إجراء اختبار اختراق سنوي لشركة عالمية في تكنولوجيا الإعلانات يرصد 18 ثغرة أمنية

قطاع الصناعة

التسويق والإعلان

العميل

شركة عالمية تمتلك منصة إعلانية مبتكرة لا تستخدم ملفات تعريف الارتباط، تستفيد من إمكانات تقنية الذكاء الاصطناعي (AI) في تحسين استهداف الإعلانات وزيادة تفاعل الجمهور معها. ومن بين أبرز عملاء الشركة، علامات رائدة مثل: كانون، ومايكروسوفت، وأمريكان إكسبريس.

الحاجة إلى التعاون طويل الأمد مع شريك متخصص في مجال الامن السيبراني

للوفاء بالتزامها بحماية بيانات وخصوصية عملائها، كانت شركة العميل تبحث عن مورد تقني موثوق لتقييم مستوى الحماية السيبرانية لمنصتها الإعلانية. وقد منحت الشركة ثقتها لخبرة ساينس سوفت الممتدة لأكثر من 20 عامًا في مجال الأمن السيبراني، وكلَّفتها بإجراء أول اختبار أمني لها في عام 2022، وبفضل ذلك، تمكنت الشركة من الحصول على شهادة الامتثال لضوابط النظام والتنظيم (SOC2). ونظرًا لرضا العميل عن جودة خدماتنا، استعانت الشركة بفريقنا مرة أخرى لتنفيذ مشروع آخر في مجال الأمن السيبراني في عام 2023.

إجراء اختبار الاختراق بطريقتي الصندوق الأسود والرمادي لمنصة إعلانات تعمل بالذكاء الاصطناعي

بدأ فريقنا عمله بإجراء تقييم شامل لمنصة الإعلانات الرقمية والحل المستخدم لقياس أداء الإعلانات لدى العميل. وقد استندت أنشطة الاختبار إلى إرشادات معيار تنفيذ اختبار الاختراق (PTES)، ودليل اختبار أمن الويب لمشروع أمان تطبيقات الويب ذات المصدر المفتوح (OWASP Web Security Testing Guide)، ومنهجيات المعهد الوطني للمعايير والتكنولوجيا (NIST 800-115).

إجراء اختبار الاختراق لمنصة الإعلانات

بدأ الاختبار بإجراء تقييم للثغرات الأمنية، بعدها، أجرى خبراؤنا عمليات فحص آلية لـ37 عنوان URL تابع للمواقع الإلكترونية المُخصصة للعملاء، وواجهات برمجة التطبيقات (APIs)، والخدمات المصغرة، وموارد AWS السحابية، التي تخدم جميعها المنصة الإعلانية. بعد ذلك، تحقق فريقنا يدويًا من نتائج الفحص، لاستبعاد النتائج الإيجابية الخاطئة.

أجرى خبراء ساينس سوفت اختبار الاختراق لحل العميل، لاستغلال الثغرات المكتشفة فيه وتقييم درجة خطورتها. وقد انتهج خبراؤنا طريقة الصندوق الأسود (black box) لاختبار المكونات المستهدفة من واجهات برمجة التطبيقات (APIs)، والخدمات المصغرة، وموارد AWS السحابية. أما بالنسبة إلى تطبيق العملاء، فقد استخدم فريقنا طريقة الصندوق الرمادي (gray box) للحصول على فهم شامل لمستوى الأمان في التطبيق من خلال محاكاة أفعال المهاجمين الذين لديهم إمكانية الوصول كمستخدمين.

خلال اختبار الاختراق، رصد خبراؤنا 7 مشكلات أمنية، اثنتان منها كانت متوسطة الخطورة، وهما:

الافتقار إلى آليات الحماية من هجمات القوة الغاشمة (brute-force) في التطبيق المخصص للعملاء: تمكَّن فريقنا من إجراء أكثر من 8,800 محاولة تسجيل دخول دون تدخل من أي آليات مضادة لهجمات القوة الخشنة، مثل: تعطيل الحساب أو حجب عنوان IP المستخدم في الهجوم.
التهيئة غير الآمنة لإعدادات ميزة مشاركة الموارد عبر المصادر (CORS) في العديد من المكونات المستهدفة: تتيح هذه الثغرة للمتسللين الوصول إلى موارد خادم الويب التي قد تحتوي على بيانات حساسة خاصة بالمستخدمين. على سبيل المثال، تمكَّن فريقنا من خداع الخادم بحيث يسمح بمشاركة الموارد مع أي نطاق مضيف من اختيارهم من خلال تغيير عنوان (Origin) في طلب بروتوكول نقل النص التشعبي (HTTP).

