الهاكرز و مواقع
الويبهذا الفرع قد يكون متشعب جدا ، و يصعب فعلاً تغطيته في
مقالة أو حتى عشرة مقالات لأن هناك العديد من الحالات و الأساليب التي يمكن نصنفها
تحت مسمى إختراق المواقع ، فمن الممكن مناقشة هذا الموضوع من جهة مطوري الموقع ، أو
من جهة أصحاب و ملاك المواقع ، و نظرا لأهمية الناحيتين ، فسأناقش الموضوع من هذين
الجانبين بشكل مختصر و غير مخل بإذن الله.
أصحاب المواقع .. و الإختراقأنت تمتلك موقعا ، اذا
بياناتك متاحة لملايين البشر ، يفصلها عنهم فقط زوج من البيانات (إسم مستخدم و كلمة
مرور ) ، الحصول على زوج البيانات هذا هو مهمة ذلك الهاكر ، و أحيانا يكون غير مضطر
لمعرفة هذه البيانات ، ببساطة يمكن للهاكر إستغلال أحد ثغرات نظام التشغيل في سيرفر
الشركة المستضيفة لموقعك ، أو إستغلال ثغرة من ثغرات التطبيقات التي تقوم بتركيبها
في موقعك مثل المنتديات أو المجلات الإلكترونية أو أي تطبيق تقوم بتركيبه ، معرفة
هذه الثغرات ليس بالأمر الصعب ، يكفي أن يقوم أحد الهاكرز بالإشتراك بالرسائل
الإخبارية التي تأتي من شركة VB المنتجه لبرنامج المنتديات الشهير و التي تبلغ عن
أي ثغرة تكتشف في النظام ليذهب ذلك الهاكر مسرعا يبحث عن منتدى لم يقم بالترقية بعد
و يستغل تلك الثغرة فيه !
نصائح أمنية لأصحاب
المواقع :1- تأكد من شركة الإستضافة التي تتعامل معها من إصدارة
نظام التشغيل و لوحات التحكم لديهم و قم بالبحث عن هذه الإصدارات و تأكد ما اذا
كانت تحتوي على ثغرات خطيرة أو لا.
2- إستخدم في موقعك فقط البرمجيات التي
تحتاج اليها فكرة الموقع فقط، اذا كنت لست بحاجة ماسة إلى سجل زوار ، فلا تضعه ،
اذا لم تكن بحاجه لمحرك بحث داخلي ، فلا تضع.
3- ركب دائما أحدث النسخ من
البرمجيات التي تستخدمها في الموقع ، سواء المنتديات أو المجلات
الإلكترونية.
4- لا تبالغ في تركيب الإضافات الغير أساسية على التطبيقات ،
هذه الإضافات ( تعرف أيضاً بالهاكات) تساهم كثيرا في فتح ثغرات في موقعك ، وذلك
لأنها صممت و برمجت من قبل هواة ولم تبرمج من قبل الشركة المنتجه لنفس البرنامج (
على سبيل المثال الهاكات المستخدمة في برامج المنتديات هي في الغالب سبب إختراق
معظم المنتديات ، و العجيب أننا نرى بعض أصحاب المنتديات يتفاخرون بعدد الهاكات
التي يستخدمونها و التي هي في الحقيقة أبواب خلفية مفتوحة لإختراق مواقعهم !!
)
5- أحرص دائما على تتبع أخبار البرمجيات التي تستخدمها في موقعك و تأكد من
أنك تقوم بالترقية في حالة وجود ثغرة خطيرة وليس فقط في حالة وجود ميزة جديدة في
البرنامج ، كثرة الترقيات المبالغ فيها قد تسبب لك المشاكل ايضاً.
6- لا تثق
في أحد ، لا تعطي بيانات موقعك لأي جهة غير رسمية ، قد تحتاج الى تركيب برنامج أو
تصليح مشكلة في موقعك ، تأكد من أنك تتعامل مع مواقع و جهات على درجة عالية من
الموثوقية وليس مع بعض الهواة في المنتديات.
