18

يونيو

التعداد او احصاء البيانات

نوع من الثغرات، بالفعل مش بيتقبل كتير فى مواقع\شركات الا انه خطر لأنه بيعرض ال Business Model الخاص بالشركة للوقوع خصوصا لو كانت شركة كل البزنس بتاعها قائم على تقديم داتا او بيانات للعملاء بمقابل مادى، لو هنتكلم عن شركات كتير رفضته كانت اقربها فيسبوك لأنها شافت انها مصابه بالنوع دا فى نواعى كتيره جدا فى شبكتها الاجتماعيه فنفضت بقى مش هدوش دماغى انا بكل دا بس بتعترف بيه وتشكرك عليه فقط، ندخل فى المهم، ياترى ايه هوا ال Enumeration Attack امثله عنه؟ وبيتم ازاى وايه طرق استغلاله؟ خطورته؟ وهستفيد منه بإيه؟ وازاى احمى نفسى منه؟ وايه التخطى اللى حصل للحمايه دى؟
­
القى نظره عن معنى كلمة Enumeration فى ويكيبيديا من هنا ، الانمريشن بشكل عام هو جمع البيانات لهدف استغلالها بعدين بأى شكل من اشكال الاستغلال زى البيع، التبادل، … الخ
­
امثلة على Enumeration Attack ناجح؟
ابرز امثلة لجمع البيانات قمت بيها بنفسى فى سنين سابقة كانت على ما اتذكر فى 2009 كانت لدليل التليفونات، كنت عملت ساعتها انمريشن لجمع بيانات من موقع “المصريه للإتصالات لمحافظة الاقصر بالكامل” طبعاً لك ان تتخيل انه يبقى عندى دليل تليفون لمحافظه، بلد او حتى للجمهوريه كلها، اتذكر فى سنة 2000 كان فى اسطوانه اسمها Easy Call كانت بتتباع ب 100 جم تقريباً فيها ارقام التليفونات للجمهوريه كلها وكان عليها حمايه وبتاع علشان ميعادش بيعها دا طبعا مثال من الامثله، ممكن مثلا تدخل موقع من مواقع تقديم النصائح الطبيه، وتلف على كل ال ids الخاصه بالاسئلة، وتخزن الرد عندك فى اى شكل من اشكال الداتا “حسب مانت عايز تستغلها ازاى” سواء ملفات نصيه عاديه او ملفات منسقه بتنسيق معين، او حتى كقواعد بيانات، لك ان تتخيل ذلك فى : قاعدة بيانات الاطباء، ال ISBN الخاصه بالكتب ووصف الكتاب واسم الكتاب واسم المؤلف، شهادات ICDL ، مثال واضح بردو لعملية جمع البيانات تطبيق True Caller التطبيق انا معجب بفكرته شخصيا بصراحه لأنه بالرغم من مساوئه فى انه بيرفع كل ارقام الناس اللى عندك الا انه بيقدم Value لكل مستخدميه، اتوقع قريباً هيبقى عليه كل ارقام الموبايلات المصريه لل 3 شبكات بأسماء مستخدميه حتى لو كانت غير دقيقه، تخيل نفسك حظك بقى زى الفل وكنت اول واحد تدخل على موقع بيقدم نتيجة التنسيق مثلا او نتيجة الثانويه العامه، لو القائمين على الموقع معرفوش يحموا نفسهم ضد هجوم زى دى، اتوقع لو الكونكشن بتاعك كويس والاتصال بيهم مفهوش مشاكل فى غصون ساعات تكون عندك شهادات كل الناس ولو انت شرير كفايه هتقوم عليهم بهجوم DDoS وتوقفلهم الموقع وموقعك انت بس اللى يفضل شغال، كنت كشفت بردو ثغرة مماثله فى فيسبوك وفيسبوك كافأنى عليها كنت اقدر اعمل دليل تليفونات لمستخدمى فيسبوك تقدروا تشوفوا الفيديو : من هنا الفيديو كسبنى فلوس طبعا من فيسبوك + تى شيرت من Owasp فى الايفنت الخاص بيهم ودا لسبب انه كان افضل إجابه على سؤال ياترى اقدر اجمع بيانات ازاى من فيسبوك بشرط انك تكون مجهول، بمعنى اصح بدون تسجيل هويتك للدخول حتى للموقع؟ …. الخ المهم ان اى مصدر بيقدم بيانات انت تقدر تاخد البيانات دى مفيش اى مشاكل.
