ثغرات البنية التحتية

حالة استخدام

بينما يركز مسار التعلّم هذا على أمان تطبيقات الويب، تعمل تطبيقات الويب بالإضافة إلى العديد من أجزاء البنية التحتية للبرمجيات. ستؤدي أي ثغرة أمنية في البنية التحتية الخاصة بالتطبيق إلى تعريض التطبيق للخطر، وبالتالي فإن فهم بعض أمن البنية التحتية جزءٌ من فهم أمن التطبيقات. عند فحص تطبيق ويب إما لأغراض تقييم الثغرات الأمنية أو الرقابة الأمنية أو لفحص ثغرة، يجب على الممارس فهم المجموعة الأساسية من التكنولوجيات التي توفر البيئة اللازمة لتشغيل التطبيق أثناء البحث عن ثغرات في تلك المجموعة.

الأهداف

بعد استكمال هذا الموضوع الفرعي، يجب أن يكون الممارسون قادرين على القيام بما يلي:

• الإلمام بالأنواع الشائعة من ثغرات برامج البنية التحتية
• فهم الآثار المحتملة لهذه الأنواع من الثغرات
• فهم أساسيات أطر الثغرات

الموضوع الفرعي 1: ثغرات البنية التحتية

بينما يركز مسار التعلّم هذا على أمان تطبيقات الويب، تعمل تطبيقات الويب بالإضافة إلى العديد من أجزاء البنية التحتية للبرمجيات. ستؤدي أي ثغرة أمنية في البنية التحتية الخاصة بالتطبيق إلى تعريض التطبيق للخطر، وبالتالي فإن فهم بعض أمن البنية التحتية جزءٌ من فهم أمن التطبيقات. عند فحص تطبيق ويب إما لأغراض تقييم الثغرات الأمنية أو الرقابة الأمنية أو لفحص ثغرة، يجب على الممارس فهم المجموعة الأساسية من التكنولوجيات التي توفر البيئة اللازمة لتشغيل التطبيق أثناء البحث عن ثغرات في تلك المجموعة. الأهداف

بعد استكمال هذا الموضوع الفرعي، يجب أن يكون الممارسون قادرين على القيام بما يلي: الإلمام بالأنواع الشائعة من ثغرات برامج البنية التحتية فهم الآثار المحتملة لهذه الأنواع من الثغرات فهم أساسيات أطر الثغرات

العرض

المعرفة الأساسية

لا توجد مواقع ويب لا تتمتع ببعض البرامج والأجهزة الأساسية التي تهتم بالعمليات منخفضة المستوى لمعالجة الطلبات التي تخدم محتوى الويب، ويشمل ذلك الأجهزة والبرامج الثابتة الأساسية ونظام التشغيل وبرامج خادم الويب وإطار (أو أطر) تطبيقات الويب وحتى البرامج غير ذات الصلة التي تعمل على الجهاز. يعتمد أمان تطبيق الويب على أمان هذه البنية التحتية حتى لو كان ما يتمتع به مطورو موقع الويب من إمكانية المشاهدة أو التحكم قليلًا في هذه البنية التحتية. تُؤثر ثغرات في البنية التحتية عادةً على عدد كبير من مواقع الويب (ربما مئات الملايين)، وغالبًا ما تُعين معرّفات مثل الثغرات الأمنية والتعرضات الشائعة (لأجل تعريف أكثر عمومية لماهية الثغرات الأمنية والتعرضات الشائعة راجع هذه(المقالة)

يمكن أن تنتمي هذه الثغرات إلى أي فئة تقنية تقريبًا ولكن من وجهة نظر مشغل موقع الويب نهتم فقط بتأثيرها وليس بالتفاصيل التقنية الأساسية، وذلك لأننا لا نقوم بصيانة برامج البنية التحتية وإنما نقوم فقط بنشرها وتكوينها. يُمكن أن يكون تأثير الثغرات في برامج البنية التحتية أي شيء تقريبًا، ولكن بعض المشكلات والتأثيرات التي من المحتمل أن تظهر تشمل الأنواع أدناه:

