ar flag +1 214 306 68 37
إجراء اختبارات الاختراق لتطبيق الويب وعناوين IP العامة لشركة متخصصة في استخدام الذكاء الاصطناعي في مجال تكنولوجيا الإعلانات

إجراء اختبارات الاختراق لتطبيق الويب وعناوين IP العامة لشركة متخصصة في استخدام الذكاء الاصطناعي في مجال تكنولوجيا الإعلانات

قطاع الصناعة
التسويق والإعلان
التقنيات
الذكاء الاصطناعي (AI)

العميل

شركة متخصصة في الذكاء الاصطناعي تستخدم تقنيات تعلم الآلة والرؤية الحاسوبية لتحسين استهداف الجمهور وإشراكه في الحملات الإعلانية. وقد ساعدت المنتجات والخدمات التي تقدمها شركة العميل العديد من الشركات في 20 دولة على زيادة مبيعاتها وإيراداتها.

احتياج العميل إلى مُورِّد موثوق لاختبار اختراق برمجياته

كان العميل يدرك أن الأداء المستقر لحلوله البرمجية وسلامة بيانات مستخدميها أمر بالغ الأهمية لنجاح أعماله. لذا، قرر وضع استراتيجية شاملة للأمان. ومن بين الخطوات الأولى لمعالجة المخاطر الأمنية المحتملة، خططت الشركة لإجراء اختبارات اختراق مستقلة لتطبيق الويب وعناوين IP العامة لديها.

نظرًا لكثرة الاستفسارات التي كانت لدى فريق العميل بشأن أفضل الممارسات الأمنية، كانت الشركة تبحث عن خبراء في الأمن السيبراني يمكنهم نقل المعرفة وتقديم إجابات واضحة وثاقبة عن جميع أسئلتهم. وكان من أهم متطلبات العميل أن يكون المُورِّد ذا خبرة عملية في تقنيات الذكاء الاصطناعي وتعلم الآلة.

اختبارات الصندوق الأسود لمعالجة المشكلات الأمنية العاجلة

قدم خبراء ساينس سوفت لفريق العميل التوصيات والتفسيرات اللازمة لمساعدتهم على فهم إجراءات وخطوات اختبارات الاختراق واتخاذ قرارات سليمة قائمة على المعرفة. وقد اقترح فريقنا اتباع نهج الصندوق الأسود، لكونه يساعد على تحديد الجوانب الأكثر خطورة التي تحتاج إلى تدخل فوري.

لإجراء محاكاة للهجمات الخارجية الحقيقية، استخدم مهندسو الأمان في ساينس سوفت أدوات مفتوحة المصدر وتقنيات التسلل التي يستخدمها المخترقون. أولًا، بحث فريقنا عن الثغرات الأمنية المحتملة التي يمكن أن يستغلها المخترقون للتسلل إلى تطبيق الويب ومكونات البنية التحتية العامة وإلحاق الضرر بها. بعدها، استخدم المخترقون الأخلاقيون في فريقنا أدوات المسح الأمني لتحديد المنافذ المفتوحة والخدمات التي تعمل على تلك المنافذ، وجمع المعلومات المتعلقة بإصداراتها وتكويناتها. عقب ذلك، فحص فريقنا المكونات المستهدف اختبارها للكشف عن الثغرات المعروفة، مثل وجود تصحيحات أمنية غير محدثة أو إعدادات غير آمنة.

استخدم خبراؤنا العديد من الآليات لاستكشاف بنية تطبيق الويب ومحتواه ومجموعة التقنيات القائم عليها، مثل: آلية استكشاف المحتوى الجديد في محركات البحث (أو ما يُعرف بالزحف في الويب: web crawling)، والتتبع الآلي لروابط الويب (أو ما يُعرف بعناكب الويب: spidering)، وجمع معلومات الويب وتحديد هويتها (fingerprinting). وقد حاول فريقنا أيضًا استغلال الثغرات الأمنية المُكتشَفة لتقييم الضرر الذي قد ينجم عن تسلل أحد المهاجمين المحترفين إلى النظام.