­
النمريشن بيتم ازاى وايه طرق استغلاله؟
الانمريشن بيتم بطرق لا حصر لها، تقدر تستخدم عمو جوجل فى معرفة الطرق الاخرى، دا بيتم من خلال ال Web Crawlers او ما يعرف ب Web Scrapers دى ياسيدى عباره تولز كيوت كدا بتديلها ويب سايت او URL وبتفضل تنتهج نفس اسلوب الشخص اللى اول مره يقعد على الانترنت “اللى هوا بيحب يدخل كل الصفحات الخاصه بالموقع ويشوف فيها ايه” المهم الكرولر او الاسكرابرز بتلف فى الموقع وبتحددلها انت شروط او Rules او نمط Context تمشى عليها، والله لو لقيتى كلمة BasketBall اعملى كذا ولو لقيتى كذا اعملى كذا طبعا انا مش هتعمق فى شرحها كتير “لأنك لازم تتعك وتجرب بنفسك علشان تتعلم” – “او جايز بتهرب منكم لأنى مش فاهم مثلا  المهم لأى سبب من الاسباب هيبقى مفيد ليك انك تجرب، اشهر ويب كراولر فى التاريخ وبلا منازع طبعا Google Web Crawler ، الاخ بيدخل على الدومين الخاص بيك بيسكن زى ما بيقولوا من الغلاف للغلاف مش بيسيب شئ الا وبيستفيد منه طبعا علشان دا يفيده فى مرحلة ال Indexing والتصنيف الموقع الخاص بيك.
انت كمبرمج تقدر تبرمج ويب كرولر خاص بيك وبقوانينك بسهوله جداً وبأى لغة برمجه انت تتقنها كل اللى بتعمله ركوستات وبتاخد ال Responses وبتعملها Parsing “معالجه” وتشوف نفسك ياترى هتعالج المردود ازاى وهتخزنه ازاى، طبعا بيفرق هنا طريقة تخزينك ليهم لو كانت داتا كبيره جدا لان دا هيفرق كتير جدا بعدين فى موضوع استخدامها لأنها سلاح ذو حدين ممكن تكون جحيم وحمل على السيرفر الخاص بيك، دايما بفضل تخزين واسترجاع البيانات فى شكل json ، دور واقرا عنها كتير، طبعا لو انت مش مبرمج فإنت مضطر تستنى مبرمج يعمل دا وي Release دا للعامة علشان تستخدمه “دى نكشه كدا ودعوه انك تقوم وتتعلم برمجه متستناش حد”
­
ياترى ايه خطورة الانمريشن؟
-فى الوضع الطبيعى:
ملهاش خطوره غير انها هتودى بياناتك فى ستين داهيه عادى يعنى، البيانات اللى انت كنت مأجر تيم بالكامل Data Entry هيجيلك واحد وياخدها منك ب Tool بدون ما حتى يكون هوا متابع العمليه هتتم ازاى
-فى ظروف خاصه:
بما ان الكراولرز او الاسكرابرز بتروح كل سنتيميتر فى الموقع بتاعك وبتلف الموقع كله شبر شبر اذن هيا معرضه انها توصل لداتا انت سايبها للزمن، ابسطها مثلا “باك اب كامل للموقع بتاعك” – “باسووردات” – “اى بتاع” – لأن فى Web Crawlers مصممه انها تزحف على اسماء ثابته زى passwd – *.bak – *.backup كمان الويب كراولرز ممكن توصل لفولدرات ذات اسماء ثابته ومهمه زى public_info و _files وغيرها كتير … الخ
­
يعنى مثلا صديق ليا مش هذكر اسمه بدل ما اوديه فى ستين داهيه عمل كرولينج على ويب سايت “وكالة الامن القومى” وجاب ملف فى مسار غير معتاد وكان الملف مفاجأه ، كان بيتكلم بردو عن ازاى بيتم معالجة الداتا المأخوذه من محركات البحث “ملف عميق شويه” اتفضلوا untangling the web
­
هستفيد من الانمريشن بإيه؟
