كاسبرسكي تكشف عن نقاط الضعف الأكثر خطورةً وانتشاراً في تطبيقات الويب الخاصة بالشركات
تاريخ النشر: 13th, March 2024 GMT
حددت دراسة حديثة أجراها خبراء تقييم الأمن في كاسبرسكي نقاط الضعف الأكثر خطورةً وانتشاراً في تطبيقات الويب المطورة داخلياً للشركات. في الفترة بين عامي 2021 و2023، تم العثور على عيوب تتعلق بالتحكم في الوصول وحماية البيانات في معظم الطلبات التي تم فحصها، والتي بلغ مجموعها العشرات. ويرتبط العدد الأكبر من نقاط الضعف عالية الخطورة بعمليات حقن SQL.
تعد تطبيقات الويب مثل الشبكات الاجتماعية، والبريد الإلكتروني، والخدمات على الإنترنت مجرد مواقع في الأساس، حيث يتفاعل المستخدمون مع خادم الويب عبر المتصفح. وقد بحثت شركة كاسبرسكي في دراستها الأخيرة عن نقاط الضعف في تطبيقات الويب المُستخدمة من قبل منظمات تكنولوجيا المعلومات، والحكومات، وشركات التأمين، والاتصالات، والعملات المشفرة، والتجارة الإلكترونية، والرعاية الصحية، وذلك لتحديد أكثر أنواع الهجمات انتشاراً واحتمالية لاستهداف لشركات.
تضمنت الأنواع السائدة من نقاط الضعف إمكانية الاستخدام الخبيث لعيوب التحكم في الوصول، والفشل في حماية البيانات الحساسة. وبين عامي 2021 و2023، أظهرت 70% من تطبيقات الويب التي تم فحصها في هذه الدراسة وجود نقاط ضعف من هاتين الفئتين.
يمكن استخدام ثغرة أمنية معطلة للتحكم في الوصول في حالات محاولة المهاجمين تجاوز سياسات الموقع التي تقيد المستخدمين بأذوناتهم المصرح بها. ويمكن أن يؤدي ذلك إلى الوصول غير المصرح به، أو إلى تغيير البيانات، أو حذفها، أو أكثر من ذلك. ويتضمن النوع الثاني الشائع من الخلل الكشف عن معلومات حساسة مثل كلمات المرور، وتفاصيل بطاقات الائتمان، والسجلات الصحية، والبيانات الشخصية، والمعلومات التجارية السرية، مما يسلط الضوء على الحاجة إلى زيادة التدابير الأمنية.
تقول أوكسانا أندريفا، خبيرة أمنية في فريق تقييم الأمن في كاسبرسكي، موضحة: «تم تجميع التصنيف عبر دراسة أكثر نقاط الضعف شيوعاً في تطبيقات الويب المطورة داخلياً في العديد من الشركات، بالإضافة لمستوى الخطر الخاص بها. على سبيل المثال، قد تمكن إحدى الثغرات الأمنية المهاجمين من سرقة بيانات مصادقة المستخدم، في حين يمكن أن تساعد ثغرة أخرى في تشغيل كود برمجي ضار على الخادم، ولكل منها درجات متفاوتة من العواقب على استمرارية ومقاومة الأعمال. وتعكس تصنيفاتنا هذا الاعتبار، مستفيدة من خبرتنا العملية في تنفيذ مشاريع التحليل الأمني.»
درس خبراء كاسبرسكي كذلك مدى خطورة الثغرات الأمنية الموجودة في المجموعات المذكورة أعلاه. وارتبطت النسبة الأكبر من الثغرات الأمنية عالية الخطورة بعمليات حقن SQL. وعلى وجه الخصوص، تم اعتبار 88% من جميع الثغرات الأمنية التي تم تحليلها لحقن SQL على أنها عالية الخطورة.
وتم اكتشاف أن نسبة كبيرة أخرى من الثغرات الأمنية عالية المخاطر مرتبطة بكلمات مرور المستخدمين الضعيفة. وضمن هذه الفئة، تم تصنيف 78% من جميع نقاط الضعف التي تم تحليلها على أنها عالية الخطورة.
من المهم ملاحظة أن 22% فقط من جميع تطبيقات الويب التي درسها فريق تقييم الأمن في كاسبرسكي كانت تتضمن كلمات مرور ضعيفة. ولعل أحد الأسباب الممكنة هو أن التطبيقات المضمنة في عينة الدراسة كانت إصدارات تجريبية ولم تكن أنظمة حقيقية فعالة.
