أهم الهجمات الإلكترونية الخاصة بأمن مواقع الويب

اقرأ في هذا المقال


كل موقع على الإنترنت معرض إلى حد ما للهجمات الأمنية، حيث تتراوح التهديدات من الأخطاء البشرية إلى الهجمات المعقدة من قبل مجرمي الإنترنت المنسقين. ومن المعروف أن الدافع الأساسي للمهاجمين الإلكترونيين هو الدافع المالي. وسواء كان الشخص يدير مشروعًا للتجارة الإلكترونية أو موقعًا إلكترونيًا بسيطًا للأعمال التجارية الصغيرة، فإن خطر التعرض لهجوم محتمل وموجود.

أكثر الهجمات الأمنية لمواقع الويب شيوعًا:

فيما يلي أكثر الهجمات الإلكترونية شيوعًا التي تحدث على الإنترنت وكيف يمكن حماية موقع الويب ضدها:

1. البرمجة النصية عبر المواقع (XSS):

وجدت دراسة حديثة أجرتها أن هجوم (XSS) هو الهجوم الإلكتروني الأكثر شيوعًا ويشكل ما يقرب من 40٪ من جميع الهجمات. وعلى الرغم من أنها الأكثر شيوعًا، إلا أن معظم هذه الهجمات ليست معقدة للغاية ويتم تنفيذها بواسطة مجرمي الإنترنت الهواة باستخدام نصوص ابتكرها آخرون.

تستهدف البرمجة النصية عبر المواقع مستخدمي الموقع بدلاً من تطبيق الويب نفسه. ويقوم المخترق الضار بإدخال جزء من التعليمات البرمجية في موقع ويب ضعيف، والذي يتم تنفيذه بعد ذلك بواسطة زائر الموقع. ويمكن أن يؤدي الرمز إلى اختراق حسابات المستخدم أو تنشيط أحصنة طروادة أو تعديل محتوى موقع الويب لخداع المستخدم لتقديم معلومات خاصة.

يمكن للشخص حماية موقع الويب الخاص به من هجمات (XSS) من خلال إعداد جدار حماية لتطبيق الويب (WAF). حيث يعمل (WAF) كعامل تصفية يحدد ويحظر أي طلبات ضارة إلى موقع الويب. وعادةً ما يكون لدى شركات استضافة الويب (WAF) بالفعل عند شراء خدمتهم.

2. هجمات الحقن (Injection):

أطلق مشروع أمان تطبيق الويب المفتوح (OWASP) في أحدث أبحاثه العشرة الأولى على عيوب الحقن باعتبارها العامل الأكثر خطورة لمواقع الويب. حيث أن طريقة حقن (SQL) هي أكثر الممارسات شيوعًا التي يستخدمها مجرمو الإنترنت في هذه الفئة.

تستهدف أساليب هجوم الحقن موقع الويب وقاعدة بيانات الخادم مباشرةً. وعند تنفيذه، يقوم المهاجم بإدخال جزء من التعليمات البرمجية التي تكشف عن البيانات المخفية وإدخالات المستخدم، وتمكين تعديل البيانات وتعرض التطبيق للخطر بشكل عام.

ترجع حماية موقع الويب الخاص للشخص من الهجمات القائمة على الحقن بشكل أساسي إلى مدى جودة بناء قاعدة التعليمات البرمجية الخاصة به. على سبيل المثال، الطريقة الأولى للتخفيف من مخاطر حقن (SQL) هي دائمًا استخدام عبارات ذات معلمات عند توفرها، من بين طرق أخرى. علاوة على ذلك، يمكن التفكير في استخدام سير عمل مصادقة جهة خارجية لتوفير حماية قاعدة البيانات الخاصة به.

3. التشويش:

يستخدم المطورون التشويش للعثور على أخطاء الترميز والثغرات الأمنية في البرامج أو أنظمة التشغيل أو الشبكات. ومع ذلك، يمكن للمهاجمين استخدام نفس الأسلوب لاكتشاف الثغرات الأمنية في الموقع المستهدف أو الخادم.

