ما تريد معرفته عن OWASP Top 10

Security

Feb. 20, 2023, 3 p.m.

بعد أن تحدثنا في مقالتين سابقتين عن (دليلك لتحديد مسارك في اختبار الاختراق) وبعدها في (اختبار اختراق تطبيقات الويب)، نعود لكم بمقالة عن أشهر قائمة مستخدمة في اختبار اختراق تطبيقات الويب.

OWASP (Open Web Application Security Project)

OWASP هو اختصار لـ Open Web Application Security Project وتعني مشروع أمان تطبيق الويب المفتوح، وهي مؤسسة أو مشروع غير ربحي تأسست عام 2001 تقوم بتكريس جهودها علي هدفها الوحيد وهو تحسين ورفع كفاءة أمان التطبيقات، حيث أن لديها 32000 متطوع في جميع أنحاء العالم يقومون بإجراء بحوثهم الأمنية، وتتضمن مشاريعهم عدداً من برامج التطوير والأدوات مفتوحة المصدر والفعاليات والمؤتمرات، ولكن قد يكون مشروعهم الأكثر شهرة هو OWASP Top 10.

OWASP Top10

تعد OWASP Top 10 قائمة لتصنيف أهم 10 ثغرات لتطبيقات الويب، حيث يتم تصنيف المخاطر بناء على مدى خطورة الثغرات، كما أنها أيضاً تقوم بإعطاء بعض النصائح لكيفية تجنب مثل هذه الثغرات، وذلك ما يساعد مختبري الاختراق والمطورين أثناء عملهم مما يقلل انتشار هذه الثغرات الأمنية.

لماذا يعتبر OWASP Top 10 مهماً؟

قامت OWASP بنشر قائمة Top 10 لأول مرة عام 2003 كما أنها تقوم بتحديثها كل عامين أو ثلاث سنوات لتعكس التطورات في أمن تطبيقات الويب، حيث بالنسبة للعديد تُعد المرجع الأول لاختبار اختراق تطبيقات الويب، كما أنها تُعد قائمة إرشادات مهمة أثناء عملية التطوير، حيث يعتبر دمجها في عملية تطوير التطبيقات (SDLC) من الممارسات الجيدة لضمان إنتاج تطبيقات ذات كفاءة أمنية مضاد للثغرات الأمنية الشائعة.

قائمة OWASP Top 10

آخر تحديث للقائمة تم إصداره في العام 2021 ويحتوي على:

Broken Access Control

يكون هدف أنظمة التحكم في الوصول (Access Control) في ضمان وصول المستخدمين الشرعيين فقط إلى البيانات أو الوظائف المطلوبة، ولكن ماذا يحدث إذا وصل مستخدم لا يحق له الوصول إلى تلك البيانات؟ هذا هو الـ Broken Access Control فهي نقطة ضعف تسمح لمستخدم لا يحق له الوصول لتلك البيانات بتجاوز عناصر التحكم، علي سبيل المثال الوصول لبيانات مستخدم آخر عن طريق تغير الـ ID الخاص بالمستخدم.

ما تريد معرفته عن Broken Access Contol

Cryptographic Failures

خصوصية البيانات وأمنها لا تقدر بثمن للمحافظة علي ثقة المستخدمين، يحدث فشل التشفير (Cryptographic Failures) أو كما كان يعرف في قائمة OWASP Top 10 للعام 2017 بـ (Sensitive Data Exposure) عند الحفاظ علي البيانات دون تشفير (Plain Text) أو استخدام خوارزميات تشفير ضعيفة قابلة للكسر أو علي سبيل المثال تكرار استخدام الـ (Salt Value) عند تشفير كلمات المرور.

