اختبار الاختراق بطريقة الصندوق الرمادي لبنك رقمي يعمل في أكثر من 60 دولة

قطاع الصناعة

الخدمات المصرفية, المنتجات البرمجية

التقنيات

الجوال, أندرويد, iOS

نبذة عن عميلنا

بنك رقمي دولي مقره الولايات المتحدة، يخدم الشركات في أكثر من 60 دولة من خلال منصته المصرفية المتاحة على الويب والجوال.

عقد شراكة طويلة الأمد لتعزيز الدفاع السيبراني لحل التقنية المالية

بفضل ثقته في خبرتنا الواسعة في مجال الأمن السيبراني والتقنية المالية، لجأ العميل إلى ساينس سوفت لأول مرة في عام 2021 لإجراء اختبار أمان لبرمجياته، ما ساعد البنك على تحسين وضع الأمن السيبراني لديه بقدرٍ كبير والحصول على شهادة الامتثال لمعايير التحكم في تنظيم الخدمة (SOC2). ونتيجةً لرضا العميل عن نتائج هذا التعاون، يستعين العميل بفريقنا على نحو منتظم لإجراء اختبار الاختراق لرصد أي ثغرات أمنية في منصته المصرفية المتطورة باستمرار.

اختبار الاختراق بطريقة الصندوق الرمادي لتطبيقات الويب والجوال المصرفية

خلال الاختبار السنوي الرابع للاختراق، فحص خبراء ساينس سوفت تطبيقات الويب والجوال (iOS وأندرويد) باستخدام نهج الصندوق الرمادي. بدأت عملية الاختبار بتقييم الثغرات الأمنية؛ إذ فحص خبراؤنا التطبيقات المستهدفة، وتحققوا يدويًا من المشكلات المكتشفة لضمان تحقيق نتائج دقيقة. وبعد استبعاد النتائج الخاطئة، حاول خبراؤنا استغلال الثغرات الأمنية المكتشفة. أجرى خبراؤنا أنشطة الاختبار وفقًا للممارسات المحددة في معيار تنفيذ اختبارات الاختراق (PTES)، ودليل اختبارات أمان الويب والجوال الصادر من مؤسسة مشروع أمان تطبيقات الويب ذات المصدر المفتوح (OWASP)، وكذلك منهجيات المعهد الوطني للمعايير والتكنولوجيا (NIST 800-115)، وشمل ذلك ما يأتي:

فحص إصدارات البرمجيات وإعدادات التطبيقات.
تنفيذ ممارسات التلاعب ببيانات الإدخال مثل: هجمات حقن البيانات، وتجاوز سعة المخزن المؤقت، وانتهاكات البروتوكول).
فحص آليات المصادقة والتفويض.

قيَّم فريق اختبار الاختراق في ساينس سوفت المشكلات الأمنية المكتشفة وصنَّفها وفقًا لقائمة مؤسسة مشروع أمان تطبيقات الويب ذات المصدر المفتوح لأعلى 10 مخاطر أمنية على الويب (OWASP Top 10) وكذلك قائمتها لأعلى 10 مخاطر أمنية على تطبيقات الجوال (OWASP TOP 10 Mobile)، وقائمة أعلى 10 مخاطر أمنية على واجهات برمجة التطبيقات (OWASP API Top 10)، بالإضافة إلى تصنيفات المعهد الوطني للمعايير والتكنولوجيا (NIST) لنظام تسجيل نقاط الضعف المشترك (CVSS). كشف اختبار الاختراق عن وجود مشكلتين أمنيتين متوسطتي الخطورة، و6 مشكلات منخفضة الخطورة، إلى جانب 3 مشكلات معلوماتية أمنية. وقد ارتبطت جميع المشكلات الأمنية المكتشفة، البالغ مجموعها 11 مشكلة، بأخطاء في التشفير وتكوينات الأمان. ولمعالجة تلك المشكلات، اقترحت ساينس سوفت تنفيذ التدابير الأمنية الآتية:

التحقق من مدخلات المستخدمين وتنقيحها لمنع عمليات إعادة التوجيه الضارة. قد يؤدي عدم التحقق بدقة من صحة المدخلات إلى تمكين المهاجمين من التلاعب ببيانات الإدخال لإعادة توجيه المستخدمين إلى مواقع إلكترونية ضارة، مثل مواقع التصيد الاحتيالي التي تحاكي المواقع الأصلية.
استخدام وضع أكثر أمانًا لتشفير البيانات، مثل وضع Galois/Counter (GCM) بديلًا عن وضع سلسلة الكتل المشفرة (CBC) مع وضع PKCS7 لتعبئة البيانات المشفرة. سيساعد ذلك على منع المتسللين من فك تشفير البيانات خلال هجمات Padding Oracle.
تنفيذ الإنهاء التلقائي للجلسات بعد فترة محددة من عدم النشاط تصل إلى 15 دقيقة، ما يقلل فرص استغلال المهاجمين لجلسات المستخدمين على أجهزة الحاسوب العامة في حال نسي المستخدم تسجيل الخروج من التطبيق.
إخفاء معاينة واجهة التطبيق عند التبديل بين تطبيقات الجوال، لتجنب الكشف عن معلومات حساسة، مثل رصيد الحساب وتاريخ المعاملات، عند تشغيل التطبيق المصرفي في الخلفية.

الكشف السريع عن المشكلات الأمنية ومعالجتها

في غضون أسبوعين فقط، أجرت ساينس سوفت اختبارًا شاملًا للاختراق بطريقة الصندوق الرمادي لتطبيقات الويب والجوال (بنظامي التشغيل iOS وأندرويد) لبنك رقمي يعمل في أكثر من 60 دولة. وقد تلقى العميل تقريرًا شاملًا يوضح بالتفصيل نتائج الاختبار والإجراءات التصحيحية اللازمة لمعالجة كل ثغرة مكتشفة، ما ساعد الشركة على تعزيز أمان منصتها المصرفية.

التقنيات والأدوات

BurpSuite, SSLScan, Acunetix, Apktool, Jadx, MobSF, Radare2, PHP, Bash, Python, PowerShell.

هل تحتاج إلى استشارة؟

تواصل معنا! نحن هنا للإجابة عن أسئلتك على مدار الساعة وطوال أيام الأسبوع.

كيف يمكننا مساعدتك؟

الاسم الكامل

الشركة

البريد الإلكتروني للعمل

رقم الهاتف

نتواصل معكم على الفور

اتصل بنا أرسل بريد إلكتروني واتساب الدردشة المباشرة