إنه يعمل عن طريق إدخال كمية كبيرة من البيانات العشوائية (fuzz) في أحد التطبيقات في البداية لتعطله. والخطوة التالية هي استخدام أداة برمجية (fuzzer) لتحديد نقاط الضعف. وإذا كانت هناك أي ثغرات في أمن الهدف، فيمكن للمهاجم استغلالها بشكل أكبر.

أفضل طريقة لمحاربة هجوم التشويش هي الحفاظ على التطبيقات محدثة. وينطبق هذا بشكل خاص على أي تصحيحات أمان تأتي مع تحديث يمكن للجناة استغلاله.

4. هجوم (Zero-Day):

هجوم (Zero-Day) هو امتداد لهجوم غامض، لكنه لا يتطلب تحديد نقاط الضعف في حد ذاته. وتم تحديد أحدث حالة من هذا النوع من الهجوم من خلال دراسة (Google)، حيث حددوا ثغرات يوم الصفر المحتملة في برامج (Windows وChrome).

هناك نوعان من السيناريوهين لكيفية استفادة المتسللين الضارين من هجوم (Zero-Day) . الحالة الأولى هي أنه إذا تمكن المهاجمون من الحصول على معلومات حول تحديث أمني قادم، فيمكنهم معرفة مكان الثغرات قبل نشر التحديث. وفي السيناريو الثاني، يحصل مجرمو الإنترنت على معلومات التصحيح ويستهدفون المستخدمين الذين لم يحدّثوا أنظمتهم بعد. في كلتا الحالتين، يتم اختراق أمن النظام المستهدف، ويعتمد الضرر اللاحق على مهارات الجناة.

أسهل طريقة لحماية الموقع من هجمات (Zero-Day) هي تحديث البرنامج فورًا بعد مطالبة الناشرين بإصدار جديد.

5. مسار (أو دليل) اجتياز:

هجوم اجتياز المسار ليس شائعًا مثل طرق القرصنة السابقة ولكنه لا يزال يمثل تهديدًا كبيرًا لأي تطبيق ويب. حيث تستهدف هجمات اجتياز المسار مجلد جذر الويب للوصول إلى الملفات أو الدلائل غير المصرح بها خارج المجلد المستهدف. ويحاول المهاجم إدخال أنماط الحركة داخل دليل الخادم للانتقال لأعلى في التسلسل الهرمي.

ويمكن أن يؤدي اجتياز المسار الناجح إلى تعريض الوصول إلى الموقع وملفات التكوين وقواعد البيانات ومواقع الويب والملفات الأخرى الموجودة على نفس الخادم الفعلي للخطر. وترجع حماية الموقع من هجوم اجتياز المسار إلى تعقيم الإدخال، وهذا يعني الحفاظ على مدخلات المستخدم آمنة وغير قابلة للاسترداد من الخادم. والاقتراح الأكثر وضوحًا هنا هو بناء قاعدة التعليمات البرمجية الخاصة بحيث لا يتم تمرير أي معلومات من المستخدم إلى واجهات برمجة تطبيقات نظام الملفات.

6. رفض الخدمة الموزعة (DDoS):

لا يسمح هجوم (DDoS) وحده للمتسلل الضار بخرق الأمان ولكنه سيعيد الموقع بشكل مؤقت أو دائم. ويهدف هجوم (DDoS) إلى إرباك خادم الويب المستهدف بالطلبات، ممّا يجعل الموقع غير متاح للزوار الآخرين. وعادةً ما تُنشئ الروبوتات عددًا كبيرًا من الطلبات، والتي يتم توزيعها على أجهزة الكمبيوتر المصابة سابقًا.و أيضًا، غالبًا ما تُستخدم هجمات (DDoS) مع طرق أخرى، والهدف الأول هو تشتيت انتباه أنظمة الأمان أثناء استغلال الثغرة الأمنية.

حماية الموقع من هجمات (DDoS) متعددة الأوجه بشكل عام . أولاً، يحتاج الشخص إلى تخفيف حركة المرور التي بلغت ذروتها باستخدام شبكة توصيل المحتوى (CDN) وموازن تحميل وموارد قابلة للتطوير. ثانيًا، يحتاج أيضًا إلى نشر جدار حماية تطبيقات الويب في حالة إخفاء هجوم (DDoS) بطريقة أخرى للهجوم الإلكتروني، مثل الحقن أو البرمجة النصية عبر المواقع (XSS).

