📕 المحور الرابع عشر: إختراق خادم الويب – Hacking Web Server

بسم الله والصلاة والسلام على رسول الله

اليوم ان شاء الله راح اشرح المحور الرابع عشر من سلسلة "مراحل اختبار الاختراق" وهو: -

 

📕 اختراق خادم الويب – Hacking Web Server:

    • هو برنامج او مجموعة أجهزة متخصصة لتشغيل خدمات المواقع باستخدام برتوكول HTTP/HTTPS او بروتوكولات  آخرى واستجابة إلى طلبات العميل المقدمة عبر شبكة www. تتمثل المهمة الرئيسية لخادم الويب في عرض محتوى موقع مثل النصوص والصور والفيديو من خلال تخزين صفحات الويب ومعالجتها وتسليمها للمستخدمين.

📍 مكونات خادم الويب:

   • Documented Root: يتم تخزين محتويات الـHTML وبيانات الـDomain والملف المسؤول عن استجابة إلى طلبات العميل.

   • Server Root: يتم تخزين ملفات الإعدادات وملفات الـErrors وملفات الـLogs.

   • Virtual Document Tree: يتم توفير مساحة إضافية خارجية في حال ملء التخزين الأساسي.

  • Virtual Hosting: عملية تشغيل أكثر من موقع ويب واحد في نفس الجهاز مثل عمل (company1.example.com) و (company2.example.com). ويمكن أن يكون ذلك باستخدام أكثر من IP واحد لكل موقع ويب، أو ترتيب على اسماء المواقع.

    • Web Proxy: خادم البروكسي الواقع ما بين الاتصال الخارجي والداخلي من اجل حماية خادم الويب.

 

📍خدمة معلومات الإنترنت - Internet Information Services (IIS):

    • هو برنامج خادم الويب قابل للتوسيع، تم إنشاؤه بواسطة Microsoft للاستخدام مع Windows NT ويدعم HTTP، HTTPS، FTP، FTPS، SMTP وNNTP. وهو آمن وسهل الاستخدام والإدارة.

 

📍المخاطر الأمنية:

    • يمكن الدفاع عن الهجمات على مستوى الشبكة ونظام التشغيل بشكل جيد باستخدام تدابير أمنة مثل Firewall وIDS وIPS وما إلى ذلك،ولاكن، يمكن الوصول إلى خوادم الويب من أي مكان في العالم، مما يجعلها أقل أمانًا وأكثر عرضة للهجمات حيث يستهدف المهاجمون عادةً نقاط الضعف في البرامج وأخطاء البشرية وتصيد الثغرات لاختراق خوادم الويب.

 

📍 تم اختراق خوادم الويب بسبب:

    • صلاحيات الملفات والدليل غير صحيحة.

    • تثبيت الخادم بالإعدادات الافتراضية.

    • تفعيل Services غير الضرورية، بما في ذلك الإدارة عن بُعد.

    • عدم وجود سياسة وإجراءات أمنة.

    • مصادقة غير صحيحة مع أنظمة خارجية.

    • الحسابات الافتراضية بكلمات مرورها الافتراضية أو بدون كلمات مرور.

    • ملفات افتراضية أو نسخ احتياطية أو ملفات نموذجية غير ضرورية.

    • خطأ في إعداد خادم الويب وأنظمة التشغيل.

    • إعداد شهادات SSL بشكل خاطئ، وتشفير ضعيف جداً.

 

📍 تأثير هجمات خادم الويب:

    • اختراق وسرقت ونشر حسابات المستخدمين.

    • تشويه الموقع والتلاعب بالبيانات.

    • وصول إلى الـRoot عبر التطبيقات الويب أو الخوادم الأخرى.

 

📍 أنواع الهجوم على خادم الويب:

    • DoS/DDoS: يرسل المهاجمون العديد من الطلبات المزيفة إلى خادم الويب مما يؤدي إلى تعطل خادم الويب أو يصبح غير متاح للمستخدمين.

    • DNS Server Hijacking: يقوم المخترق بتغير إعدادات الـDNS بحيث يتم إعادة توجيه كل الطلبات القادمة من خادم الويب الحقيقي إلى عنوان خادم الضار الخاص للمخترق.

    • Directory Traversal: هجوم يسمح للمهاجمين بالوصول إلى الملفات المقيدة وتنفيذ بعض الأوامر، يستخدم المهاجمون التسلسل (/..) (dot-dot-slash) للوصول إلى تلك الملفات.

    • Man-in-the-Middle/Sniffing: تسمح للمهاجم بالوصول إلى معلومات حساسة عن طريق اعتراض وتعديل الاتصالات بين المستخدم وخادم الويب. حيث إنه يعمل كجهاز Proxy وتمر جميع الحزم من خلال جهاز المخترق.

