الوحدة 3
المصادقة والتخويل
آخر تحديث في: 28 ديسمبر 2024
GitHub تعديل هذه الصفحة علىحالة استخدام
ستسمح العديد من تطبيقات الويب لمستخدمين معينين فقط بمشاهدة أجزاء معينة من المحتوى وتطلب منهم تسجيل الدخول أو إثبات هويتهم بطرق أخرى، وغالبًا ما يحاول المتطفلون الذين يرغبون في الوصول إلى البيانات الحساسة تجاوز هذه القيود ويحاولون مشاهدة المعلومات التي لا يُسمح لهم برؤيتها. يبحث هذا الموضوع الفرعي في فكرة المصادقة والتخويل والثغرات المحتملة فيها.
الأهداف
بعد إكمال هذا الموضوع الفرعي، سيتمكن الممارسون من العثور على ثغرات في تطبيقات الويب تسمح لهم بتجاوز أنظمة المصادقة الخاصة بتلك التطبيقات جزئيًا أو كليًا أو إساءة استخدام المصادقة للكشف عن معلومات حول مستخدمي الموقع.
يجب أن يكونوا قادرين أيضًا على العثور على الأنواع التالية من الثغرات واستغلالها:
- المصادقة
- التخويل
العرض
ما هي ثغرات المصادقة والتخويل؟
تعتبر المصادقة والتخويل وجهين للعملة ذاتها وتتمثل مهمتهما الرئيسية في المقام في حماية سرية وسلامة البيانات في التطبيق، حيث إن المصادقة هي عملية التحقق من أن المستخدم هو من يدعيه، في حين يضمن التخويل أن المستخدم يتمتع بالوصول فقط إلى البيانات والإمكانيات التي من المفترض أن تكون لديه. في حين أن هجمات التحقق من صحة البيانات قد تسمح للمهاجم بالتحايل على آليات ضبط الوصول في التطبيق (على سبيل المثال، تنزيل قاعدة بيانات بأكملها باستخدام حقن لغة الاستعلامات البنيوية) تعمل ميزات المصادقة والتخويل على تنفيذ ضوابط الوصول بشكل مباشر.
المصادقة
بالنسبة للتطبيقات التي لا تعتمد على طرف ثالث (على سبيل المثال، تسجيل الدخول باستخدام غوغل أو فيسبوك أو ما إلى ذلك) للأجل المصادقة، عادة ما تستخدم أنظمة المصادقة الخاصة بها، ولسوء الحظ تُعدّ مصادقة المستخدم أمرًا دقيقًا وأيضًا مهمًا للغاية. وبالتالي من المحتمل وجود نقاط ضعف خفية و/أو كارثية في أنظمة المصادقة حيث يرتكب المطورون نفس الأخطاء مرارًا وتكرارًا. على الرغم من أن النطاق المحتمل للثغرات غير محدود، هناك أنواع ثغرات شائعة سنستكشفها في هذا الموضوع الفرعي.
توجه إلى موضوع المصادقة لدى أكاديمية بورت سويغر واستكمل القراءة والمخابر.
التخويل
من النادر جدًا أن توفر أطر تطبيقات الويب تلقائيًا خدمات التخويل للمطورين ولذلك يتعين على هؤلاء المطورين تنفيذ أنظمتهم الخاصة بما يضمن اتساقها. وعلى الرغم من كون ضوابط التخويل بسيطة للغاية يسهل جدًا إغفالها في بعض الأماكن. يُعد اختبار ضوابط التخويل بسيطًا من حيث المفهوم مثل حال تنفيذ هذه الضوابط ولكنه يتطلب اتساقًا عاليًا جدًا.
بشكل عام تنقسم ضوابط التخويل إلى رأسية وأفقية، حيث يضمن التخويل الرأسي أن يتمتع المستخدمون فقط بالصلاحيات التي تم تخويلهم بالوصول إليها. من الأمثلة على ذلك أن مقدمي الطلبات على نظام التذاكر عبر الإنترنت لا ينبغي أن يكونوا قادرين على الوصول إلى واجهة المسؤول. في حين يضمن التخويل الأفقي أن يكون المستخدمون قادرين فقط على الوصول إلى البيانات التي تم تخويلهم بالوصول إليها. من الأمثلة على ذلك وجوب تمكّن مقدمي الطلبات في نظام التذاكر من الاطلاع على سجل التذاكر الخاص بهم ولكن ليس سجل تذاكر الآخرين.
أثناء اختبار منح التخويل من الفعّال جدًا فتح عدة ملفات تعريف متصفح (أو حتى متصفحات مختلفة) في وقت ذاته مع تسجيل دخول مستخدم مختلف في كل واحد منها. بهذه الطريقة إذا كنت تريد معرفة ما إذا كان المستخدم “أ” لديه حق الوصول إلى صفحة يجب أن يتمكن المستخدم “ب” فقط من رؤيتها، فيمكنك ببساطة لصق عنوان موقع الويب في جلسة متصفح المستخدم “أ”، علمًا أنه يمكن استخدام أنواع فحص أخرى (مثل طلبات بوست (POST)) ولكنها لا يزال من الأسرع بكثير استخدام ملفات تعريف متصفح متعددة.
توجه إلى موضوع ضبط الوصول في أكاديمية بورت سويغر وأكمل القراءة والمخابر.
اختبار مهارة
تحتوي أكاديمية بورت سويغر على سلسلة من المخابر التي يمكنك استخدامها لاختبار مهاراتك والتحقق منها ولكل موضوع من المواضيع التالية، أكمل 1-3 من مختبرات مستوى “الممارس”:
إذا كنت تعمل مع زميل أو مرشد اشرح له كيفية عمل كل هجوم وكيف ستبحث وتثبت إمكانية استغلال نقاط الضعف المماثلة في الموقع الذي كنت تفحصه.
تهانينا على إنهائك الوحدة 3!
حدد خانة الاختيار لتأكيد إكمالك والمتابعة إلى الوحدة التالية.
تحديد الوحدة الحالية على أنها مكتملة وحفظ التقدم للمستخدم.
🎉
تهانينا!
لقد أكملت جميع الوحدات في مسار التعلم هذا.