ورغم امتلاك مطوري البرامج والمبرمجين اليوم بعض المعرفة في مجال الأمن السيبراني، إلا أن هناك متخصصين في هذا المجال قادرين على اكتشاف الثغرات الأمنية الخطيرة.
في نهاية المطاف، يجب أن يتضمن تصميم أي موقع إلكتروني نظامًا آمنًا منذ البداية لتجنب ترك أي ثغرات يستغلها مجرمو الإنترنت.
لحسن الحظ، في عالم المصادر المفتوحة يمكنك العثور على أدوات رائعة ستخبرك بالأخطاء التي قد تكون موجودة على موقعك الإلكتروني، بالإضافة إلى اكتشاف الثغرات الأمنية التي لم تكن مرئية في البداية.
إحدى هذه الأدوات، المتاحة مباشرةً دون تسجيل وعبر متصفح الويب من خلال هذا الرابط، هي أداة Web Check، التي طورتها أليسيا سايكس، مهندسة برمجيات مقيمة في لندن، خصيصًا للمجتمع.
بفضلها، يُمكن للمستخدمين الراغبين في استكشاف أي تفاصيل تخص مواقعهم الإلكترونية، دون الحاجة إلى استخدام واجهات سطر الأوامر، القيام بذلك بسهولة تامة من خلال واجهة رسومية عصرية، مصممة بشكل احترافي، وذات جودة عالية.
- هكذا يرى المهاجمون موقعك الإلكتروني
على الرغم من أن برنامج Web Check مفتوح المصدر، إلا أنه مدعوم من Terminal Trove، الذي يضم العديد من الأدوات لمبرمجي المحطات الطرفية عبر مختلف لغات البرمجة والتراخيص وأنظمة التشغيل.
وبالتحديد، تُحلل هذه الأداة مفتوحة المصدر رابط الويب الذي ترغب في فحصه مباشرةً، وهو أمر بالغ الأهمية إذا كنت تشك في أن نطاقًا ما قد يكون خبيثًا، أو لفرق اختبار الاختراق التي تُجري اختبارات لتحسين أمان الخدمة.
ولفهم آلية عملها، وبما أنني مقيم بإسبانيا ومن باب الفضول قمت بفحص موقع مصلحة الضرائب الإسبانية (Agencia Tributaria Española) مباشرةً، وعلى الرغم من كونها مؤسسة وطنية حيوية، إلا أنها تتبع بعض الممارسات الأمنية التي قد تُعتبر محفوفة بالمخاطر.
كما ترون في لقطة الشاشة أعلاه، فإن أول ما يلفت الانتباه هو أنه يحتوي على شهادة SSL عالية الأمان؛ عمليًا، هذا هو القفل الذي يظهر في متصفحك، وفي هذه الحالة، مع 4096 بت، وهو معيار عالٍ جدًا.
بالإضافة إلى ذلك، يمكن ملاحظة أنه يحتوي على حماية ضد اختطاف النقرات (X-Frame-Options)، وهو نوع من الجدار للمجرمين الإلكترونيين الذين يقومون بإنشاء مواقع ويب مزيفة من هذا النوع، مما يمنعك من النقر في الأماكن التي لا ينبغي لك النقر فيها.
بشكل أساسي، لدى موقع مصلحة الضرائب الإسبانية توجيه SAMEORIGIN، الذي يمنع بشكل صارم أي موقع ويب خارجي من تحميل أي صفحة أخرى من داخل هذا النطاق.
- كيفية اكتشاف نقاط الضعف في موقع ويب باستخدام أداة Web Check
لاستعراض المشكلات التي قد تُعرّض أمن المواقع الإلكترونية للخطر، سنعود إلى مثال موقع مصلحة الضرائب الإسبانية الذي حللت أعلاه ، مُسلطين الضوء على عدة جوانب تحتاج إلى تحسين.
على سبيل المثال، ستلاحظ عدم تفعيل جدار حماية تطبيقات الويب (WAF) حاليًا. قد يُشير هذا إلى أحد أمرين: إما أنهم أغفلوا ذلك، وهو أمر مستبعد، أو أنهم يستخدمون نظام أمان داخليًا خاصًا بهم، مخفيًا عن أدوات الكشف.
بالإضافة إلى ذلك، يُنصح بمراجعة بروتوكول DNSSEC (امتدادات أمان نظام أسماء النطاقات)، الذي يضمن عدم إعادة توجيه المستخدم إلى نطاق ضار، ما يمنع، على سبيل المثال، تسميم ذاكرة التخزين المؤقت.
في حالة موقع مصلحة الضرائب الإسبانية، تظهر هذه القيمة على أنها خاطئة، مما يعني أن مجموعة منظمة من دولة أخرى قد تتمكن بسهولة من إعادة توجيه المستخدمين إلى مواقع ويب مزيفة، مع ما يترتب على ذلك من خطر تسريب البيانات الشخصية.
علاوة على ذلك، تفتقر هذه المواقع إلى إعدادات أمان أساسية، مثل رأس xContentTypeOptions، الذي يُحدد للمتصفح نوع الملف الذي يحاول تنزيله؛ فإذا أخطأ المتصفح في تحديد نوع الملف، فقد يؤدي ذلك إلى اختراقات أمنية.
بالإضافة إلى ذلك، يغيب ملف security.txt، وهو معيار عالمي تستخدمه مختلف المؤسسات لتحديد الثغرات الأمنية أثناء تحقيقات خبراء الأمن السيبراني الذين يبحثون عن نقاط الضعف الأمنية، وهو ضروري لمعرفة الجهة التي يجب إبلاغها بسرعة وسرية.
في الختام، يعد Web Check أداة فحص بالأشعة السينية لأي موقع ويب، وبفضل مطوره، من الواضح أنه تم صقله بشكل كبير وهو مناسب لبدء أي تحقيق أمني.
- الرابط Web Check
ليست هناك تعليقات:
إرسال تعليق