    • Phishing: يقوم المهاجم بإعادة توجيه الضحية إلى مواقع ضارة عن طريق إرسال رابط ضار له عقد تبدو أصلية وحقيقية، ولكنه يعيد توجيهه إلى صفحة ضارة وبالتالي يسرق بياناته الشخصية ومعلومات حساسة ويعيد استخدامها في المواقع الحقيقية.

    • Misconfiguration: إذا تم تشغيل Services الغير ضرورية أو تم استخدام ملفات التشغيل الافتراضية او كلمات المرور الإفتراضية، فيمكن للمهاجم اختراق خادم الويب من خلال هجمات مختلفة مثل كسر او تخمين كلمات المرور، وحقن SQL وما إلى ذلك.

    • Website Defacement: هي وسيلة تعديل غير مصرح به لصفحات الويب، بما في ذلك إضافة محتويات أو إزالتها أو تغييرها إلى رسائلهم الخاصة.

    • SQL Injection: تسمح للمهاجم بالتدخل في الاستعلامات (SQL Queries) التي يقوم بها أحد التطبيقات في قاعدة البيانات (SQL db) الخاصة بالموقع. يمكن للمهاجمين استخدام الثغرات الأمنية لتجاوز إجراءات أمان التطبيق وذلك لإضافة اوتعديل اوحذف السجلات في قاعدة البيانات.

    • HTTP Response Splitting: يتضمن هجوم تقسيم استجابة HTTP إضافة بيانات استجابة الرأس في حقل الإدخال بحيث يقسم الخادم الاستجابة إلى استجابتين. يمكن للمهاجم التحكم في الاستجابة الثانية لإعادة توجيه المستخدم إلى موقع ويب ضار بينما سيتم تجاهل الردود الأخرى بواسطة مستعرض الويب.

    • SSH Brute force: يمكن للمهاجمين من استخدام وسائل لكسر الرقم السري لتسجيل الدخول عبر SSH وتصعيد صلاحياته لاستغلال الجهاز بشكل كامل.

   • Webserver Password Cracking: يحاول المهاجم استغلال نقاط الضعف لاختراق كلمات المرور إما تخمين، او Dictionary او Brute Force او Hybrid وعادتا ما تكون هذه كلمات مرور معروفة وضعيفة مثل password, root, administrator, admin, demo, test, guest, qwerty, pet names وإلى اخره.

    • Buffer Overflow: هي مناطق تخزين الذاكرة التي تحتفظ بالبيانات مؤقتًا أثناء نقلها من موقع إلى آخر. يحدث تجاوز سعة المخزن المؤقت عندما يتم إدخال بيانات بسعة تخزين اعلى عن ذاكرة التخزين المؤقت. نتيجة لذلك، يقوم البرنامج الذي يحاول كتابة البيانات بالكتابة فوق مواقع الذاكرة المجاورة.

 

📍 خطوات لهجوم على خادم الويب:

   • Information Gathering: يتضمن بحث وجمع معلومات عن الموقع المستهدفة عبر الإنترنت ومجموعات الأخبار ولوحات الإعلانات وغيرها من وسائل البحث وكذلك استخدام ادوات مثل Whois و Traceroute وغيرها من الادوات.

  • Webserver Footprinting: جمع معلومات مثل اسم الخادم ونوع الخادم وأنظمة التشغيل والتطبيقات وبيانات قيّمة على مستوى النظام مثل تفاصيل الحساب وإصدارات البرامج وتفاصيل مخطط قاعدة البيانات. يمكن استخدام Telnet وNetcat وSpider foot و ID server وغيرها من الادوات.

   • Mirroring Website: عمل نسخة كاملة للموقع لإنشاء ملف تعريفي لدليل الموقع، وهيكل الملفات، والروابط الخارجية وغيرها من البيانات. يتم ذلك باستخدم أدوات مثل HTTrack و WebCopier Pro و BlackWidow وOfflineDownloader وغيرها من الادوات.

  • Vulnerability Scanning: يقوم المهاجم بفحص الجهاز لإكتشاف من هي الثغرات الأمنية وتحديد نقاط الضعف ومعرفة إذا كان يمكن استغلال النظام. يمكن إستخدام برامج مثل Acunetix Web Vuln Scanner وNessus و Paros وغيرها من الادوات.

  • Session Hijacking: يتم مراقبة الحزم لمعرفت رموز الجلية الصالحة من اجل سرقتها واستخدامها مرة آخري للحصول على وصول غير مصرح به إلى خادم الويب وتطفل على البيانات. يمكن استخدم أدوات مثل Burp Suite و Firesheep و JHijack وغيرها من الادوات.

   • Hacking Webserver Passwords: استخدم اساليب كسر كلمات المرور مثل Brute Force و Dictionary Attack او التخمين. يمكن استخدم أدوات مثل THC-Hydra و Brutus و Hashcat و Rainbow Crack وغيرها من الادوات.

 

📍 التصحيحات والإصلاحات:

    • هي عملية تستخدم للتأكد من تثبيت التصحيحات المناسبة على النظام والمساعدة في إصلاح الثغرات الأمنية المعروفة.

