اختبار اختراق تطبيقات الويب (Web Application Penetration Testing)

اختبار اختراق تطبيقات الويب (Web Applications Penetration Testing)

هي عبارة عن محاكاة للهجمات التي يمكن أن تلحق الضرر بتطبيقات الويب، حيث يقوم مختبر الاختراق بالنظر إلى تطبيق الويب من منظور المهاجم، لتحديد الثغرات ونقاط الضعف الأمنية التي قد يتم استغلالها، وذلك بهدف تقييم تطبيق الويب مع تحديد إذا ما كان تطبيق الويب معرضاً للخطر أو لا، ويشمل اختبار اختراق تطبيقات الويب بشكل عام:

-    اختبارات الحقن (Injections) بأنواعها
-    اختبارات التحقق من الهوية (Authentication Verify)
-    اختبارات التحقق من صلاحيات الوصول (Access Control)
-    اختبارات الاعدادت الأمنية غير المكتملة (Security Misconfigurations)
-    اختبارات التحقق من أمان خادم الويب وقاعدة البيانات  (Database & Web Server Security)

يوجد العديد من طرق اختبار الاختراق التي قد تؤدي إلى اكتشاف ثغرات في تطبيقات الويب تهدد أمانها سنتحدث عنها لاحقا بالتفصيل كل على حدة.

منهجيات اختبار اختراق تطبيقات الويب (Web Applications Penetration Testing Methodologies)

يوجد العديد من المنهجيات والأساليب التي تستخدم بشكل شائع من قبل مختبري الاختراق لتحديد ما إذا كان تطبيق الويب آمنا.

OWASP (Open Web Application Security Project)

يعتبر المرجع الأول لمختبري اختراق تطبيقات الويب، هدف OWASP هو العمل علي رفع درجة الأمان لتطبيقات الويب من خلال OWASP Top 10 وهي قائمة تضم أعلى 10 تهديدات قد تعرض تطبيق الويب لخطر الاختراق، ويتم تحديث القائمة بانتظام.

وتشمل القائمة الأخيرة التي صدرت في 2021:

-    Broken Access Control
-    Cryptographic Failures
-    Injections
-    Insecure Design
-    Security Misconfiguration
-    Vulnerable and Outdated Components
-    Identification and Authentication Failures
-    Software and Data Integrity Failures
-    Security Logging and Monitoring Failures
-    Server-Side Request Forgery

اقرأ أيضاً: ما تريد معرفته عن OWASP Top 10

PCI DSS (Payment Card Industry Data Security Standard)

يعتبر المعيار العالمي الذي يضمن بقاء بيانات الدفع الإلكتروني آمنة، حيث يساعد في تقليل الانتهاكات التي قد تتسبب في تسريب بيانات البطاقات الاتمانية، مما يحسن ثقة المستخدمين في استخدام بطاقاتهم إلكترونيا مع المؤسسات التي تتبع تلك المعايير في معاملاتهم المالية.

ويتكون PCI DSS من مجموعة من المعايير التي تم تشكيلها بواسطة MasterCard وVisa وJCB International وDiscover Financial Services وAmerican Express في عام 2004، حيث تم تحديدهم في 12 متطلباً للتعامل مع بيانات البطاقات ولحفاظ علي الشبكة آمنة:

-    Install and maintain a firewall
-    Proper Password Protections
-    Protect stored cardholder data
-    Encrypt Transmitted Data
-    Use and Maintain Anti-Virus
-    Develop and maintain secure systems
-    Restrict access to cardholder data
-    Unique IDs for Access
-    Restrict physical access to cardholder data
-    Create and Maintain Access Logs
-    Regularly test security systems
-    Document Policies

اقرأ أيضاً: معايير حماية البيانات ISO-27001 و PCI-DSS فى حفظ المعلومات

ISSAF (Information Systems Security Assessment Framework)

تهدف ISSAF إلى توفير دليل شامل في اختبار الاختراق، تم دعمه من قبل (OISSG– Open Information Systems Security Group) ، وعلى الرغم أنه أصبح قديماً ولا يتم تحديثه، إلا أنه قد يعتبر بداية جيدة لتكوين منهجية اختبار اختراق خاصة.

ويأتي ISSAF في عملية منظمة تتكون من 9 خطوات يتم اتباعها لتقييم مدى أمان التطبيقات والشبكات:

-    Information gathering
-    Network mapping
-    Vulnerability identification
-    Penetration
-    Gaining access and privilege escalation
-    Enumerating further
-    Compromise remote users/sites
-    Maintaining access
-    Covering track

PTES (Penetration Testing Execution Standard)

يقدم معيار تنفيذ اختبار الاختراق إجراءات للوصول لمستوى الأمان المطلوب، تم وضعها في قائمة من 7 مراحل:

-    Pre-engagement Interactions
-    Intelligence Gathering
-    Threat Modeling
-    Vulnerability Analysis
-    Exploitation
-    Post Exploitation
-    Reporting

يوجد العديد من منهجيات اختبار الاختراق ولكن اكتفينا بذكر أشهرها، خاصة أنهم يتشاركون في العديد من الخصائص التي يتم اتباعها وإجراؤها أثناء عملية اختبار الاختراق.

وهنا نكون قد وصلنا إلى نهاية مقالتنا عزيزي القارئ ولا تنسى أن تنتظرنا قريباً- إن شاء الله- وإلى لقاء آخر قريب...