حجب الخدمة

قد تسمح الثغرة الأمنية للمهاجم بتوقف خادم الويب أو التسبب في عدم استجابته بسبب فرط استهلاك الموارد، وعادةً ما يجري استغلال ثغرات هذه للتسبب بتوقف عمل موقع الويب أو للابتزاز والمطالبة بالأموال من مشغلي مواقع الويب كجزء من عملية عصابة تستهدف الحماية. لاحظ أنه يمكن لمهاجم يتحلى بالإصرار والتمويل في كثير من الأحيان استئجار الوقت على شبكة روبوتات من أجهزة الكمبيوتر المخترقة لإرباك موقع الويب من خلال عدد كبير من الطلبات دون الحاجة إلى ثغرة أمنية، وتتضمن بعض الأمثلة على نقاط ضعف حجب الخدمة ما يلي:

• CVE-2011-3192: ثغرة أمنية في أباتشي (Apache) حيث يمكن للعميل طلب أقسام فرعية متعددة من صفحة ويب مما يؤدي إلى استهلاك قسم كبير من الذاكرة على الخادم.
• MS ADV190005 : تسمح الثغرة الأمنية في خدمات معلومات الإنترنت من مايكروسوفت (Microsoft) للمهاجم بإرسال عدد كبير من متغيرات الإعدادات في طلب HTTP/2 مما يتسبب في استهلاك 100٪ من وحدة المعالجة المركزية على الخادم.

تسريب المعلومات

في بعض الأحيان يمكن إجبار خادم الويب على الرد بكمية مفرطة من البيانات، وعادةً ما يكون ذلك بسبب قيام الخادم بتخصيص جزء كبير من الذاكرة ثم كتابة البيانات جزئيًا فقط في ذلك الجزء ثم إرسال الجزء بأكمله إلى العميل. يمكن أن يحتوي جزء هذه الذاكرة غير المهيأ على بيانات من طلبات أو استجابات أخرى أو حتى ذاكرة داخلية من خادم الويب، ومن المحتمل أن تكون أشهر هذه الثغرات هي هارت بليدHeartbleed (CVE-2014-0160) يمكن استخدام هذه الثغرات لسرقة الرموز المميّزة للجلسة (مما يسمح للمهاجمين بانتحال شخصية مستخدمين آخرين)، وهويات الجهاز في البيئات السحابية (مما يسمح للمهاجمين بالوصول إلى الخدمات السحابية الأخرى مثل خادم ويب)، ومفاتيح طبقة مآخذ توصيل آمنة الخاصة (مما يسمح للمهاجمين بانتحال هوية خادم الويب وإطلاق هجمات الشخص الأوسط) وأي بيانات أخرى موجودة في ذاكرة عملية خادم الويب.

تنفيذ التعليمات البرمجية عن بُعد

هذا النوع هو الأكثر نموذجية بين ثغرات البنية التحتية، ويحدث ذلك بشكل شائع عندما يتمكن طلب المهاجم من استبدال هياكل التحكم في تدفق البيانات في ذاكرة الخادم مما يتسبب في قيام الهدف بتنفيذ التعليمات البرمجية للآلة التي يحددها المهاجم. لحسن الحظ سمحت سنوات من الاختبار والإصلاح اللاحق وتحسينات ممارسات كتابة التعليمات البرمجية الآمنة بجعل الثغرات نادرة في التكوينات الافتراضية لبرامج البنية التحتية للخوادم شديدة النضوج مثل أباتشي وخدمات معلومات الإنترنت، ولكنها أكثر شيوعًا في التكوينات غير الافتراضية للبرامج الشائعة وفي البرامج الأقل نضجًا.

