دورة الامن المعلوماتي من مدونة حاسوبي الدرس الثاني إكتشاف الثغرات

تعرفنا في الدرس السابق عن الثغرات،و قد علمنا بأن الثغرات ما هي إﻻ اخطاء برمجية يقع فيها المبرمجون و المطورون سواء عن قصد أو عن غير قصد.

درس اليوم سيكون حول كيفية اكتشاف الثغرات...نتحدث هنا عن الثغرات المتعلقة بالبرامج و ليس المواقع.

يعتقد الكثيرون بأن اكتشاف الثغرات الجديدة هو أمر صعب جدا و هذا بالتحديد ليس بالشيء الصحيح و ﻻ الخاطئ في نفس الوقت،كيف ذلك؟

توجد طريقتان أساسيتان ﻻكتشاف الثغرات في الأنظمة أو البرامج و طريقة ثالثة غير معروفة كثيرا و دعونا نبدأ بأول طريقة.

طريقة العلبة الشفافة White Box: هذه الطريقة تعتمد على قراءة الكود المصدري للبرنامج أو النظام و بالتالي تقفي الاخطاء الممكن الوقوع فيها يدويا،سميت بهذا الإسم ﻷن الكود المصدري متاح للمختبر الثغرات.تستخدم هته الطريقة بكثرة عندما تكون الشركة المطورة تمتلك خبراء في الحماية،ﻷن معظم هته الشركات يقوم بإغلاق الكود المصدري الخاص بالبرامج.

من عيوبها أنها تحتاج إلى خبراء أمنيين متفرغين،فعملية قراءة كل الشفرة المصدرية سيكون متعبا جدا خصوصا إن كان البرنامج كبيرا و معقدا بالإضافة إلى أنها تحتاج إلى وقت طويل حتى يتم اﻹنتهاء منها.

طريقة العلبة السوداء Black Box: هي عكس الطريقة السابقة،فالكود المصدري غير متوفر للمختبر بحيث يتم اعطاؤه نسخة نهائية من البرنامج و يقوم هو بعملية إيجاد الأخطاء البرمجية عن طريق الهندسة العكسية،تجريبه تحت أقسى ظروف الإستخدام،فمثلا لو افتراضنا أن هنالك برنامج يستخدم نظام الخادم و العميل و أن الخادم مبرمج ليتحمل عددا معينا من العملاء و ليكن مثلا 50 عميلا،سيقوم المختبر بتجريبه في بيئة عمل مماثلة أي خادم و 50 عميلا و يلاحظ كيف تكون ردة فعل البرنامج ثم يبدأ في زيادة عدد العملاء في كل مرة و يلاحظ ردة الفعل و هكذا دواليك(هذا مجرد مثال).

المزج بين الطريقتين: يمكن المزج بين الطريقتين في عملية اكتشاف الثغرات كأن توفر الشركة المطورة للمختبر أجزاءً معينة من الكود و تطلب منه القيام بعملية اختبار بطريقة العلبة السوداء.

تستخدم الطرق الثلاث السابقة بكثرة عند اختبار برامج سطح المكتب و أنظمة التشغيل،في حين يمكن أن نستخدمها في اختبار و فحص تطبيقات الويب بالإضافة إلى الأدوات المعروفة مثل التلاعب بالروابط.

الصدفة:نعم الصدفة و ﻻ شيء غيرها،معظم الثغرات البرمجية الخطيرة تم اكتشافها عن طريق الصدفة كأن تكون بصدد القيام بشيء محدد فتخطأ في ادخال بيانات أو ما شابه فتجد نفسك في لوحة تحكم الإدارة.

منذ أيام اكتشفت خطأ برمجيا في أحد المنتديات العربية بالصدفة عندما كنت اريد كتابة موضوع في احد الأقسام،كتبت العنوان و كود التحقق(كابتشا) و بالخطأ ضغطت على زر إضافة الموضوع فتمت إضافة الموضوع دون أية مشاكل.