مدونة كورتكس هكر 4 5 24
اكتب ما تود البحت عنه و اضغط Enter
معذرة، فالصفحة التي تبحث عنها في هذه المدونة ليست متوفرة.

الأربعاء، 19 ديسمبر 2018

مفاهيم ومصطلحات ثغرات المواقع والاجهزة

سعيد

مفاهيم ومصطلحات ثغرات المواقع والاجهزة


مفاهيم ومصطلحات ثغرات المواقع والاجهزة

نبذة عن الموضوع

يعتمد القراصنة أو المخترقون على عدّة ثغرات لاختراق المواقع والسيرفرات، ولكن المصدر الرئيسيّ والأساسي الذي يعتمد عليه القراصنة، هو الثغرات المسربة على الانترنت, وهذه الثغرات كثيرة ومختلفة, لذلك بكونك هكر من الطبيعي أن تتعرف على مصطلحاتها وأنواعها.


الشرح

سنبدأ بتعريف الهكر أولا, لأن الهكر ينقسم لقسمين مختلفين, أو وجهين لعملة واحدة هكر بقبعات سوداء, وهكر بقبعات بيضاء كالأتي:

الهاكر صاحب القبعة السوداء blackhat


الهاكر صاحب القبعه السوداء هو ذلك الشخص الذي يلحق الاضرار وينتهك خصوصية امن المعلومات الخاصة
بالاخرين لسبب ما شخصي او سياسي من اجل كسب مادي او انتقام شخصي يمكنك قراءة كتاب جريمة الامن
الامعلوماتي لراوبرت مور بعام . ٢٠٠٥هؤلاء الاشخاص معروفين ايضا بمسى الـكراكرز وهم الاشخاص الذين
يقومو بافعال غير شرعية من اجل تدمير او تعديل او سرقة البيانات , عكسهم الهاكرز اصحاب القبعة البيضاء.


الهاكر صاحب القبعه البيضاء whitehat


 الهاكر صاحب القبعه البيضاء هو ذلك الهاكر الذي تكون وظيفته الاساسية التاكد من سلامة امن المعلومات
الخاصة بالمؤسسة , عادة يسمى هؤلاء الهاكرز بمختبري الاختراق , وعكسهم الهاكرز اصحاب القبعه السوداء






ثغرات الفيض buffer overflow


تحدث ثغرات الفيض عندما يقوم تطبيق ما بكتابة بيانات في مكان ما اكثر حجم الذاكرة المحدد لهذا المكان .
ونتيجة لذلك ينت᝹ي الحال بان يستعمل البرنامج مساحة اضافية في كتابة البيانات مما يعتبر استخدام لمساحات غير
مسموح له به .


برامج المكافات المالية bug bounty


هي عبارة عن برامج تقوم فيها الشركات بتوظيف الهاكرز والدفع لهم مقابل اكتشافاتهم اشهر مواقع المكافات
الامنية هما هاكرون وبجكراود.


تقرير الهاكر


هو عبارة عن وصف لثغرة ما موجودة باحدى البرامج او الخدمات يحتوى على تعريف وتلخيص لكل التفاصيل
المتعلقة بالثغرة يقوم بكتابته الهاكر المـكتشف للثغرة.


ثغرات حقن الاسطر


تحدث هذه الثغرات عندما يقوم مستخدم سيئ بمحاولة حقن سطر جديد داخل الهيدرز الموجودة في الرد الناتج
عن الركوست , وعادة تسمى هذه الثغرات بتقسيم الرد, لان المهاجم يستطيع ان يقسم الهيدرز لنصفين مما يجعل
النصف الثاني موجود داخل محتوى الصفحة المعروضة


ثغرات الطلبات المزورة


تحدث هذه الثغرات عندما يسمح الموقع او التطبيق المصاب للمواقع الاخرى بعمل طلبات وتنفيذها بنجاح عبر
مواقع اخرى بدون قصد من المستخدم , يشترط في حدوث هذه الثغرات , ان يكون المستخدم مسجل دخوله
بالفعل.


ثغرات الحقن عبر المتصفح


تحدث هذه الثغرات عندما يقوم موقع ما بارسال كود خبيث الى متصفح المستخدم , قد يتسبب هذا الـكود
في افعال متعددة مثل سرقة الجلسة الخاصة بالمستخدم.


حقن اكواد الاتش تي ام ال html injection


تسمى ايضا هذه الثغرات بالتشويه الوهمي , حيث يستطيع المهاجم حقن اكواد اتش تي ام ال تتسبب في تغيير
مظهر الموقع , والسبب في ذلك عدم تحقق الموقع من مدخلات المستخدم.


