إجراء اختبارات الاختراق لتطبيقات الويب وواجهات برمجة التطبيقات لشركة متخصصة في حلول الرؤية الحاسوبية

العميل

شركة متخصصة في تقديم حلول الرؤية الحاسوبية للشركات العقارية في 30 دولة، ولديها مكاتب في الاتحاد الأوروبي والولايات المتحدة.

التحدي

يحرص فريق تقنية المعلومات لدى العميل على ابتكار حلول برمجية سهلة الاستخدام بوظائف برمجية متميزة وأمان فائق. أراد العميل فحص تطبيقاته وواجهات برمجة التطبيقات لديه للتأكد من خلوها من أي مشكلات أمنية لم يكتشفها فريقه الداخلي، وذلك ليثبت لعملائه الحاليين والمحتملين المستوى الفائق لأمان تطبيقاته.

لذا، كان العميل يبحث عن مُورِّد تقني متخصص في إجراء اختبارات الاختراق، ويمتلك خبرة واسعة في اختبارات أمان تطبيقات الويب. وقد اختار العميل ساينس سوفت لتنفيذ المشروع، لخبرتها الواسعة في مجال الأمن السيبراني، ولفريقها المعتمَد بشهادة المخترِق الأخلاقي. كل هذا بالإضافة إلى اتباعها نهجًا منظمًا لإجراء الاختبارات الأمنية بما يتوافق مع توجيهات دليل اختبارات أمان الويب الصادر من مؤسسة مشروع أمان تطبيقات الويب ذات المصدر المفتوح (OWASP) ومنهجيات المعهد الوطني للمعايير والتكنولوجيا (NIST SP 800-115).

الحل

اختار فريقنا إجراء اختبارات الاختراق بطريقة الصندوق الأسود، لتقييم احتمالية تمكُّن المتسللين المحتملين من إيجاد واستغلال أي ثغرات أمنية في 10 تطبيقات للويب و7 من واجهات برمجة التطبيقات لدى العميل. ولأن طريقة الصندوق الأسود قائمة على عدم امتلاك أي معرفة سابقة عن المكونات المستهدف اختباراها، بدأ فريقنا بإجراء فحص شامل للثغرات الأمنية. وبعد تحليل النتائج، أجرى فريقنا محاكاة لعدة سيناريوهات حقيقية للهجمات الأمنية المُحتملة، وذلك لاستنفاد كل الفرص الممكنة لاختراق أمان تطبيقات الويب وواجهات برمجة التطبيقات.

نتيجة لذلك، كان خبراؤنا سعداء للغاية لإبلاغ العميل أن تطبيقات الويب وواجهات برمجة التطبيقات المستهدفة تخلو من أي ثغرات أمنية خطيرة. ومع ذلك، اكتشف فريقنا عدة ثغرات أمنية منخفضة الخطورة، مثل:

• عدم وجود حد لعدد المحاولات الفاشلة لتسجيل الدخول: أتاح ذلك للمهاجمين المحتملين محاولة تخمين بيانات اعتماد المستخدم باستخدام تقنية brute-force، أو ما يعرف بهجمات القوة الغاشمة دون أي قيود، لاكتشاف بيانات المستخدم واستغلالها للوصول غير المصرح به إلى النظام.
• عدم وجود حد للوصول إلى بوابة واجهة برمجة التطبيقات: قد يتسبب ذلك في تسهيل هجمات القوة الغاشمة، وزيادة تكاليف الاشتراك في الخدمات السحابية العامة بنمط الدفع عند الاستخدام، وإبطاء عمل بوابة واجهة برمجة التطبيقات أو تعطيلها بالكامل.
• عدم وجود عناوين أمان: تعد عناوين الأمان ضرورية للغاية لتعزيز حماية تطبيقات الويب من هجمات الاختراق بالنقر، وهجمات البرمجة عبر المواقع، وغيرها من الهجمات الشائعة.

أوصى خبراء الأمان في ساينس سوفت بمعالجة المشكلات المكتشَفة دون تأخير، وقدموا لفريق العميل الإجراءات التصحيحية اللازمة لمعالجة كل مشكلة، وهي على النحو التالي:

• إضافة رموز التحقق (CAPTCHA)، أو إغلاق الحساب مع إرسال إشعار لصاحبه عبر البريد الإلكتروني في حال حدوث عدة محاولات فاشلة لتسجيل الدخول.
• تقييد عدد الطلبات لكل عميل في فترة زمنية محددة {على سبيل المثال: استخدام عناوين (X-Rate-Limit) لتقييد عدد الطلبات المرسلة إلى الخادم في فترة زمنية معينة}، واستخدام وكيل أمان التطبيقات أو جدران حماية تطبيقات الويب (مثل: جدار حماية تطبيقات الويب من خدمات أمازون ويب).
• إضافة عناوين الأمان X-Content-Type-Options، وX-Frame-Options، وHTTP Strict-Transport-Security لتعزيز الحماية من العديد من الهجمات السيبرانية الشائعة.

بعد أن عالج فريق العميل الثغرات الأمنية المكتشفة، أعاد خبراؤنا الاختبارات مرة أخرى، وأكدوا تحسُّن المستوى الأمني لتطبيقات الويب وواجهات برمجة التطبيقات المستهدف اختبارها.

النتائج

بفضل اختبارات الاختراق التي أجراها خبراء ساينس سوفت، نجح فريق العميل في معالجة المشكلات الأمنية منخفضة الخطورة في تطبيقات الويب وواجهات برمجة التطبيقات لديهم. كما تلقى العميل خطاب تصديق وشهادات أمنية تثبت سلامة تطبيقاته المختبَرة، ليتمكن من مشاركة نتائج الاختبارات والمستوى الأمني الفائق لتطبيقاته مع عملائه.

التقنيات والأدوات

Metasploit, Postman, Wireshark, Nessus, Burp Suite, Acunetix, Nmap.