توثيق11.4.3. ثغرات الويب
نظرًا لحقيقة أن مواقع الويب الحديثة لم تعد صفحات ثابتة ، بل يتم إنشاؤها ديناميكيًا للمستخدم ، فإن متوسط موقع الويب معقد للغاية. تستفيد الثغرات الأمنية في الويب من هذا التعقيد في محاولة لمهاجمة منطق إنشاء الصفحة الخلفية أو العرض التقديمي لزائر الموقع.
هذه الأنواع من الهجمات شائعة للغاية ، حيث وصلت العديد من المنظمات إلى النقطة التي لديها عدد قليل جدًا من الخدمات التي تواجه جهات خارجية. نوعان من أكثر أنواع هجمات تطبيقات الويب انتشارًا31 هي حقن SQL والبرمجة عبر المواقع (XSS).
• حقن SQL: تستفيد هذه الهجمات من التطبيقات غير المبرمجة بشكل صحيح والتي لا تقوم بتعقيم مدخلات المستخدم بشكل صحيح ، مما يؤدي إلى القدرة على استخراج المعلومات من قاعدة البيانات أو حتى الاستيلاء الكامل على الخادم.
• البرمجة النصية عبر المواقع: كما هو الحال مع حقن SQL ، تنتج هجمات XSS عن التعقيم غير المناسب لإدخال المستخدم ، مما يسمح للمهاجمين بالتلاعب بالمستخدم أو الموقع في تنفيذ التعليمات البرمجية في سياق جلسة المتصفح الخاصة بهم.
تعد تطبيقات الويب المعقدة والغنية والمعقدة شائعة جدًا ، مما يوفر سطح هجوم مرحبًا به للأطراف الخبيثة. ستجد عددًا كبيرًا من الأدوات المفيدة في تحليل تطبيقات الويب فئة القائمة و كالي لينكس ويب metapackage.