمهاجم استخدام معلمات إدخال تطبيق الويب لتحديد مسار ملف محلي ، والذي يتم تضمينه بعد ذلك بواسطة تطبيق الويب دون الحاجة إلى تصديق. يسمح هذا للمهاجم بتنفيذ تعليمات برمجية عشوائية أو عرض معلومات حساسة أو التلاعب بسلوك التطبيق.

كيف يمكنك منع هجوم اجتياز الدليل؟

بالنسبة للمبتدئين ، تحقق من صحة إدخال المستخدم قبل معالجته للتأكد من أنه يحتوي فقط على الأحرف المتوقعة ولا يحتوي على أي أحرف خاصة أو فواصل مسار. هناك توصية أخرى وهي استخدام الفلاتر والقيم المسموح بها في القائمة البيضاء لمقارنة مدخلات المستخدم وحظر القيم المشبوهة. لكن كل هذه الأساليب يمكن أن يتحايل عليها متسلل متمرس.

أفضل طريقة لمنع هجمات اجتياز الدليل هي تجنب السماح للمستخدمين بتوفير مدخلات لنظام الملفات تمامًا.

اتخذ نهجًا استباقيًا لأمنك

هناك الكثير من نقاط الضعف في النظام البيئي السيبراني. لتأمين الأصول الخاصة بك من نقاط الضعف ، يجب عليك إجراء تقييمات أمنية منتظمة و اختبار الاختراق لتحديد نقاط الضعف المحتملة ومعالجتها قبل أن يتم استغلالها المهاجمين.

بالإضافة إلى ذلك ، ابق على اطلاع دائم بأحدث تصحيحات الأمان والتحديثات لبرامجك وأنظمتك ، حيث يمكن تصحيح العديد من الثغرات الأمنية باستخدام هذه التحديثات. من خلال اتباع نهج استباقي للأمن السيبراني ، يمكنك المساعدة في ضمان حماية أصول مؤسستك من الثغرات الأمنية وتظل آمنة من التهديدات الإلكترونية.