- بواسطة x32x01 ||
Directory Traversal:
تعتبر عملية Directory Traversal هجوما يستغل ضعفا في التحقق من المسارات في تطبيق ويب.
يتم استغلال Directory Traversal للوصول إلى ملفات ومجلدات غير مصرح بها عن طريق مراجعة المسارات والانتقال خارج الحدود المحددة.
يتم استهداف التطبيقات التي تستخدم المدخلات المستخدمة في عملية تحديد المسار دون التحقق الكافي من صحتها.
يمكن استخدام Directory Traversal للوصول إلى ملفات حساسة وثغرات قد تؤدي إلى تشغيل رمز خبيث أو تعطيل التطبيق.
Server-Side Request Forgery (SSRF):
يشير SSRF إلى هجوم يصيب خوادم الويب عن طريق توجيه طلبات غير مصرح بها من الخادم الهدف إلى مصادر موثوقة أو حساسة أخرى.
يتم استغلال الثغرات في التطبيق للسماح بجعل الخادم يقوم بإجراء طلبات على الشبكة الداخلية للشركة أو إجراء طلبات إلى مواقع خارجية معينة.
يمكن استغلال SSRF للوصول إلى بنية الشبكة الداخلية واستهداف أنظمة المؤلفات الداخلية أو الخوادم الأخرى في الشبكة.
قد يؤدي SSRF إلى سرقة المعلومات، أو اختراق الشبكة الداخلية، أو استغلال ثغرات أخرى داخل الشبكة.
الفرق بينهم:
التكيف:
الـ Directory Traversal يركز على استغلال ضعف في تحقق المسارات للوصول إلى ملفات ومجلدات غير مصرح بها.
الـ SSRF يتركز على توجيه طلبات من الخادم الهدف إلى مصادر غير مصرح بها.
التأثير:
الـ Directory Traversal يمكن أن يؤدي إلى الوصول غير المصرح به إلى ملفات حساسة وقد يؤدي إلى استغلال ثغرات أخرى في التطبيق.
الـ SSRF يمكن أن يؤدي إلى الوصول غير المصرح به إلى موارد داخل الشبكة الداخلية وقد يسبب اختراقا للشبكة.
النطاق:
الـ Directory Traversal يتم استهدافه بشكل أساسي في تطبيقات الويب التي تحدث تحققا ضعيفا للمسارات.
الـ SSRF يمكن استغلاله في أي تطبيق يتيح للمستخدم إدخال عناوين URL وتوجيه طلبات إلى مصادر خارجية.
الآثار السلبية:
الـ Directory Traversal يؤدي عادةً إلى الوصول غير المصرح به إلى ملفات ومجلدات حساسة.
الـ SSRF يمكن أن يؤدي إلى اختراق الشبكة الداخلية والوصول غير المصرح به إلى موارد داخل الشبكة.
على الرغم من وجود اختلافات بين Directory Traversal وSSRF، فإنهما يشتركان في استغلال ضعف أمني في التطبيقات الويب ويعدان أشكالا من هجمات استغلال الثغرات.
تعتبر عملية Directory Traversal هجوما يستغل ضعفا في التحقق من المسارات في تطبيق ويب.
يتم استغلال Directory Traversal للوصول إلى ملفات ومجلدات غير مصرح بها عن طريق مراجعة المسارات والانتقال خارج الحدود المحددة.
يتم استهداف التطبيقات التي تستخدم المدخلات المستخدمة في عملية تحديد المسار دون التحقق الكافي من صحتها.
يمكن استخدام Directory Traversal للوصول إلى ملفات حساسة وثغرات قد تؤدي إلى تشغيل رمز خبيث أو تعطيل التطبيق.
Server-Side Request Forgery (SSRF):
يشير SSRF إلى هجوم يصيب خوادم الويب عن طريق توجيه طلبات غير مصرح بها من الخادم الهدف إلى مصادر موثوقة أو حساسة أخرى.
يتم استغلال الثغرات في التطبيق للسماح بجعل الخادم يقوم بإجراء طلبات على الشبكة الداخلية للشركة أو إجراء طلبات إلى مواقع خارجية معينة.
يمكن استغلال SSRF للوصول إلى بنية الشبكة الداخلية واستهداف أنظمة المؤلفات الداخلية أو الخوادم الأخرى في الشبكة.
قد يؤدي SSRF إلى سرقة المعلومات، أو اختراق الشبكة الداخلية، أو استغلال ثغرات أخرى داخل الشبكة.
الفرق بينهم:
التكيف:
الـ Directory Traversal يركز على استغلال ضعف في تحقق المسارات للوصول إلى ملفات ومجلدات غير مصرح بها.
الـ SSRF يتركز على توجيه طلبات من الخادم الهدف إلى مصادر غير مصرح بها.
التأثير:
الـ Directory Traversal يمكن أن يؤدي إلى الوصول غير المصرح به إلى ملفات حساسة وقد يؤدي إلى استغلال ثغرات أخرى في التطبيق.
الـ SSRF يمكن أن يؤدي إلى الوصول غير المصرح به إلى موارد داخل الشبكة الداخلية وقد يسبب اختراقا للشبكة.
النطاق:
الـ Directory Traversal يتم استهدافه بشكل أساسي في تطبيقات الويب التي تحدث تحققا ضعيفا للمسارات.
الـ SSRF يمكن استغلاله في أي تطبيق يتيح للمستخدم إدخال عناوين URL وتوجيه طلبات إلى مصادر خارجية.
الآثار السلبية:
الـ Directory Traversal يؤدي عادةً إلى الوصول غير المصرح به إلى ملفات ومجلدات حساسة.
الـ SSRF يمكن أن يؤدي إلى اختراق الشبكة الداخلية والوصول غير المصرح به إلى موارد داخل الشبكة.
على الرغم من وجود اختلافات بين Directory Traversal وSSRF، فإنهما يشتركان في استغلال ضعف أمني في التطبيقات الويب ويعدان أشكالا من هجمات استغلال الثغرات.