الرئيس التنفيذي
أشرف الحادي

رئيس التحرير
فاطمة مهران

دراسة من كاسبرسكي تظهر نقاط الضعف الأكثر خطورةً وانتشاراً في تطبيقات الويب الخاصة بالشركات

حددت دراسة حديثة أجراها خبراء تقييم الأمن في كاسبرسكي نقاط الضعف الأكثر خطورةً وانتشاراً في تطبيقات الويب المطورة داخلياً للشركات. في الفترة بين عامي 2021 و2023، تم العثور على عيوب تتعلق بالتحكم في الوصول وحماية البيانات في معظم الطلبات التي تم فحصها، والتي بلغ مجموعها العشرات. ويرتبط العدد الأكبر من نقاط الضعف عالية الخطورة بعمليات حقن SQL.

تعد تطبيقات الويب مثل الشبكات الاجتماعية، والبريد الإلكتروني، والخدمات على الإنترنت مجرد مواقع في الأساس، حيث يتفاعل المستخدمون مع خادم الويب عبر المتصفح. وقد بحثت شركة كاسبرسكي في دراستها الأخيرة عن نقاط الضعف في تطبيقات الويب المُستخدمة من قبل منظمات تكنولوجيا المعلومات، والحكومات، وشركات التأمين، والاتصالات، والعملات المشفرة، والتجارة الإلكترونية، والرعاية الصحية، وذلك لتحديد أكثر أنواع الهجمات انتشاراً واحتمالية لاستهداف لشركات.

تضمنت الأنواع السائدة من نقاط الضعف إمكانية الاستخدام الخبيث لعيوب التحكم في الوصول، والفشل في حماية البيانات الحساسة. وبين عامي 2021 و2023، أظهرت 70% من تطبيقات الويب التي تم فحصها في هذه الدراسة وجود نقاط ضعف من هاتين الفئتين.

يمكن استخدام ثغرة أمنية معطلة للتحكم في الوصول في حالات محاولة المهاجمين تجاوز سياسات الموقع التي تقيد المستخدمين بأذوناتهم المصرح بها. ويمكن أن يؤدي ذلك إلى الوصول غير المصرح به، أو إلى تغيير البيانات، أو حذفها، أو أكثر من ذلك. ويتضمن النوع الثاني الشائع من الخلل الكشف عن معلومات حساسة مثل كلمات المرور، وتفاصيل بطاقات الائتمان، والسجلات الصحية، والبيانات الشخصية، والمعلومات التجارية السرية، مما يسلط الضوء على الحاجة إلى زيادة التدابير الأمنية.

تقول أوكسانا أندريفا، خبيرة أمنية في فريق تقييم الأمن في كاسبرسكي، موضحة: «تم تجميع التصنيف عبر دراسة أكثر نقاط الضعف شيوعاً في تطبيقات الويب المطورة داخلياً في العديد من الشركات، بالإضافة لمستوى الخطر الخاص بها. على سبيل المثال، قد تمكن إحدى الثغرات الأمنية المهاجمين من سرقة بيانات مصادقة المستخدم، في حين يمكن أن تساعد ثغرة أخرى في تشغيل كود برمجي ضار على الخادم، ولكل منها درجات متفاوتة من العواقب على استمرارية ومقاومة الأعمال. وتعكس تصنيفاتنا هذا الاعتبار، مستفيدة من خبرتنا العملية في تنفيذ مشاريع التحليل الأمني.»

نوع نقطة الضعف نسبة تطبيقات الويب التي تتضمنها نسبة نقاط الضعف عالية الخطورة نسبة نقاط الضعف متوسطة الخطورة نسبة نقاط الضعف منخفضة الخطورة
فشل التحكم في الوصول 70% 37% 49% 14%
كشف للبيانات الحساسة 70% 9% 28% 63%
تزوير الطلب من جانب الخادم (SSRF) 57% 15% 66% 19%
حقن SQL 43% 88% 12% –
البرمجة العابرة للمواقع (XSS) 61% 11% 78% 11%
المصادقة المعطلة 52% 21% 47% 32%
الإعداد الخاطئ للأمن 43% 15% 41% 44%
الحماية غير كافية من هجمات القوة الغاشمة 39% 11% 39% 50%
كلمة المرور الضعيفة للمستخدم 22% 78% 22% –
استخدام مكونات تتضمن ثغرات أمنية معروفة 13% 43% 43% 14%

درس خبراء كاسبرسكي كذلك مدى خطورة الثغرات الأمنية الموجودة في المجموعات المذكورة أعلاه. وارتبطت النسبة الأكبر من الثغرات الأمنية عالية الخطورة بعمليات حقن SQL. وعلى وجه الخصوص، تم اعتبار 88% من جميع الثغرات الأمنية التي تم تحليلها لحقن SQL على أنها عالية الخطورة.