 

📍 عملية إدارة التصحيح الآلي:

    • كشف: استخدم الأدوات لاكتشاف تصحيحات الأمان المفقودة.

    • التقييم: تقيم المشكلة والخطورة المرتبطة بها.

    • التحميل: قم بتنزيل التصحيح للاختبار.

    • الاختبار: قم بتثبيت التصحيح أولاً على جهاز المحاكي.

    • النشر: انشر التصحيح على أجهزة الكمبيوتر الفعلية وتأكد من عدم تأثر التطبيقات.

    • الصيانة: اشترك على المواقع الموثوقة للحصول على إشعارات حول نقاط الضعف جديدة.

 

📍 كيفية تقليل ومنع هذا الهجوم:

    • قم بالمسح بحثًا عن نقاط الضعف الموجودة، وتصحيح برنامج الخادم وتحديثه بانتظام.

    • قبل تطبيق أي عمل أو إصلاح عاجل أو تصحيح أمان، اقرأ جميع الوثائق ذات الصلة وراجعها بإستعانة من الخبراء.

    • تطبيق كافة التحديثات، بغض النظر عن نوعها.

    • اختبر حزم الخدمة والإصلاحات العاجلة على بيئة محاكية للخادم ومن ثم عملها في الخادم الحقيقي.

    • تأكد من جدولة عمل نسخ إحتياطية للخادم بشكل دوري قبل حدوث اي حالة طوارئ.

    • لديك Backup Plan تسمح للنظام بالعودة إلى حالتهما الأصلية، قبل التنفيذ الفاشل.

    • قم بحظر كافة المنافذ غير الضرورية.

    • إذا كنت تستخدم بروتوكولات غير آمنة مثل Telnet و POP3 و SMTP و FTP ، فاتخذ التدابير المناسبة لتوفير مصادقة واتصالات آمنة مثل IPSec.

    • إذا كانت هناك حاجة للوصول عن بُعد ، فتأكد من تأمين الاتصال البعيد بشكل صحيح، باستخدام بروتوكولات الأنفاق والتشفير.

    • قم بإزالة كافة الوحدات النمطية غير المستخدمة وامتدادات التطبيقات.

    • تعطيل حسابات المستخدمين الافتراضية غير المستخدمة التي تم إنشاؤها أثناء تثبيت نظام التشغيل.

    • تخلص من مستخدمي قاعدة البيانات غير الضروريين واتبع مبدأ اقل الصلاحيات لتطبيق قاعدة البيانات للدفاع ضد SQL.

    • قم بإبطاء هجمات Brute Force و Dictionary Attack باستخدام سياسات كلمات المرور القوية.

    • القضاء على الملفات غير الضرورية وإزالة معلومات التشغيل الحساسة.

    • راقب وتحقق من جميع سجلات خدمات الشبكة، وسجلات الوصول إلى مواقع الويب، وسجلات خادم قاعدة البيانات (على سبيل المثال ، Microsoft SQL Server ، و MySQL ، و Oracle) وسجلات نظام التشغيل بشكل متكرر.

    • تخلص من وجود ملفات بخلاف ملفات الويب مثل ملفات الأرشيف وملفات النسخ الاحتياطي.

    • استخدم أحدث برامج خادم الويب وقم تحديث وتصحيح نظام التشغيل وخادم الويب بانتظام.

    • تقييد الوصول إلى تطبيقات الويب لعناوين IP الفريدة وعدم السماح بإرجاع حرف (٪ 0d أو \ r) وتغذية السطر (٪ 0a أو \ n).

    • استخدم أدوات او برامج لمراقبة DNS وعنوان IP لخادم DNS.

    • قم بتثبيت برنامج مكافحة الفيروسات وتحديثه بانتظام.

    • قم بتغيير كلمة مرور الافتراضية.

 

📍 برامج التصحيحات والإصلاحات:

    • GFI LanGuard

    • Solarwinds Patch Analyzer

    • Soft Vulnerability Manager

    • Automox

    • Symantec Client Management

    • Kaseya Security Patch Manager

 

📍 برامج لإختراق خادم الويب:

    • Metasploit

    • Wfetch

    • HULK DoS

    • W3af

    • MPack

 

📍 برامج حماية من اختراق خادم الويب:

    • Syhunt Hybird Web Application Security Scanner

    • N-Stalker Web Application Security Scanner

    • Skipfish

    • Burp Suite

    • WebScarab

    • WPScan

    • CookieDigger

    • QualysGuard Malware Detection Service

    • Web Inspector

    • SAINT Scanner

    • Nscan

 

هكذا ولله الحمد انهيت شرح مبسط عن آليه اختراق خادم الويب – Hacking Web Server والبرامج المستخدمة وكيفية التصحيح والدفاع عن هذا الهجوم.

 

 

ملخص من مادة CEHv10

واسال الله لي ولكم التوفيق والنجاح

تحياتي لكم جميعاً🌹 IronHulk