ما تريد معرفته عن Cryptographic Failures

Injection

لا تثق أبداً وإطلاقاً بمدخلات المستخدمين حيث تصبح ثغرات الحقن (Injection) خطراً يهدد أمان تطبيق الويب، تمكن ثغرات الحقن المهاجمين بإدخال بيانات واستعلامات ضارة تؤدي لإتاحة الوصول إلى بيانات حساسة، وأشهر مثالين علي هذا النوع هما الـ SQL & XSS Injections.

ما تريد معرفته عن Injection Attacks

Insecure Design

بينما تتعامل العديد من الثغرات الأمنية مع أخطاء في التنفيذ، هنا يختلف الوضع لتصف هذه الثغرة فشلاً في التصميم لعدم وجود ضوابط الأمان أو الضوابط غير الفعالة، حيث يتم إنشاء التطبيق دون مراعاة لأي معايير أمنية.

ما تريد معرفته عن Insecure Design

Security Misconfiguration

للإعدادات الأمنية غير المكتملة العديد من الأمثلة مثل وجود منافذ (Ports) مفتوحة غير ضرورية أو عدم حذف الحسابات الافتراضية أو رسائل الأخطاء التي تحتوي علي كثير من المعلومات التي قد يساء استخدامها.

ما تريد معرفته عن Security Misconfiguration

Vulnerable and Outdated Components

تتعرض تطبيقات الويب لهذا النوع من الثغرات عند استخدام مكونات ومكاتب برمجية غير محدثة أو غير مدعومة من قبل المطورين مما يجعل تطبيق الويب عرضة للهجمات التي تقوم باستغلال تلك المكونات.

ما تريد معرفته عن Vulnerable and Outdated Components

Identification and authentication failures

تطلب العديد من تطبيقات الويب إثباتاً للهوية للتحقق من المستخدم لتسمح له باستخدام خدامتها، هنا يأتي خطر فشل التحقق من الهوية مما يسمح للمهاجم الوصول لكلمات المرور والجلسات، وذلك يحدث عند استخدام عملية مصادقة ضعيفة للهوية أو عدم استخدام مصادقة متعددة العوامل (MFA).

ما تريد معرفته عن Identification and Authentication Failures

Software and Data Integrity Failures

يعتمد العديد من تطبيقات الويب علي الـ Plugins وLibraries وCDNs والتي ربما قد تكون من مصادر غير موثوق فيها والتي تقوم بإرسال التحديثات تلقائياً دون الرجوع لتطبيق الويب ليتأكد من سلامة التحديثات، ذلك ما قد يؤدي إلى وجود تحديثات ضارة تعرض تطبيق الويب سلامة بياناته لانتهاكات أمنية، وذلك ما حدث علي سبيل المثال مع SolarWinds عندما تم اختراق الـ Monitoring System المستخدم في إرسال التحديثات لعملائها الخاص بها وذلك ما أدى لتسريب أدوات الـ Red Team الخاصة بـ FireEye نتيجة التحديثات التلقائية لـ SolarWinds.

ما تريد معرفته عن Software and Data Integrity Failure

Security Logging and Monitoring Failures

يؤدي الافتقار إلى سجلات الأمان والمراقبة للسماح بمرور انتهاكات أمنية دون أي ملاحظة، مما يؤدي إلى فشل فرق التحقيق والاستجابة للحوادث لعدم وجود سجلات أو عدم وجود المحتوى الكافي الذي يتم تخزينه في السجلات أو أن السجلات تعرضت للحذف أو التعديل نتيجة عدم تأمينها بشكل كاف.

ما تريد معرفته عن Security Logging and Monitoring Failure

Server-Side Request Forgery (SSRF)

عند القيام بإرسال طلب مزور عن طريق السيرفر لـ End Point غير متوقعة دون التحقق من صحة الـ URL، قد تكون بداخل السيرفر واستخدامه كجهة موثوق فيها أو خارجه للوصول إلى معلومات لا يجب الوصول إليها، رغم أن ثغرات الـ SSRF نادرة نسبياً إلا أن لها تأثيراً كبيراً إذا تم التعرف عليها واستغلالها.