كيف تحمي تطبيقات الهاتف و الـ APIs من الهجمات السيبرانية
Posted by Abdelrahman Nasr | on Oct. 1, 2021, 5 p.m. | 786 views

هناك عنصران أساسيان يقودان التقدم في الاقتصاد الرقمي الأول اليوم:
تطبيقات الهاتف المحمول و واجهات برمجة التطبيقات (APIs) التي تسمح لتلك التطبيقات بالاتصال وتبادل البيانات مع بعضها البعض.

أدى النمو في هاتين التقنيتين إلى تعريض المستخدمين وبياناتهم لتهديدات أمنية كبيرة ، وهي:

ظهرت تهديدات أمان تطبيقات الأجهزة المحمولة على مر السنين. فيما يلي بعض الإحصاءات المثيرة للقلق:

كيفية استغلال الهجوم علي الهواتف ؟

تعمل تطبيقات الهاتف المحمول على افتراض أن المستخدمين الشرعيين يستخدمون التطبيق دون أي نوايا ضارة.
و نتيجة لذلك ، سيستغل المخترقون حسن النية لاستخراج المعلومات السرية التي يمكنهم استخدامها للوصول الي جهازك.
و من هنا حيث يحاولون الوصول الي ثغرة و استهدافها من خلال فحص التالي:

طرق استغلال الهجوم ؟

أبسط الطرق يمكن للـ Attacker استتخدامها للوصول الي الجهاز:

الوصول لبيانات المستخدم من خلال الهندسة الاجتماعية من خلال الـ phishing والـ spoofing أو يمكن الوصول لها اعتماداً علي تسريب البيانات التي يتم نشرها أو بيعها.

و الان كيف يتم حماية تطبيقات الهاتف المحمول و الـ API من الـ Attackers سنعرض لكم أفضل الاستراتيجيات المتبعة لحماية أفضل.

1- استخدام التواصل الآمن فقط

الاعتماد علي الاتصالات الآمنة فقط بعد مصادقة الـ Server Request و ذلك عن طريق تفعيل بروتوكولات Secure Sockets Layer / Transport Layer Security (SSL / TLS) علي كل الـ URLs التي تقوم بفحص اي بيانات حساسة مثل الفيزا و كلمات المرور ، بالاضافة انه يجب الحصول علي Trusted Certificate حيث يقوم بتقديمها مزود الـ Domain او يمكنك الحصول عليها من Cloudflare.

2- التحقق من صحة البيانات المدخلة

ليس كل من يستخدم تطبيق يملك نوايا جيدة أليس كذلك ؟
نعم بالتأكيد ، يجب التحقق من صحة أي يبانات يكتبها المستخدم قبل أن يقوم التطبيق بمعالجتها منعاً لحقن أي شفرة ضارة.

3- تأمين قاعدة البيانات

حيث يعد الوصول لقاعدة البيانات أكبر تهديد يمكن للـ Attackers استهدافها عن طريق حقن الـ SQL ، مرة أخري يجب التحقق من صحة أي بيانات مدخلة من طرف المستخدم بالاضافة الي حفظ البيانات الحساسة مشفرة مع اضافة salt ليصعب فك تشفيرها في حالة الوصول لها.

4. تأمين الـ Source Code

قم بتطبيق ارشادات الأمان مثل إرشادات OWASP واستخدم أداة مثل MobSF للتحقق من أمان عملك أثناء عملية التطوير.
حافظ على مبادئ تشفير متسقة وآمنة حيث لا تؤدي نهاية عملية التطوير إلى كود ضعيف.

5- تطبيق Authentication and Authorization

هناك عدة طرق لضمان Authentication and Authorization المناسبين لحماية تطبيقات الأجهزة المحمولة من الهجمات:

6- لا تعطي فرصة لاستخدام الهندسة العكسية

تعد أيضا من أهم الطرق لاستغلال التطبيق و التلاعب بوظائف التطبيق و لمحاولة منع الهندسة العكسية هو استخدام Functions متواجدة علي الـ Server و ليست علي طرف الـ Client.

7- حماية الـ API من التهديدات

استخدام API Threat Protection Technology لمحاولة منع الـ Automated Attacks علي الرغم من نقاط ضعف الـ APIs الكثيرة و التي يمكن استغلالها يدويا الي ان استخدام احد تلك الأدوات يساعد علي منع الاستغلال الآلي حيث يعتمد الهجوم علي ارسال كم كبير من الـ Requests إلي الـ Server. 

والى هنا عزيزى القارئ قد وصلنا الى نهايه المقال ونتمنى من الله أن يكون المقال سهل و بسيط و فيه ما يفيد لكم.

Comments ( 0 )

Leave a Reply