عيوب العمليات التجارية تثير مخاطر الأمان

إن تشغيل موقع ويب آمن يعني أكثر من مجرد الحماية ضد هجمات البرمجة النصية عبر المواقع وحقن SQL. يمكن للعيوب الموجودة في العمليات التجارية التي تكمن وراء مواقع الويب أن تعرض أيضًا لمخاطر أمنية خطيرة ، وفقاً لما قالته CTO لشركة أمان على الويب يوم الخميس.

يمكن أن تكون العيوب في العمليات ، أو منطق العمل ، لمواقع الويب مربحة للغاية للقراصنة ، وتتطلب القليل وقال جيريما جروسمان ، مدير أمن شركة وايت هات للأمن ، لدى معرض الأمن في بوسطن المصدر: "إن هذه القضايا شائعة إذا كنت تعرف ما الذي تبحث عنه".

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

عرض عدة أمثلة لهذه العيوب ، بما في ذلك تلك الموجودة في تصميمات مواقع الويب وأنظمة مصادقة Captcha وامتيازات المستخدم. غالباً ما يتم حظر الأشخاص الذين يستغلونهم ببساطة من استخدام الخدمة ، على الرغم من أنه يتم محاكمتهم في بعض الأحيان.

في عام 2007 ، اتهمت امرأة بإغراق شركة QVC بمبلغ 412،000 دولار أمريكي عن طريق استغلال عيب في منطق أعمالها. ووضعت طلبات لشراء 1800 مادة مع شبكة التسوق المنزلي ، ثم ألغت الطلبات على موقعها الإلكتروني. وقالت وزارة العدل إنها حصلت على الفضل في إعادة البضائع ، ولكن تم إرسالها لها على أي حال وباعتها على موقع ئي باي. أصبحت QVC على علم بالأمر عندما اتصل بها مستخدمو eBay حول استلام العناصر التي لا تزال في عبوته. وفي النهاية ، أعلنت المرأة أنها مذنبة بتهمة الاحتيال عن طريق الأسلاك.

يمكن أن تؤدي ميزات إعادة تعيين كلمة المرور إلى الوصول غير المصرح به إلى الحساب إذا ما طرحت أسئلة واضحة والمتسللين لديهم معلومات بسيطة عن ضحاياهم. قدم غروسمان مثالا على ذلك الذي كان مزود خدمة المحمول السابق سبرينت. وأضاف أنه من أجل إعادة ضبط كلمات المرور الخاصة به ، كان المتسلل بحاجة إلى معرفة رقم هاتفه المحمول فقط وقطعة أساسية من المعلومات مثل المكان الذي عاشوا فيه أو السيارة التي قادوها. كان من الممكن أن يسمح هذا للمتسلل بطلب هواتف جديدة باسم الضحية أو تثبيت خدمات جديدة على هواتفهم.

تشكل القسائم الإلكترونية خطرًا على التجار إذا كانت أرقام الكوبونات قريبة من بعضها البعض بالتسلسل. وقال غروسمان إن أحد تجار التجزئة رأى بعض من سلعه باهظة الثمن التي يبيعها ببضعة دولارات بعد أن كتب أحد المتسللين نصا لكشف أرقام الكوبونات التي اختلفت عن طريق أرقام قليلة فقط. اكتشف بائع التجزئة المشكلة عندما كشفت سجلات النظام الخاصة به عن وفرة من الطلبات التي يتم معالجتها ليلاً أثناء تشغيل البرنامج النصي للهاكر.

يمكن للقراصنة إقناع متصفحي الويب الآخرين بحل اختبارات Captcha لهم عن طريق إغرائهم إلى مواقع الويب مع وعد بالمجان. الموسيقى أو محتوى للبالغين. تتطلب Captchas شخصًا لفك شفرة سلسلة من الأحرف المختلطة للتسجيل للحصول على خدمات مثل حساب بريد إلكتروني على الويب. يقوم متصفحو الويب بحل عناوين الكابتشا ، التي يتم إرسالها عبر الخادم الوكيل إلى المخترق ، الذي يستخدمها بعد ذلك للتسجيل في حسابات بريد إلكتروني متعددة لإرسال رسائل غير مرغوب فيها أو بعض الأنشطة الأخرى.

"طالما لديك عدد كافٍ من المستخدمين القادمين قال غروسمان: "إن موقع Captcha قد تم حله". "الأشرار يريدون هزيمة هذه الكابتات حتى يتمكنوا من إرسال البريد المزعج إلينا."

العيب الآخر هو منح المستخدمين الوصول إلى جميع أجزاء موقع الويب عندما يكون لديهم تسجيل دخول أو كلمة مرور لخدمة معينة هناك. على سبيل المثال ، قام موظفون في إحدى الشركات الإستونية بالتسجيل في خدمة Press Wire التجارية في عام 2004. وقد اكتشفت أن عناوين URL على الموقع تحتوي أحيانًا على معلومات حول الإصدارات الإخبارية التي لم يتم نشرها بعد. باستخدام برنامج يقوم بالبحث عن عناوين URL ، كان الموظفون في الشركة قادرين على الكشف عن معلومات تجارية ومالية حساسة. بعد شراء وبيع الأسهم بناء على هذه المعلومات ، حقق الموظفون 7.8 مليون دولار ، لكنهم تعرضوا أيضًا لرسوم الاحتيال من قبل المنظمين الأمريكيين.

وأشار إلى أنه من المحتمل أن يكون هناك العديد من الحالات المماثلة التي لم تظهر إلى الأبد لأن الجناة كانوا لا اشتعلت أبدا.

وأضاف أن أمن الويب يمتد إلى ما هو أبعد من ضمان الجودة والتصميم المناسب لتطبيقات الويب لتشمل كيفية إعداد الخدمات للتشغيل.