زى ما وضحت قبل كدا تقدر تبيع الداتا دى، تتبادلها بداتا تانيه اهم، تستغلها وتعمل ويب سايت بيقدم الداتا دى بمقابل، للعلم فى مواقع كبيره جداً وشركات قائمه على المجال دا فقط متخيلين حجم بزنس زى دا عامل ازاى لما تبقى شركه كل تخصصها بس جمع واستغلال الداتا!! دا خلافا وعوضاً عن اننا كمستخدمين مجرد قطيع من الخرفان بندخل الداتا بتاعتنا بنفسنا وبنثق فى الانترنت وبيتم استغلالنا بكل شكل من الاشكال ومبسوطين بدا جدا عادى يعنى، المواقع اللى ممكن تستغلك طبعا بلا حصر خلينى اقولك كل المواقع بتجمع داتا علشان اكون واضح ومنحازش، حتى لو الموقع اخد اول سنه او اتنين بيقولك والله احنا مبنجمعش ضرورى لما يلاقى نفسه محتاج فلوس والبزنس موديل هيقع هيغير ال Policy بتاعته، وهتلاقى ميل كيوت وصلك على صندوق البريد بتاعك بيقول ازيك أبرنس احنا غيرنا اتفاقية الاستخدام خد اقراها طبعا هتلاقيها بتاعة 1900 سطر فهتنفض، فى وسط السطور دى هتلاقى جمله لذيذه “بياناتك التى تقوم بإدخالها هى ملك للشركه ولها الحق فى استغلالاها بأى صور او شكل من الاشكال” اقربهم انستجرام اللى قالها علنى “احنا هنبيع صورك الببلك يابوب”
­
ازاى انا كمبرمج احمى نفسى من الانميرشن وايه التخطى اللى حصل للحمايه دى؟
كنت بتناقش انا وصديق ليا ربنا يمسيه بالخير كل ما هوا يطلع طريقه اطلعله ليها تخطى لحد ما وصلنا اننا هنعمل 20 كابتشا قبل طلب الداتا هههههه دا طبعا بيتعارض مع ال UX او ما يعرف بتجربة المستخدم، بمعنى اصح المستخدم هيمل جدا من انه يرجع للويب سايت بتاعك تانى وتلاقى ال Bounce Rate بيزيد، مبروك كدا هيبقى الموقع بتاعك طارد للسكان اقصد طارد للزوار، فى طبعا طرق كتير تقدر تحمى نفسك بيها من الانمريشن بالفعل ممكن تدور على Captcha System بشرط انه يكون قوى جداً وفعال فى الحاله دى الكراولر مش هيقدر *يكون زى البنى ادم مثلا*، لو تلاحظوا قبل كدا تويتر وفيسبوك كانوا بيعملوا حاجات لذيذه كل ما تنزل فى ال News Feed علشان تشوف اخبار اكتر او فى ال Timeline الخاص بتويتر علشان تشوف تويتات اكتر هتلاقى زرار ظهرلك مكتوب عليها Load More دا كان معمول خصيصا بنسبة 70% علشان الكرولرز، بس مع تطور الحاجه الساقعه اصبحت فى كراولرز ماشاء الله كبرت وبتعمل Mouse Click Simulation وتضغط على Load More وهكذا، المبرمجين بعدها استذكوا وحاولوا يعملوا حاجه اسمها Data Blocks فى ستايل الصفحه بمعنى ان الصفه لو اتعرضت فى البراوزر متتعرضش فيها الداتا مباشرة الا عند طلبها بيكون عباره عن Div مختفى فى الاستايل ويظهر بمجرد ما يتم طلب الداتا، طبعا الكرولرز اكلت سيريلاك وكبرت شويه وعرفت دا وبقت تتخطاه، المهم زى ما فى قوى خير فى قوى شر وزى ما فى حمايه فى تخطى حابب اسمع رأيكم سواء ديفلوبرز او مستخدمين عاديين ياترى ازاى نقدر نحمى بيانات زى دى، وياترى شايف الانسب ايه، وعايز حد يكون بيهاك يدخل يرد عليه بطريقة التخطى ؟!!
­­
دا مصدر ممكن يفيد: هنا
­
الكاتب: محمد عبد الباسط – مدير التقنية و أمن المعلومات.

صعيدي جيكس، منصّة روّاد الأعمال والتقنيين بصعيد مصر.

0 0 votes
Article Rating
Subscribe
نبّهني عن
guest

0 تعليقات
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x