تطبيقات الويب تعتبر أكثر المنصات عرضة للإختراق لعدة أسباب،أهمها كثرة التقنيات الداخلة في تكوين هته التطبيقات،فالموقع العادي تتم برمجته باستخدام: HTML و CSS من أجل الواجهة،PHP أو إحدى اللغات البرمجية اﻷخرى بالإضافة إلى SQL من أجل التعامل مع الجهة الخلفية للموقع Back-end بالإضافة إلى استخدام الجافاسكريبت و هذا أقل ما يمكن.في كل نقطة من تلك النقاط نجد تقنيات أخرى مشتقة من التقنية الأم،فنجد أطر عمل خاصة بالـ HTML و CSS مثل Bootstrap،مثلا فيما يخص PHP نجد إطار عمل مثل CakePHP أو عندما يتعلق الأمر بروبي نجد Ruby on Rails و غيرها مما سيخلق إمكانية استخدامها للقيام بهجومات على الموقع…
يعتبر هجوم Click Jacking أكثر الهجومات استخداما عندما يتعلق اﻷمر بسرقة الحسابات في الموقع الألكترونية عموما و حسابات الشبكات اﻹجتماعية خصوصا مع استخدام بعض الطرق الخاصة،سألمح إليها في هذا الدرس.
هذا الهجوم بدوره يعتمد على الهندسة اﻹجتماعية بسبب أن هذا الهجوم يتم تنفيذه في العادة على صفحات اﻹشتراك في السحويات على هدايا وهمية أو من أجل الحصول على كتاب مثلا،في معظم اﻷحيان يطلب منك إدخال كلمة واحدة مرتين كأن يطلب منك إدخال جملة “I want to win”  و بعدها يتم تحويلك لصفحة أخرى تخبرك بأنك قد دخلت السحب و سيتم مراسلتك عن طريق اﻹيميل الذي ستدخله.
في الحقيقة أنت لم بإدخال من أجل أن تربح فعلا و لكنك قمت بتغيير الباسوورد الخاص بك بيديك ﻷنه قد تم خداعك بالفورم السابقة و في الحقيقة قد تم جلب الفورم الخاص بتغيير الباسوورد في الموقع الذي أتيت منه و ليكن مثلا الفايسبوك،فعندما أدخلت الجملتين قمت بتغيير الباسوورد عوض الدخول في السحب.
سيقول البعض بأن معظم المواقع تطلب إدخال الباسوورد الحالي حتى تتمكن من تغيير الباسوورد،و هذا صحيح و لكن تذكروا بأن هنالك طرقا من جلب الباسوورد أو أخذ الصلاحيات باستخدام الكوكيز المحفوظة في الجهاز و هذا أمر يعتبر سهلا بالنسبة للكثيرين…
يتم جلب فورم تغيير الباسوورد من المواقع باستخدام الوسم iframe و في معظم اﻷحيان يتم التلاعب به من أجل إيهام الضحية بأنه في موقع مختلف…
أعلم بأن هته الدروس تحوي بعض النقاط غير المفهومة و ذلك بسبب ضمان عدم استخدام الدروس في أعمال غير مشروعة…و بالتالي حتى تستطيع استخلاص كل المفاهيم عليك استخدام مخيلتك و محرك البحث جوجل…دمتم بود،سلام.

1 تعليق واحد. Leave new

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

Fill out this field
Fill out this field
الرجاء إدخال عنوان بريد إلكتروني صالح.
You need to agree with the terms to proceed

هذا الموقع يستخدم Akismet للحدّ من التعليقات المزعجة والغير مرغوبة. تعرّف على كيفية معالجة بيانات تعليقك.

القائمة