عدنان الغزال :الدمام
أكد «أكاديمي» سعودي، متخصص في نظم وتقنية المعلومات، أن تدريب الطلبة على اختبار اختراق تطبيقات الويب، يتم ضمن إطار قانوني وأخلاقي يُعرف بـ«الاختراق الأخلاقي» (Ethical Hacking)، وهو ممارسة، تهدف إلى تأهيل كوادر تقنية قادرة على اكتشاف الثغرات الأمنية، ومعالجتها قبل أن تقع في أيدي المخترقين، إضافة إلى ذلك، تدريب الطلبة لا يتم على مواقع حقيقية، بل في بيئات تعليمية افتراضية تحاكي الواقع.
لافتًا إلى أن الورش التدريبية المتخصصة في ذلك، هي خطوة توعوية وتدريبية، تستهدف إعداد جيل رقمي واعٍ، يمتلك مهارات تحليل الثغرات، وفهم منطق الهجمات السيبرانية، وأن الورش لم تكن لتعليم الاختراق، بل لتعليم الدفاع من خلال فهم عقلية المخترق.
البيانات الحساسة
وشدد على أن البيانات الحساسة في المواقع الإلكترونية، يجب أن تنقل وتخزن بطريقة مشفرة باستخدام بروتوكولات آمنة مثل (HTTPS)، وخوارزميات قوية، وعند فشل التشفير، قد يتم إرسال البيانات بدون تشفير، وتخزين كلمات مرور بصيغة نصية (PLAIN TEXT). موضحًا أن ضعفًا في التصميم بالمواقع، يشير إلى أن النظام من البداية لم يصمم بطريقة تأخذ الأمن بعين الاعتبار، مثل ألا يوجد تحقق من الصلاحيات في بعض الصفحات، ويمكن للمستخدم الوصول لروابط إدارية مباشرة، ولا يوجد حد للمحاولات في تسجيل الدخول. لافتًا إلى أن فشل الإعدادات الأمنية في الموقع، يشير إلى أن الإعدادات الافتراضية تركت بدون تعديل، وخدمات غير مستخدمة ولم يتم إيقافها، وصلاحيات زائدة عن المستخدمين.
اكتشاف الثغرات
أبان الدكتور أحمد اليحيا، أن مختبري الاختراق (Pen Testers)، يعتمدون على حزمة من الأدوات التقنية المصممة لتحليل واكتشاف الثغرات في التطبيقات، ومن أبرزها:
- Burp Suite: أداة شاملة لفحص الاتصالات وتحليل الطلبات والاستجابات بين المتصفح والخادم، وتُستخدم بكثرة في اختبارات أمان التطبيقات.
- OWASP ZAP: أداة مجانية مفتوحة المصدر مدعومة من مشروع (OWASP)، وتُستخدم في الفحص التلقائي لاكتشاف الثغرات في التطبيقات.
- SQLmap: أداة متقدمة لاختبار واستغلال ثغرات حقن قواعد البيانات (SQL Injection)، وهي من الأدوات الأساسية في اختبار التطبيقات ذات الصلة بقواعد البيانات.
اختبارات الأمان
• Broken Access Control: خلل في صلاحيات الوصول، يُمكّن المهاجم من الوصول إلى بيانات أو وظائف محظورة.
• Cryptographic Failures: ضعف في حماية البيانات أثناء النقل أو التخزين.
• Injection Attacks (مثل SQL Injection): تسمح للمهاجم بحقن أوامر خبيثة في قاعدة البيانات.
• Insecure Design: ثغرات ناتجة عن ضعف في البنية المعمارية للتطبيق.
• Security Misconfiguration: إعدادات غير آمنة تؤدي إلى تعريض النظام للخطر. قال اليحيا: تعتمد معظم اختبارات الأمان على قائمة (OWASP Top 10)، وهي تصنيف دولي يُحدث دوريًا من قِبل مجتمع متخصص في أمن التطبيقات، وفي إصدار (OWASP 2021).