وتم اكتشاف أن نسبة كبيرة أخرى من الثغرات الأمنية عالية المخاطر مرتبطة بكلمات مرور المستخدمين الضعيفة. وضمن هذه الفئة، تم تصنيف 78% من جميع نقاط الضعف التي تم تحليلها على أنها عالية الخطورة.

من المهم ملاحظة أن 22% فقط من جميع تطبيقات الويب التي درسها فريق تقييم الأمن في كاسبرسكي كانت تتضمن كلمات مرور ضعيفة. ولعل أحد الأسباب الممكنة هو أن التطبيقات المضمنة في عينة الدراسة كانت إصدارات تجريبية ولم تكن أنظمة حقيقية فعالة.

للتعمق أكثر في الدراسة، قم بزيارة موقع Securelist الإلكتروني. تتوافق فئات نقاط الضعف الموضحة في البحث مع الفئات الأساسية والفئات الفرعية العشر الأعلى ترتيباً في تقييم مشروع أمان تطبيقات الويب المفتوحة (OWASP). ستساعد معالجة ما تم ذكره في الدراسة – من أكثر نقاط الضعف انتشاراً في تطبيقات الويب – الشركات على حماية البيانات السرية وتجنب اختراق تطبيقات الويب والأنظمة المرتبطة بها. لتحسين أمان تطبيقات الويب والكشف عن الهجمات المحتملة عليها في الوقت المناسب، يوصي فريق تقييم الأمن في كاسبرسكي بما يلي:
• استخدام دورة الحياة الآمنة لتطوير البرمجيات (SSDLC)؛
• وإجراء تقييمات منتظمة لأمن التطبيق؛
• واستخدام آليات التسجيل والمراقبة لتتبع عمل التطبيقات.

أخبار ذات صلة

10 آلاف طالب من 60 مدرسة يشاركون في أسبوع الذكاء الاصطناعي في مدارس دبي

المواصفات الكاملة لهاتف Xiaomi Poco F6 الجديد

مواصفات وعيوب هاتف Motorola Edge 50 Pro وأهم المميزات

170 موهبة عالمية تشارك في “هاكاثون أسبوع دبي للذكاء الاصطناعي”

الذكاء الاصطناعي يضاعف كفاءة الخدمات اللوجستية ويعزز إنتاجية الكوادر الحكومية

شراكة بين “مؤسسة دبي للمستقبل” و”جوجل كلاود” لتعزيز مهارات الرؤساء التنفيذيين

“صحة دبي” توقع مذكرة تفاهم لتأهيل قياداتها في الذكاء الاصطناعي

واتساب تعلن عن ميزة متقدمة لخصوصية الدردشة

آخر الأخبار
إعلام إسرائيلي: مقتل جندي خلال معارك حي تل السلطان في رفح جنوب غزة صن داونز يُطيح بالأهلى من نصف نهائي أفريقيا طاهر محمد طاهر يسجل الهدف الأول للأهلى فى شباك صن داونز "نورد للتطوير العقاري" تُطلق مشروع "هينج ريزيدنسز" في جزيرة السعديات بأبوظبي بقيمة 500 مليون درهم  دفن البابا فرنسيس غدًا في نعش خشبي زهيد وبدون ألقاب على القبر الإفراج عن 746 نزيلا من مراكز الإصلاح بمناسبة عيد تحرير سيناء مجموعة بيك الباتروس للفنادق تستعد للأعلان عن أفتتاحتها بمصر والمغرب لعام ٢٠٢٥ أمانة الاستثمار بـ”الجبهة” تبحث مع مستثمرين تحقيق التنمية الشاملة وزيادة النمو الاقتصادي رئيس الوزراء يلتقى رئيس جمهورية أوغندا أمانة الإسكان بحزب الجبهة تضع رؤية تنفيذية متكاملة لتحقيق التنمية العمرانية المستدامة المملكة تسرّع خطواتها نحو 2030.. أرقام قياسية ومؤشرات متقدمة 10 آلاف طالب من 60 مدرسة يشاركون في أسبوع الذكاء الاصطناعي في مدارس دبي المواصفات الكاملة لهاتف Xiaomi Poco F6 الجديد مواصفات وعيوب هاتف Motorola Edge 50 Pro وأهم المميزات الصحة: إصدار 10 آلاف قرار علاج بجراحات زراعة الأنسجة والأعضاء بـ360 مليون جنيه المواصفات الكاملة لسيارة جيلي إمجراند 2025 مجلس إدارة الزمالك يقرر اتخاذ كل الإجراءات القانونية ضد مرتضى منصور وزير التعليم العالي يوجه بالاستمرار في تطوير أداء المعاهد العليا اليوم.. ندى بهجت تقدم أوبريت «الدنيا ربيع» على مسرح البالون بتوقيع تامر عبد المنعم