إجراء اختبار الاختراق لتطبيق قياس أداء الإعلانات

أجرى فريقنا تقييمًا شاملًا للثغرات الأمنية واختبار الاختراق بطريقة الصندوق الرمادي بأدوار المستخدم والإدارة، بهدف التحقق من أمان تطبيق قياس أداء الإعلانات لدى العميل (4 عناوين URL). وقد رصد خبراؤنا 11 ثغرة أمنية يمكن أن تتسبب في اختراق البيانات الحساسة وتوزيع البرمجيات الضارة عن طريق شن الهجمات السيبرانية، مثل: هجمات الوسيط (man-in-the-middle)، وسرقة هوية المستخدمين أو ما يطلق عليه اختطاف الجلسات (session hijacking)، والنقر الخداعي (clickjacking)، وحقن النصوص البرمجية الضارة، وغيرها من الهجمات.

توصيات المعالجة وإعادة الاختبار

نتيجة لاختبارات الاختراق، حدد خبراء ساينس سوفت 18 مشكلة أمنية متوسطة ومنخفضة الخطورة، بما في ذلك إعدادات أمنية خاطئة، وفشل المصادقة، وثغرات حقن النصوص البرمجية الضارة. وأجرى فريقنا تقييمًا للمشكلات المكتشفة وصنَّفها حسب مستوى خطورتها وفقًا لمعايير تصنيف التهديدات الأمنية الصادرة من مؤسسة OWASP لأعلى 10 مخاطر أمنية لتطبيقات الويب وواجهات برمجية التطبيقات (APIs)، ومعايير نظام تسجيل نقاط الضعف المشتركة التابع للمعهد الوطني للمعايير والتكنولوجيا (NIST CVSS)، كما قدَّم خبراؤنا التوصيات اللازمة بشأن المعالجة، بما في ذلك:

إعداد وتهيئة عناوين أمان بروتوكول HTTP، لتعزيز الحماية من الطلبات الضارة عبر النطاقات والهجمات، مثل هجمات حقن النصوص البرمجية الضارة، وتزوير الطلب عبر المواقع، والنقر الخداعي، والتجسس على المحتوى أو ما بيُعرف استنشاق المحتوى (content sniffing).
استخدام بروتوكولات التشفير الآمنة بإصدارات TLS 1.2 وTLS 1.3 بديلًا عن الإصدارات القديمة غير الآمنة TLS 1.0 وTLS 1.1.
تطبيق سياسة قوية لكلمات المرور وتحديد معدل الطلبات لمصادقة الأجهزة المتصلة بالشبكة، واستخدام المصادقة متعددة العوامل وتعطيل الحسابات أو إضافة رموز التحقق (captcha)، لمنع هجمات القوة الغاشمة (brute force).
توحيد الردود على طلبات المصادقة (مثل، صفحات تسجيل الدخول ونسيان كلمة المرور) للمستخدمين الحاليين وغير المسجلين، للحد من هجمات عداد المستخدمين (user enumeration).
تطبيق إجراءات التحقق من المدخلات وتنظيفها، لمنع هجمات حقن النصوص البرمجية الضارة عبر بروتوكول HTML وهجمات البرمجة النصية عبر المواقع (XSS).

بالاستعانة بالإرشادات التصحيحية التي قدمها خبراء ساينس سوفت، نجحت شركة العميل في تحسين الضوابط الأمنية لديها، وتم التأكد من ذلك عن طريق إعادة الاختبار.

الحد من هجمات البرمجيات الضارة وخروقات البيانات

تضمن المشروع السنوي الثاني للأمن السيبراني اختبارًا للاختراق بطريقة الصندوق الأسود واختبارين بطريقة الصندوق الرمادي، وشمل ذلك 41 عنوان URL. وقد رصد خبراء ساينس سوفت 18 ثغرة أمنية في منصة الإعلانات التي تعمل بالذكاء الاصطناعي لدى العميل، مع تقييم الأثر المحتمل لتلك الثغرات.

اتبعت شركة العميل توصياتنا التصحيحة، وعززت وضعها الأمني على الفور. يشعر العميل بالرضى التام عن الشراكة المثمرة مع ساينس سوفت، ويخطط حاليًا لمواصلة التعاون مع فريقنا في تنفيذ مشروعات اختبار الأمان المستقبلية.

التقنيات والأدوات

Acunetix, Burp Suite, Nikto, SQLMap, Sub 404, SSLScan, Nmap, DirB, Nessus, Netsparker, PHP, Bash, Python, PowerShell.

هل تحتاج إلى استشارة؟

تواصل معنا! نحن هنا للإجابة عن أسئلتك على مدار الساعة وطوال أيام الأسبوع.

كيف يمكننا مساعدتك؟

الاسم الكامل

الشركة

البريد الإلكتروني للعمل

رقم الهاتف

نتواصل معكم على الفور

اتصل بنا أرسل بريد إلكتروني واتساب الدردشة المباشرة