ar flag +1 214 306 68 37
إجراء اختبار الاختراق بطريقة الصندوق الرمادي لبرمجيات الإدارة المالية المؤسسية كخدمة

إجراء اختبار الاختراق بطريقة الصندوق الرمادي لبرمجيات الإدارة المالية المؤسسية كخدمة

قطاع الصناعة
الخدمات المصرفية والمالية والتأمين, المنتجات البرمجية

العميل

شركة أميركية متخصصة في البرمجيات كخدمة (SaaS)، تقدم حلول إدارة القوى العاملة والإدارة المالية.

الحاجة إلى مورد موثوق في إجراء اختبار الاختراق لديه خبرة في البرمجيات المالية

لضمان أقصى درجات الأمان للبيانات المالية الخاصة بعملائها، كانت شركة العميل تبحث عن موِّرد موثوق في مجال الأمن السيبراني يتمتع بخبرة مثبتة في القطاع المالي. وبفضل خبرتنا الواسعة في مجال الأمن السيبراني وتقنية المعلومات المالية، منح العميل ثقته لساينس سوفت وكلَّفها بتقييم أمان تطبيق الويب لمنصة إدارة النفقات التي تعمل بنمط البرمجيات كخدمة (SaaS).

اختبار الاختراق يكشف عن عيوب أمنية تُعرِّض البيانات المالية للخطر

أجرى خبراؤنا اختبارًا أمنيًا شاملًا لتطبيق الويب لدى العميل وفقًا لمعيار تنفيذ اختبار الاختراق (PTES)، ودليل اختبار أمن الويب لمشروع أمان تطبيقات الويب ذات المصدر المفتوح (OWASP Web Security Testing Guide)، ومنهجيات المعهد الوطني للمعايير والتكنولوجيا (NIST 800-115). وقد بدأت عملية الاختبار بإجراء تقييم للثغرات الأمنية، إذ فحص خبراؤنا التطبيق المستهدف، وتحققوا يدويًا من نقاط الضعف الأمنية المُكتشفة للتخلص من النتائج الخاطئة.

لتقييم التأثير المُحتمل للثغرات الأمنية المُكتشفة، أجرى فريقنا اختبار الاختراق بطريقة الصندوق الرمادي (gray box pentesting). بعد أن قدم العميل لفريقنا بيانات تسجيل المستخدمين ذوي الامتيازات المنخفضة، استكشف خبراؤنا الثغرات الأمنية من خلال العمل كمتسللين لديهم إمكانية الوصول إلى تطبيق الويب المستهدف.

خلال اختبار الاختراق، كشف خبراؤنا عن عيوب في المصادقة وصلاحيات الوصول، ونقص في الموارد وآليات تحديد معدل الطلبات، وإعدادات أمنية خاطئة، وعيوب في حقن ملفات CSV، وغيرها من المشكلات الأمنية. وقد اقترح خبراؤنا التدابير الوقائية الآتية لتعزيز أمان تطبيق العميل:

  • تطبيق آليات قوية للتحكم في الوصول، للتأكد من أن المستخدمين العاديين لا يمكنهم الوصول إلى المعلومات والميزات المُخصصة للمستخدمين ذوي الامتيازات الخاصة، وذلك لتجنب الكشف عن البيانات الحساسة، والتلاعب بها، وفقدانها.
  • تنفيذ آليات تحديد معدل الطلبات، وتطبيق حدود صارمة على معايير فصل الصفحات دون هذه القيود، سيتمكن المهاجمون من زيادة الأحمال على الخادم عن طريق إرسال عدد كبير جدًا من الطلبات، أو طلب بيانات أكثر من المطلوب، ما يتسبب في الاستهلاك المفرط للموارد، ومشكلات في أداء قاعدة البيانات، وحجب الخدمة (DoS).
  • تنفيذ اختبارات سلامة الموارد الفرعية (SRI) للنصوص البرمجية الواردة من النطاقات الخارجية، ما يساعد على الحد من مخاطر الإصابة المحتملة بالبرمجيات الضارة، وتسرب بيانات المستخدمين، وتنفيذ تعليمات JavaScript الضارة.
  • تطبيق آليات قوية للتحقق من سلامة المدخلات، لمنع إدخال رموز خاصة في نماذج الموقع الإلكتروني المتاحة للاستيراد أو التصدير على هيئة ملفات CSV. كما اقترح خبراؤنا تنفيذ آليات تنظيف بيانات حقول الجداول عند تصدير محتوى التطبيق في ملفات بصيغة CSV. هذه التدابير تحمي مستخدمي التطبيق من ملفات CSV الضارة المدمجة في صيغ جداول البيانات، التي يمكن استخدامها لاختراق أجهزة المستخدمين.

توفير رؤية شاملة لعيوب أمان الويب ومعالجتها بسرعة

في غضون 10 أيام فقط، حصل العميل على تقرير شامل يلخص أنشطة الاختبار، ونتائج التقييم، وقائمة بالإجراءات التصحيحية مرتبة حسب أولويتها لكل ثغرة أمنية مكتشفة. وبفضل إرشاداتنا التفصيلية بشأن معالجة المشكلات الأمنية، تمكَّنت شركة العميل من تعزيز أمان تطبيق إدارة النفقات بسرعة، وضمان الحماية الشاملة لبيانات العملاء الحساسة.

التقنيات والأدوات

BurpSuite, SSLScan, Nmap, SQLMap, JWT_Tool, Nikto, Zed Attack Proxy (ZAP), PHP, Bash, Python, PowerShell.

هل تحتاج إلى استشارة؟

تواصل معنا! نحن هنا للإجابة عن أسئلتك على مدار الساعة وطوال أيام الأسبوع.

Upload file

اسحب وأفلت لتحميل ملف أو أكثر

الحد الأقصى لحجم الملف 10 ميغابايت، حتى 5 ملفات وإجمالي 20 ميغابايت

التنسيقات المدعومة:

doc, docx, xls, xlsx, ppt, pptx, pps, ppsx, odp, jpeg, jpg, png, psd, webp, svg, mp3, mp4, webm, odt, ods, pdf, rtf, txt, csv, log

المزيد من دراسات الحالة