7- راقب سجلات الÏانتى كويسLogs في
موقعك متى ما أحسست أن هناك أمر مريب يجري ، سجلات الÏانتى كويسكنز من المعلومات يجدر بك
إستغلاله للأغراض الأمنية أو الإحصائية
8- حدد صلاحيات المشاركات في موقعك ،
اذا كنت تمتلك منتدى فلا تسمح للأعضاء بإضافة وسوم HTML أو جافا سكريبت ، أحدهم قد
يسرق ملفات الكوكيز الخاصة بك بهذه الطريقة !!
إذا لم تكن قادرا على تولي
تنفيذ هذه النصائح الأمنية بنفسك ، فيمكنك إستئجار جهة خارجية لتقوم بذلك عنك ، أحد
أفضل المواقع العربية في هذا المجال هو موقع الحلول الأمنية و المتخصص بتقديم الخدمات الأمنية لأصحاب
المواقع.
الهاكز يا مطوري
تطبيقات الويب !هل سمعت عن XSS ؟ ، هل تعرف ما هي حقن لغة
الإستعلام SQL Injection ، هل قرأت عن إقتحام الجلسات Session Hijacking ، حسنا ،
هل قرأت عن الـ CRLF Injection، ماذا عن الـ Directory Traversal ، و ماذا عن
التلاعب بالمتغيرات Parameters Manipulation ?
حسناً ... هذه الأسئلة ستعطي
إنطباع عن أن الموضوع متشعب جداً ، لم أذكر هنا الا أهم و أشهر أنواع المشاكل و
الثغرات التي يستغلها الهاكرز لتدمير التطبيقات التي تبرمجها ، و اذا كنت لم تسمع
بواحد أو أكثر من هذه المصطلحات ، فأنت في خطر !
بما أن هذا الجزء من
المقالة يهم مطوري المواقع أكثر من غيرهم ، فلن أسهب كثيراً بشرح هذه المصطلحات و
طريقة عملها ، أتوقع أنك كمطور قادر على البحث بنفسك عن تفاصيل هذه المصطلحات و
معرفة ما هو المعني البرمجي لها بالضبط ، عموما ، سأذكر رؤوس أقلام عن هذه
المصطلحات للمهتمين بتنمية ثقافتهم الأمنية في شتى المجالات.
الـ Cross Site Scriptingيطلق
عليها إختصاراً xss وليس CSS تميزاً لها عن صفحات الأنماط المتعددة Cascading Style
Sheet، بإختصار هي نوع من الهجمات التخريبية على تطبيقك يحدث عندما يتمكن أحدهم من
إدخال بيانات مختطلة مع بعض الأوامر في نماذج صفحات موقعك ينتج عن ذلك تشويه شكل
صفحة موقعك أو إظهار رسائل خطأ متكررة عند زيارة الصفحة التي تم تخريبها، أو سرقة
بعض البيانات الحساسة من الزوار أو صاحب الموقع نفسه ! ، تنتج هذه المشكلة نتيجه
عدم فحصك لمدخلات الزوار في النماذج و سماحك لهم بإدخال وسوم HTML أو Java Script
في نماذج الموقع مما يجعلهم قادرين على تلويث صفحات موقعك بشيفرات ليست جزء من
شيفرة تطبيقك الذي كتبته ! يمكن للهاكر أيضاً العبث في المتغيرات التي يمررها
تطبيقك عن طريق عناوين URL و إضافة أجزاء اليها تجعله قادر على السيطرة جزئيا أو
كلياً على تطبيقك ، أو على الأقل تشويه شكل التطبيق ، لعلك تتذكر عزيزي القارئ
الثغرة التي كان مصاب بها نظام بريد الـ Hotmail قبل سنتين تقريبا ، و التي كانت
تسمح للهاكر بقراءة صندوق البريد الوارد للضحية ، تلك الثغرة كانت تصنف تحت الـ XSS
!
الـ SQL
Injectionتحت هذه النقطة سأحيلك عزيزي القارئ إلى مقالة كتبتها
سابقا عن هذا الموضوع بالتحديد ، المقالة هي : الـ SQL Injection سلاح الدمار الشامل ضد تطبيقات الويب ، أتمنى
أن تستمتع بقراءة تلك المقالة ، الموضوع خطير و يستحق مقالة منفردة.