x32x01
  • بواسطة x32x01 ||
مقارنة بين كلاً من SSTI و SSRF و CSRF
هي ثغرات أمنية شائعة تواجه في تطبيقات الويب وهذا تفسير مفصل لكل واحدة منها مع أمثلة عملية توضيحية

SSTI (Server-Side Template Injection):
هي ثغرة تحدث عندما يُسمح للمهاجم بحقن كود أو سكريبت في قالب (template) يشغله الخادم يتم استغلال هذه الثغرة لتنفيذ أكواد خبيثة على الخادم أو للوصول إلى بيانات ذات حساسية.
مثال عملي:
فرض أن التطبيق يقدم ميزة لعرض صورة للمستخدم المسجل عبر رابط مثل
Code:
example.com/image?user={{user.name}}
إذا كان التطبيق غير منقى بشكل صحيح، فقد يتمكن المهاجم من حقن تعليمات قالب تحتوي على كود خبيث مثل
Code:
{{user.sensitiveData}}
وبالتالي، سيتم تنفيذ هذا الكود عند الوصول إلى صفحة الصورة، مما يؤدي إلى تسريب بيانات حساسة من قاعدة البيانات للمستخدم المستهدف.

SSRF (Server-Side Request Forgery):
هي ثغرة تتيح للمهاجم جعل الخادم يقوم بإجراء طلبات شبكة بدلاً من المستخدم المعتمد. يتم استغلال هذه الثغرة للوصول إلى مصادر غير مرئية للمهاجم أو تنفيذ عمليات تكوين وتشغيل قائمة بالكامل من الهجمات الأخرى.
مثال عملي:
فرض أن التطبيق يسمح للمستخدم بتنزيل الصور من عناوين URL خارجية تطبيق سيقوم بتحميل الصورة عبر طلب من جانب الخادم باستخدام رابط داخلي مثل
Code:
example.com/download?url={{url}}
إذا تعرض هذا الطلب لثغرة SSRF، فإن المهاجم قد يستفيد منه للوصول إلى مصادر غير مرئية عن طريق تنفيذ طلبات شبكة للمضيف المحلي، مثل
Code:
example.com/download?url=http://localhost/admin
وبالتالي، يمكن للمهاجم الاطلاع على مدخل الإدارة الداخلية وتنفيذ هجمات أخرى.

CSRF (Cross-Site Request Forgery):
هي ثغرة تسمح للمهاجم بإجبار المستخدم على تنفيذ أوامر غير مقصودة على موقع آخر الذي المستخدم لديه جلسة نشطة، دون علمه أو رغبته هذا يحدث عادة عن طريق استغلال عمليات الإرسال التلقائي للمستعرض (مثل النقر على رابط أو زر).
مثال عملي:
فرض أن التطبيق يتطلب إجراء عملية تغيير كلمة السر للمستخدم عند زيارة الرابط
Code:
example.com/changePassword
إذا قمت بإعداد صفحة الهجوم وإجبار المستخدم على زيارتها أثناء تسجيل الدخول إلى حسابه على
Code:
example.com
فإن الأمر قد يتم تنفيذه تلقائيا بدون علم المستخدم. هذا يعني أنه يمكن للمهاجم تغيير كلمة المرور للمستخدم بدون أن يعرف المستخدم بذلك.
 

المشاركات المتشابهة

x32x01
الردود
0
المشاهدات
6
x32x01
x32x01
x32x01
الردود
0
المشاهدات
5
x32x01
x32x01
x32x01
الردود
21
المشاهدات
109
x32x01
x32x01
x32x01
الردود
0
المشاهدات
28
x32x01
x32x01
x32x01
الردود
0
المشاهدات
82
x32x01
x32x01
الوسوم : الوسوم
cross-site request forgery csrf server-side request forgery server-side template injection ssrf ssti

الدخول أو التسجيل السريع

نسيت كلمة مرورك؟

آخر المشاركات

أحدث المنتجات

إحصائيات المنتدى

المواضيع
1,530
المشاركات
1,716
أعضاء أكتب كود
191
أخر عضو
Ahmed123132
عودة
أعلى