وفيما يلي مثالان من عام 2023 (المثال 1,المثال 2). لاحظ أنه على الرغم من أن تجاوزات سعة المخزن المؤقت قد تكون الطريقة الكلاسيكية للتسبب بتنفيذ التعليمات البرمجية عن بُعد إلا أن هناك طرقًا أخرى للقيام بذلك أيضًا، وكما هو الحال بالنسبة لجميع ثغرات البنية التحتية نهتم في معظم الأحيان بشكل أساسي بالتأثير وما إذا كان الحل متاحًا في حين نهتم أقل بالتفاصيل التقنية.

تخفيف الثغرات في برامج البنية التحتية

عادةً ما تُكتشف برامج البنية التحتية التي تعاني من ثغرات أمنية من خلال برامج فحص الثغرات الأمنية (هناك العديد من الأمثلة على هذه البرامج، انظر هذه القائمة)

أو الإخطارات من البائعين أو أنظمة إدارة التكوين أو عن طريق الفحص اليدوي للبرنامج المنشور على الخادم. حسب بيئة الخادم قد تتم إدارة هذا البرنامج بالكامل من قبل طرف ثالث أو يتم تحديثه تلقائيًا بواسطة وكلاء البرامج أو عمليات النشر أو تتم إدارته يدويًا، وعادة إذا تم تطبيق تحديث لتصحيح ثغرة أمنية يمكن للمهاجمين إجراء هندسة عكسية للتصحيح لاكتشاف آلية الثغرة الأمنية الأساسية ولذلك من المهم إبقاء برامج البنية التحتية محدّثة.

اختبار مهارة

ابحث عن اثنتين من الثغرات الأمنية والتعرضات الشائعة المدرجة على https://www.opencve.io/cve أو قاعدة بيانات أخرى للثغرات الأمنية والمخاطر العامة اختر تلك التي تم وصفها بشكل متعمّق (عادة ما ترتبط قواعد بيانات الثغرات الأمنية والتعرضات الشائعة بالمقالات الخارجية التي تحتوي على مثل هذه التفاصيل) ولها تصنيف ثغرة. نظرًا لأنه يمكن أن تكون الثغرات الأمنية والتعرضات الشائعة في كثير من الأحيان تقنية للغاية، ويجب أن نحدد تلك التي تتعامل مع موضوع أو تقنية ترتاح لاستخدامها ثم حاول الإجابة على الأسئلة التالية:

بشكل عام ما هو موضوع الثغرات الأمنية والتعرضات الشائعة؟ ما هو العيب أو الثغرة الأمنية التي يمكن للمهاجم استغلالها؟ هل تعرف أي أشخاص أو منظمات يمكن لمتطفل أن يستغل أنظمتها باستخدام الثغرات الأمنية والتعرضات الشائعة هذه؟ ماذا لو تم الجمع بين الثغرات الأمنية والتعرضات الشائعة وثغرات الأخرى؟ لماذا تعتقد أن الثغرات الأمنية والتعرضات الشائعة حصلت على الدرجة المحددة لها؟

بعد أن تبحث عن اثنتين من الثغرات الأمنية والتعرضات الشائعة التي ترى أنها مثيرة للاهتمام، يمكنك البحث في قاعدة بيانات الثغرات الأمنية والتعرضات الشائعة عن منتج تقني تُشغله أنت أو الأشخاص الذين تدعمهم وانظر الثغرات الأمنية والتعرضات الشائعة الأخيرة الموجودة ومرة أخرى أجب عن الأسئلة المذكورة أعلاه.

إذا كنت تستضيف خادم ويب بنفسك ابحث عن الثغرات الأمنية الحديثة، وإذا كنت تعمل على شيء مثل دروبل أو ووردبرس من خلال مزود طرف ثالث تحقق من ثغرات تلك الخدمات أيضًا ومن خلال لوحة التحكم الخاصة بمزودك (سيكون لكل مزود خدمة مختلفة قليلًا) لذا تأكد من تشغيلك أحدث الإصدارات من تلك الأدوات.

وإذا كان ذلك ممكنًا ناقش إجاباتك على هذه الأسئلة مع زميل أو مرشد يساعد في التحقق من فهمك للموضوع بشكل صحيح.

موارد التعلّم