7. هجوم رجل في الوسط (man-in-the-middle):

تعد هجمات (man-in-the-middle) شائعة بين المواقع التي لم تقم بتشفير بياناتها أثناء انتقالها من المستخدم إلى الخوادم. بصفة الشخص مستخدمًا، يمكنه تحديد المخاطر المحتملة عن طريق فحص ما إذا كان عنوان (URL) لموقع الويب يبدأ بـ (HTTPS)، حيث يشير الحرف “S” إلى أنه يتم تشفير البيانات.

يستخدم المهاجمون نوع هجوم الرجل في الوسط لجمع معلومات (غالبًا ما تكون حساسة). ويعترض الجاني البيانات أثناء نقلها بين طرفين. وإذا لم يتم تشفير البيانات، يمكن للمهاجم بسهولة قراءة التفاصيل الشخصية أو تفاصيل تسجيل الدخول أو غيرها من التفاصيل الحساسة التي تنتقل بين موقعين على الإنترنت.

هناك طريقة مباشرة للتخفيف من هجوم (man-in-the-middle) وهي تثبيت شهادة طبقة مآخذ توصيل آمنة (SSL) على الموقع. وتقوم هذه الشهادة بتشفير جميع المعلومات التي تنتقل بين الأطراف حتى لا يفهمها المهاجم بسهولة. وعادةً ما يتميز معظم موفري الاستضافة الحديثين بالفعل بشهادة (SSL) مع حزمة الاستضافة الخاصة بهم.

8. هجوم القوة الغاشمة:

يعد هجوم القوة الغاشمة طريقة مباشرة للغاية للوصول إلى معلومات تسجيل الدخول الخاصة بتطبيق الويب. كما أنها أيضًا واحدة من أسهل طرق التخفيف، خاصة من جانب المستخدم.

يحاول المهاجم تخمين تركيبة اسم المستخدم وكلمة المرور للوصول إلى حساب المستخدم. بالطبع، حتى مع أجهزة الكمبيوتر المتعددة، قد يستغرق هذا سنوات ما لم تكن كلمة المرور بسيطة وواضحة جدًا.

أفضل طريقة لحماية معلومات تسجيل الدخول الخاصة هي إنشاء كلمة مرور قوية أو استخدام المصادقة الثنائية (2FA). وبصفة الشخص مالكًا للموقع، يمكنه مطالبة المستخدمين بإعداد كليهما للتخفيف من مخاطر تخمين مجرمي الإنترنت لكلمة المرور.

9. التّصيد:

يعتبر التّصيد الاحتيالي طريقة هجوم أخرى لا تستهدف مواقع الويب بشكل مباشر، ولكن لا يمكننا تركها خارج القائمة أيضًا، حيث لا يزال من الممكن أن تعرض سلامة النظام للخطر. والسبب هو أن التّصيد هو، وفقًا لتقرير جرائم الإنترنت الصادر عن مكتب التحقيقات الفيدرالي، أكثر جرائم الهندسة الاجتماعية شيوعًا.

الأداة القياسية المستخدمة في محاولات التصيد هي البريد الإلكتروني. حيث يخفي المهاجمون أنفسهم عمومًا على أنهم ليسوا كذلك ويحاولون إقناع ضحاياهم بمشاركة معلومات حساسة أو إجراء تحويل مصرفي. ويمكن أن تكون هذه الأنواع من الهجمات غريبة مثل عملية احتيال 419 (جزء من فئة احتيال الرسوم المسبقة ) أو أكثر تعقيدًا تتضمن عناوين بريد إلكتروني مخادعة ومواقع ويب تبدو أصلية ولغة مقنعة. ويُعرف هذا الأخير على نطاق واسع باسم (Spear Phishing).

الطريقة الأكثر فاعلية للتخفيف من مخاطر عملية التّصيد الاحتيالي هي تدريب الموظفين على تحديد مثل هذه المحاولات. والتحقق دائمًا مما إذا كان عنوان البريد الإلكتروني الخاص بالمرسل شرعيًا، وأن الرسالة ليست غريبة والطلب ليس غريبًا.


شارك المقالة: