Category: Websites Security
Hits: 9821

English article : https://khalil-shreateh.com/khalil.shtml/index.php/websites/websites-security/1255-cross-site-request-forgery-csrf-exploit-and-prevention.html

 

 

ثغرات الخداع او التحايل عبر الموقع 

اولا : ماهي ثغرات التحايل عبر الموقع 

ثغرات التحايل او الخداع عبر الموقع هي تلك النوع من الهجمات التي تحدث عندما تتصفح موقع ضار او يصلك عبر البريد الاكتروني او تقوم بتنصيب تطبيق ما، بحيث يقوم متصفحك

بتنفيذ عمليات غير محببة وبشكل خفي لا تعلم عنه انت على موقع مسالم او موثوق به، هذه الهجمات في الغالب تكون لصالح الشخص المهاجم او الهكر او على حد ادنى هجمات ضارة بالموقع قد تتسبب في حجبه عن المستخدمين . 

سبب وجود او برمجه هذه الثغرات تكون نتيجة فضح الكود المصدري للنظام او الموقع, بالتالي يمكن للمخترق ان يقوم ببرمجه اكواد خبيثة، قد تكون عملية الاختراق مثل تحويل بنكي من حسابك الى حساب شخص اخر، سرقة بيانات بطاقتك اعتمادك، تغيير كلمة المورو، اضافة مستخدم جديد للنظام او الموقع ... الخ

 

ثانيا: كيفية استغلال ثغرات التحايل عبر الموقع

ثغرات التحايل عبر الموقع مبدأ عملها من خلال جعل متصفح الضحية يقوم بعمليات لا يرغب بها وبدون علمه لصالح المخترق، خطورة هذه الثغرة تتفاوت حسب البرمجية الخبيثة التي

تمت برمجة الثغرة عليها. 

 

 
مثلا : لنفرض ان لديك حساب على الفيسبوك , ومن خلال حسابك تمتلك صفحة للشركة التي تعمل بها انت بحيث لديك صلاحية مدير على الصفحة، وفي تلك الصفحة لديك مليون معجب ومتابع. 
هنا قد يقوم المخترق بعمل برمجية خبيثة ومن ثم دمج هذه البرمجية في صفحة عرض فيديو او صور او شيئ  اخر ترغب في قراءته او مشاهدته انت، وبعدها يقوم المخترق برفع هذه البرمجية على موقع ما ومن ثم يقوم بارسال رابط الصفحة اليك او بادراجه كتعليق في منشورك و بعدها قد يكون لديك الهاجس الكافي للدخول الى هذه الصفحة . 
 
بعد دخولك الى الرابط او الموقع وتصفح هذه تلك الصفحة، واثناء مشاهدتك لفيديو او صور او خبر ما، فان البرمجية الخبيثة داخل تلك الصفحة تقوم بطلب اضافة حساب المخترق كمدير لصفحتك على الفيسبوك، بالتالي تتعرض الى الاختراق . 
 
المثال السابق فقط لدواعي الشرح, لان الفيسبوك لديه حماية كافيه ضد مثل هذا النوع من الثغرات . 
 
ثالثا: كيفية الوقاية من ثغرات التحايل عبر الموقع
 
بالنسبة لك كمبرمج او مطور مواقع يمكنك استخدام اساليب برمجية متنوعة للوقاية من مثل هذه الثغرات 
استخدام الجلسات مع عملية تحويل بين الصفحات هو ابرز حل او علاج لمثل هذه الثغرات . 
 
 
الفيديوهات التالية تشرح الثغرة وكيفية استغلالها و الحماية منها 
 
 
الجزء الاول 
 
 
 
الجزء الثاني
 
 
 
في امان الله