بالإضافة إلى عمليات الفحص الآلي، أجرى فريقنا اختبارات يدوية للكشف عن المشكلات الأمنية الأكثر تعقيدًا وفهم نقاط الضعف الأمنية الحالية على نحو أفضل. وقد كشفت تلك الاختبارات عن العديد من المشكلات الأمنية الحرجة التي قد تتيح للمخترقين الوصول غير المصرح به إلى أصول تقنية المعلومات لدى شركة العميل. وتضمنت هذه المشكلات ما يلي:

  • عدم التحكم في الوصول: في أثناء تحليل فريقنا لقائمة دليل خادم الويب، استطاعوا الكشف عن معلومات حساسة مهمة، مثل: الأرقام التعريفية للمستخدمين، وأسمائهم، ومسمياتهم الوظيفية، وعناوين بريدهم الإلكتروني، وعناوين مكاتبهم. كما كان بإمكانهم تغيير هذه المعلومات دون إذن. ويستطيع المخترقون استغلال هذه الثغرة للتسلل إلى النظام لانتحال هوية المستخدمين، والاستحواذ على الحسابات، وشن هجمات التصيد الاحتيالي الموجهة.
  • التشفير غير الآمن: كشف فريقنا عن وجود خادم بعيد يستخدم شفرات كتل ضعيفة بسعة 64 بت. وقد يتيح ذلك للمتسللين فك تشفير المعلومات الحساسة مثل ملفات تعريف الارتباط الآمنة لبروتوكول HTTPS التي يمكن استخدامها لاختراق الجلسات المصادق عليها.
  • نقل بيانات اعتماد المستخدمين دون تشفير: تتيح هذه الثغرة للمهاجمين سرقة بيانات تسجيل الدخول عن طريق التسلل إليها في أثناء نقلها من أجهزة العميل إلى خادم موقع الويب.
  • ثغرات Brute-force أو «ثغرات القوة الغاشمة»: قد يؤدي إجراء عدد غير محدود من محاولات تسجيل الدخول غير الناجحة إلى تمكين المتسللين المحتملين من الاستحواذ على حسابات المستخدمين. في حال نجح المخترقون في معرفة معلومات تسجيل دخول أحد المستخدمين، يستطيعون بعدها تخمين كلمة المرور (عن طريق محاولة كل مجموعة ممكنة من الحروف والأرقام والرموز إلى أن يعرفوا كلمة المرور الصحيحة).

عقب الانتهاء من اختبارات الاختراق، أعد فريقنا ملخصًا تنفيذيًا يسلط الضوء على أبرز نقاط المشروع. كما قدموا للعميل تقريرًا مفصلًا يعرض نتائج الاختبارات والتدابير التصحيحية اللازمة. ولمعالجة المشكلات الأمنية الحرجة، أوصى خبراؤنا في مجال الأمن السيبراني بتنفيذ ما يلي:

  • تعطيل قائمة الدليل، وضبط إعدادات خادم الويب لمنع وصول المستخدمين إلى المعلومات الحساسة.
  • ضبط إعدادات خادم الويب لتعطيل خوارزميات التشفير الضعيفة.
  • التأكد من أن خادم الويب ينقل بيانات اعتماد المستخدمين فقط عبر اتصال آمن مشفر (باستخدام بروتوكول التشفير الآمن HTTPS).
  • وضع حد لعدد المحاولات الفاشلة لتسجيل الدخول.

عقب معالجة فريق العميل للمشكلات الأمنية المكتشفة في تطبيق الويب والبنية التحتية لتقنية المعلومات، أعاد فريقنا الاختبارات مرة أخرى، وأكد تحسُّن المستوى الأمني لأصول تقنية المعلومات المستهدف اختبارها.

تحسينات أمنية فورية لبرمجيات العميل

بفضل اختبارات الاختراق التي أجراها خبراء ساينس سوفت، أصبح لدى العميل دليل عملي يثبت مدى قدرة تطبيق الويب ومكونات البنية التحتية العامة لتقنية المعلومات لديه على الصمود أمام الهجمات الخارجية. كما قدَّم خبراؤنا لفريق العميل تقريرًا مفصلًا بالمشكلات الأمنية المكتشفة، وهو ما ساعدهم كثيرًا على التخلص من الثغرات الأمنية قبل استغلالها للكشف عن بيانات الشركة، أو تعطيل عملياتها التجارية، أو الإضرار بسمعتها.

التقنيات والأدوات

Metasploit, Wireshark, Nessus, Burp Suite, Acunetix, Nmap, Zenmap, Hydra

هل تحتاج إلى استشارة؟

تواصل معنا! نحن هنا للإجابة عن أسئلتك على مدار الساعة وطوال أيام الأسبوع.

Upload file

اسحب وأفلت لتحميل ملف أو أكثر

الحد الأقصى لحجم الملف 10 ميغابايت، حتى 5 ملفات وإجمالي 20 ميغابايت

التنسيقات المدعومة:

doc, docx, xls, xlsx, ppt, pptx, pps, ppsx, odp, jpeg, jpg, png, psd, webp, svg, mp3, mp4, webm, odt, ods, pdf, rtf, txt, csv, log

المزيد من دراسات الحالة