Pollution Parameter HTTP


تحدث هذه الثغرات عندما يقوم موقع مصاب باخذ احدى مدخلات المستخدم وعمل طلب اتش تي تي بي ,
بدون التحقق من هذه القيمة..


ثغرات تقسيم الاستجابة


هو مسمى اخر لثغرات حقن الاسطر , حيث يستطيع المهاجم حقن هيدر داخل الاستجابة القادمة من السيرفر.


ثغرات افساد الذاكرة


افساد الذاكرة هو تكنيك يستخدم من اجل اختراق التطبيق المصاب عن طريق اجبار الـكود على تنفيذ افعال
غير مرغوب فيها.تكون هذه الثغرات مشابهة لثغرات الفيض .


ثغرات اعادة التوجيه HTTP Redirection


تحدث ثغرات اعادة التوجيه عندما يقوم تطبيق ما باستخدام مدخل من المستخدم , واعادة توجيهه لهذا المدخل
بدون التحقق من قيمته.


اختبار الاختراق


هي عملية مهاجمة برمجيات الـكومبيوتر للبحث عن نقاط الضعف, من اجل الوصول الى بيانات حساسة او
خاصة . تشمل هذه العملية اشخاص مختصون ربما يكونوا موظفي بالشركة او اشخاص من خارجها


باحثي الامن المعلومات


يسموا ايضا تحت اسم الهاكرز اصحاب القبعه البيضاء , وهو اي شخص يقوم باختبار او البحث داخل تطبيق او
احدي البرمجيات ومحاولة اكتشاف نقاط الضعف بها , عادة يكون الباحث مبرمج ما , او مدير نظام , او ربما
يكون صاحب وظيفة اخرى.


فريق الاستجابة



هو فريق من الافراد المختصين بمعالجة الثغرات المـكتشفة باحدى البرامج او الخدمات , عادة يكون الفريق عبارة
عن مبرمجين لدى الشكرة او مهندسي امن المعلومات , او مجموعه من المتطوعين.


تحمل المسئولية


هي عملية الابلاغ عن الثغرات المـكتشفة وعدم استغلالها في انتهاك مبادئ امن المعلومات والخصوصية , واعطاء
الفريق فرصة ومزيد من الوقت لمعالجة الثغرات الامنية , قبل نشر التقرير الخاص بها..


الثغرة الامنية


 الثغرات الامنية هي تلك الاخطاء التي تتيح لمهاجم ما بعمل افعال تتسبب في انتهاك مبادئ امن المعلومات او
التدخل في خصوصيات الاخرين . الخطا الذي يتسبب في اعطاء صلاحيات اكثر من اللازم هيا ثغرة امنية .
ثغرات التصميم الاولية التي تتسبب في انتهاك مبادئئ امن المعلومات والاساليب المتبعه قد تعتبر ثغرات امنية .


تنسيق مناقشة الثغرات


 هي عملية تنظيم مناقشة لتفاصيل الثغرة المـكتشفة , تكون الاطراف المشاركة في هذه المناقشة اولا مكتشف
الثغرة ثانيا الشركة المبلغ اليها عادة يكونوا مهندسي الامن المعلومات او اعضاء الفريق مثل موقع هاكرون ,
واحيانا يكون هناك اطراف ثالثة لها علاقة بالبرمجيات المصابة.


الـكشف عن الثغرات


 الـكشف عن الثغرات هي عملية نشر تقرير مفصل يحتوي على كل المعلومات والتفاصيل الخاصة بالثغرة المـكتشفة
, ليس هناك اي ارشادات لـكيفية كتابة تقرير للـكشف عن الثغرات , ولـكن برامج المكافات تنشر ارشادات
لـكيفية كتابة تقرير صالح.

شارك الموضوع عبر :

سعيد
الكاتب:

سعيد من الجزائر, مؤسس مدونة كورتكس هكر, مهتم بأمن المعلومات واختبار الاختراق وأنظمة اللينكس.

ليست هناك تعليقات:

إرسال تعليق

كورتكس هكر: شروحات اللينكس واختبار الاختراق والحماية | CortexHacker
كورتكس هكر هي مدونة تهتم بطرح مواضيع اختبار الاختراق وأمن المعلومات, وطرق اكتشاف الثغرات بالبرامج والمواقع و كيفية الحماية منها, وطرق التخفي وأسرار الديب ويب وكل ما يخص الاختراق الأخلاقي
جميع الحقوق محفوظة ل كورتكس هكر | Cortex Hacker
صمم وكود بكل من طرف