للتعمق أكثر في الدراسة، قم بزيارة موقع Securelist الإلكتروني. تتوافق فئات نقاط الضعف الموضحة في البحث مع الفئات الأساسية والفئات الفرعية العشر الأعلى ترتيباً في تقييم مشروع أمان تطبيقات الويب المفتوحة (OWASP). ستساعد معالجة ما تم ذكره في الدراسة - من أكثر نقاط الضعف انتشاراً في تطبيقات الويب - الشركات على حماية البيانات السرية وتجنب اختراق تطبيقات الويب والأنظمة المرتبطة بها. لتحسين أمان تطبيقات الويب والكشف عن الهجمات المحتملة عليها في الوقت المناسب، يوصي فريق تقييم الأمن في كاسبرسكي بما يلي:
استخدام دورة الحياة الآمنة لتطوير البرمجيات (SSDLC)؛
وإجراء تقييمات منتظمة لأمن التطبيق؛
واستخدام آليات التسجيل والمراقبة لتتبع عمل التطبيقات.
المصدر: بوابة الوفد
كلمات دلالية: الثغرات الأمنیة عالیة الخطورة نقاط الضعف التی تم
إقرأ أيضاً:
اختتام الدورة التدريبية للنيابة الإدارية عنإشكاليات التحقيق والتصرف تطبيقات عملية
اختتم مركز التدريب القضائي برئاسة المستشار الدكتور أيمن نبيل، الدورة التدريبية تحت عنوان "إشكاليات التحقيق والتصرف تطبيقات عملية" بمشاركة عدد (٥٤) عضوًا من أعضاء النيابات الإدارية بمدن القناة من مختلف الدرجات القضائية، والتي تم عقدها على مدار يومي ٢٦، ٢٧ مايو الجاري، وذلك بمركز التدريب البحري والمحاكاة التابع لهيئة قناة السويس بمحافظة الإسماعيلية.
وفي مستهل كلمته، رحّب المستشار الدكتور أيمن نبيل – مدير مركز التدريب القضائي، بالحضور، معربًا عن سعادته بانعقاد هذه الدورة بمحافظة الإسماعيلية، ذات التاريخ العريق والمكانة المتميزة، ونقل للحضور خالص تحيات المستشار عبد الراضي صديق – رئيس الهيئة، وتمنيات بأن تُكلل هذه الدورة بالنجاح، وأن تكون حافزًا فعّالًا في تنمية مهارات الأعضاء وتعزيز قدراتهم المهنية، بما ينهض بأدائهم في مباشرة مهامهم القضائية على الوجه الأمثل.
وقد أعرب مدير المركز خلال كلمته، عن خالص الشكر والتقدير للفريق أسامة ربيع رئيس هيئة قناة السويس، وللمهندس/ أحمد عبد السلام – رئيس مركز التدريب البحري والمحاكاة التابع للهيئة، للاستضافة الكريمة للدورة التدريبية، وما تم تقديمه من دعم لإنجاح فعاليات هذه الدورة.
كما قدّم الشكر للمستشار الدكتور محمد مصطفى – مدير المكتب الفني بمحافظة الإسماعيلية، على تعاونه المثمر في تنظيم هذه الدورة، ورحب المستشار/ جمال قطب – مدير فرع الدعوى التأديبية بالإسماعيلية، وأكد على أن انعقاد هذه الدورة يأتي تنفيذًا لتوجيهات المستشار رئيس الهيئة، بشأن التوسع في عقد الدورات التدريبية في إطار تطبيقي وعملي على مستوى محافظات الجمهورية، لتعزيز مهارات أعضاء النيابة الإدارية، ومواجهة الإشكاليات العملية التي قد تواجههم أثناء مباشرة التحقيقات، تحقيقًا للعدالة الناجزة.
واختتم كلمته بالتأكيد على حرص المركز على دعم هذه الدورة بنخبة متميزة من المحاضرين ذوي الخبرة، لضمان أقصى استفادة ممكنة للسادة المشاركين.
هذا وقد تضمن البرنامج التدريبي عدة محاضرات وفقًا للترتيب الزمني التالي:
"تحقيق الدليل في مجال التأديب"، وتفضل بإلقائها المستشار/ شادي حامد – عضو المكتب الفني لرئيس الهيئة لشؤون التأديب.
"ضوابط التحقيق وفقًا للمواد المستحدثة في التعليمات القضائية"، وتفضلت بإلقائها المستشارة/ نهى أسامة – عضو إدارة التفتيش القضائي.
"فنيات إعداد مذكرة التصرف_ تطبيقات عملية"، وتفضل بإلقائها المستشار الدكتور/ حسان هاشم – عضو مركز التدريب القضائي.
"ماهية المخالفات التأديبية"، وتفضل بإلقائها المستشار الدكتور/ محمد مصطفى – مدير مكتب فني الإسماعيلية.
"أهم الإشكاليات من الإحالة للتصرف"، وتفضل بإلقائها المستشار الدكتور/ أيمن فخر الدين – عضو مركز التدريب القضائي.
"أهم المبادئ القضائية الخاصة بالتأديب"، وتفضل بإلقائها المستشار/ طارق فكري – مدير نيابة القنطرة شرق.
- "قراءة لغة الجسد أثناء التحقيق"، وتفضل بإلقائها المستشار الدكتور/ إسلام نمر – مدير نيابة الطور.
وفي ختام الفعاليات، تم تسليم السادة المتدربين شهادات اجتياز الدورة التدريبية.